Proszę o pomoc w usunięciu RootKita / Malware
ZeeWolf - 20 Sty 2008 21:15
Witam.
Nabawiłem się dziś najprawdopodobniej rootkita. Zorientowałem się o tym fakcie gdy nagle zniknęły ikonki tray'owe AVG oraz komunikatora Tlen.pl.
Rootkit uruchamia przynajmniej 2 ukryte procesy:
C:\WINDOWS\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\wintems.exe
Oczywiście instalacja jakiegokolwiek oprogramowania anty-spyware kończy się porażką. Mało tego, nie mogę uruchomić ComboFix w celu utworzenia loga - ściągałem już kilkukrotnie, przeważnie system stwierdzał błędny plik, w najlepszym przypadku program przy próbie uruchomienia "miga" na sekundkę oknem i to wszystko. Dołączam log z HiJackThis oraz GMER.
Dodam że ww plików nie mogę usunąć w żaden sposób (ani z GMER, ani korzystając z narzędzi jak OTMoveIt). Tryb awaryjny oczywiście uszkodzony, użycie SafeBootKeyRepair nie pomogło.
Dodatkowo uruchamiany jest "jawnie" losowy proces z katalogu C:\WINDOWS\system32\drivers\down postaci nnnnnn.exe (gdzie n to cyfry). Usunięcie tego katalogu jest możliwe, ale jest on i tak tworzony przy każdym reboocie. Proszę o pomoc.
Kolobos - 20 Sty 2008 21:47
Daj log z DSS.
Uzyj:
http://cybertrash.pl/images/tata/Avenger/Avenger.html
Wklej do niego taki skrypt:
Files to delete:
C:\WINDOWS\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe
Folders to delete:
C:\WINDOWS\system32\drivers\down\
ZeeWolf - 21 Sty 2008 01:22
Byłem przekonany, że jeżeli ktoś odpowie na mój post, to będzie to właśnie kolega Kolobos ...
Postąpiłem wg instrukcji, po restarcie sprawdziłem jeszcze raz GMER i HiJackThis, GMER nic nie wykrył a HiJackThis wykrył wpisy do rejestru służące uruchamianiu hldrrr.exe i wintems.exe. Wpisy oczywiście usunąłem.
AVG zainstalował się prawidłowo, właśnie wykonuje skan. Nie widzę też żadnych podejrzanych procesów, komputer zachowuje się "normalnie" (przedtem można było "wyczuć" jakby lekkie zmulenie).
Problem uważam więc za rozwiązany, ale dla pewności temat zamknę dopiero za kilka dni.
Wielkie podziękowania dla Kolobosa.
Kolobos - 21 Sty 2008 02:17
Nie zapomnij naprawic trybu awaryjnego, a dla pewnosci lepiej daj w zalaczniku log z combofix (o ile juz dziala) zamiast czekac pare dni.
ZeeWolf - 21 Sty 2008 21:32
Tryb awaryjny działa. Komputer zachowuje się normalnie, antywirus, antyspyware i antyrootkit działają. Załączam log z ComboFix.
Jeszcze raz wielkie dzięki za pomoc.
Kolobos - 21 Sty 2008 22:26
Widze slady infekcji z pendrive'a. Sciagnij TweakUi i wylacz w nim autostart dla wszystkich dyskow (dla cd/dvd mozesz zostawic wlaczone). Pamietaj tez o usunieciu plikow trojana z zainfekowanych pendrive'ow (wchodz na nie przez prawoklik i exploruj lub np przy pomocy TC).
Utworz nowy CFScript.txt z taka zawartoscia:
File::
C:\WINDOWS\system32\crack.com
C:\WINDOWS\system32\mdelk.exe
Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1c7e15d9-5a36-11dc-acd1-0011b107a367}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f0cfec69-9923-11db-a302-806d6172696f}]
Na koniec zrob skan przy pomocy SuperAntiSpyware oraz Dr. Web CureIt.
izipizi - 29 Sty 2008 16:53
witajcie
mam podobny problem, jest ten slynny i nieusuwalny mdelk.exe,
avasta juz 100 razy od- i instalowalem, oczywiscie nie dziala. hiszpanski program do usuwania bagla wykrywal mdelk.exe, ale go nie usuwal. hijackthis nie chce sie zainstalowac, pokazuje sie ten sam komunikat, co przy avast'cie i comboFix ("nie jest prawidlowa aplikacja win32")
skaner mks vir nie nie wykryl(!), kaspersky wykryl ale nie usunal, a pandy sie zawiesza.
aha, zapomnialem dodac, ze tryb awaryjny nie dziala i nie mam pojecia jak go przywrocic.
prosze o pomoc i pozdrawiam,
Dodano po 2 [minuty]:
ps. avenger rowniez nie dziala.
Kolobos - 29 Sty 2008 17:05
izipizi
Daj log z DSS, w zalaczniku.
Co do combofix i avenger'a to sprobuj zmienic nazwe pliku przed zapisaniem na dysku, ale nie wiem czy to pomoze.
izipizi - 29 Sty 2008 17:12
załączam log z DSS
zmiana nazwy w obu przypadkach nie pomaga
Kolobos - 29 Sty 2008 21:19
Zrob to samo co masz napisane tutaj:
http://www.searchengines.pl/index.php?showtopic=102584&st=0&p=458822&#entry458822
Po wszystkim dajesz wspomniane logi w zalaczniku.