[wirus/logi]Czy to rootkit?

Podczas skanowania Avast i Panda wykrywają rootkita.

Oto wynik skanu na starcie komputera:

Plik C:\Program Files\AutoPatcher\tools\Tweak Undo.exe\[tElock] jest zarażony przez Win32:Rootkit-gen [Rtk], Przeniesiono do kwarantanny
Liczba przeszukanych katalogów: 9882
Liczba przetestowanych plików: 99301
Liczba zarażonych plików: 1

Tak w ogóle, infekcję w Tweak Undo od dłuższego czasu wykrywał mi internetowy skaner Pandy (regularnie zwracał informacje o TRZECH infekcjach, w tym właśnie za każdym razem o Tweak Undo), ale ignorowałem ostrzeżenie mysląc, że to fałszywy alarm. Teraz, gdy wykrył go również Avast, próbowałem plik Tweakundo znaleźć w kwarantannie Avasta i wrzucić na stronę Virustotal i przebadać czy to rzeczywiście wirus, ale nigdzie nie mogę znaleźć folderu kwarantanny Avasta, a tym bardziej pliku Tweakundo.

Co najdziwniejsze. Zapusciłem skanowanie Pandą online i wtedy (nie wiem co dokładnie było tego przyczyną) plik o nazwie Tweakundo pojawił sie w lokalizacji

C:\Program Files\Alwil Software\Avast4

, odruchowo najechałem na niego myszą zaznaczając go (ikonkę miał identyczną jak program Rootrepeal) i wtedy Avast podał komunikat, że wykrył infekcję Tweak Undo. Plik natychmiast zniknął, a wynik jego poruszania się po systemie widać w widoku kwarantanny:



Na starcie zrobiłem skanowanie Avastem - nic nie wykrył na C: (dalej nie czekałem bo już mnie, za przeproszeniem, cholera bierze od patrzenia na te paski postępu). Co zrobić z tymi plikami w kwarantannie?

Logi są trochę wczesniejsze, jeszcze sprzed instalacji avasta. Jak by co, to mogę zrobić nowe.

z hijackthis
wklej.org - wklejka nr 209781

z Gmera 1.0.15.15227 i daję log:
wklej.org - wklejka nr 208452

log z silentrunners
wklej.org - wklejka nr 208457

log otl
wklej.org - wklejka nr 208462

Może być trojan/rootkit. Na logach się nie znam, ale zawsze można skorzystać z innego antywira niż avast czy panda. Polecam wejść na stronę noda i tam masz skaner online

To możesz naprawić Spybot-Search&Destroy bez problemu uruchomisz skaner i klikniesz na napraw i po kłopocie.
Oczywiście najlepiej jeśli S-S&D jest instalowany jeszcze gdy sytem i wszystkie programy nie są zarażone i wszystkie programy chodzą bez awaryjnie. W momencie instalacji S-S&D wykonuje kopię systemu, przeglądarek oraz programu antywirusowego i potem ma łatwiejsze zadanie bo przywraca pliki do stanu pierwotnego a tak stosuje zasadę podstawiania.

Raczej nie ma rootkita ani wirusa.
Uruchom jednak OTL i w sekcji Custom scan / Fixes wklej:

:Files
C:\autorun.inf
C:\RECYCLER
C:\Documents and Settings\m\Pulpit\iDbg_setup.exe
C:\WINDOWS\SWXCACLS.exe
C:\WINDOWS\SWREG.exe
C:\WINDOWS\SWSC.exe
C:\WINDOWS\NIRCMD.exe


:OTL
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: dontdisplaylastusername = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: legalnoticecaption = 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: legalnoticetext = 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: shutdownwithoutlogon = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: undockwithoutlogon = 1
O32 - HKLM CDRom: AutoRun - 1

:Commands
[emptytemp]
[reboot]

Kliknij w Run Fix, zatwierdź restart komputera, po włączeniu ponowny log z OTL.