Jak usunac rootkita?

29.12.05, 14:10
sprawdzałem system dwoma antywirami i oba wykryły rootkita w katalogu system32
w pliku rdriv.sys.antywiry usuwaja go pomyslnie ale po restarcie problem
pojawia sie ponownie.Z tego co wiem to rootkit jest groznym zagrozeniem dla
kompa .prosze o pomoc!!!
    • netsec Re: Jak usunac rootkita? 29.12.05, 14:25
      Na początek wyłącz przywracanie systemu i przeskanuj system antywirusem w trybie awaryjnym. Najlepiej wykorzystaj 30 dniową wersje Kaspersky Anti-Virus Personal 5.0.388 z rozszerzoną aktualizacją bazy wirusów
      www.kasperski.pl/download.html?s=trial
      Przed instalacją Kasperskiego odinstaluj inne antywirusy.
      W trakcie skanowania w awaryjnym, nie uruchamiaj innych programów.
    • Gość: k Re: Jak usunac rootkita? IP: *.warszawa.sdi.tpnet.pl 29.12.05, 14:32
      Wklej tez log z hijackthis.
      • netsec Re: Jak usunac rootkita? 29.12.05, 14:50
        Gość portalu: k napisał(a):

        > Wklej tez log z hijackthis.

        Małe szanse na rootkita w HJ logu :)
        • Gość: k Re: Jak usunac rootkita? IP: *.warszawa.sdi.tpnet.pl 29.12.05, 15:20
          Gdzie napisalem, ze bede w nim szukal rootkita? :>
          Skoro jest jeden syf to pewnie sa i inne dlatego chce zobaczyc log.

          Tutaj jest jakas usuwarka do tego rootkita:
          www.idg.pl/ftp/pc_7644/Szczepionka.G.DATA.123.html
          Jest tez opis na searchengines jak recznie usunac.
          • netsec Re: Jak usunac rootkita? 29.12.05, 15:40
            Gość portalu: k napisał(a):

            > Gdzie napisalem, ze bede w nim szukal rootkita? :>
            > Skoro jest jeden syf to pewnie sa i inne dlatego chce zobaczyc log.

            Zapewniam cię że Kasperski i Webroot Spy Sweeper 4.5 dadzą sobie radę :D
            BTW daj odpocząć swoim oczkom :)
            • swiderro69 Re: Jak usunac rootkita? 31.12.05, 14:46
              problem nie zniknał w trybie awaryjnym antywiry wyrzucaja ten plik ale jak
              odpalam w normalnym trybie plik pojawia sie ponownie .zaraz sprawdze ta usuwarke
              • Gość: k Re: Jak usunac rootkita? IP: *.warszawa.sdi.tpnet.pl 31.12.05, 18:31
                Wkleisz wreszcie ten log?
                • swiderro69 Re: Jak usunac rootkita? 31.12.05, 19:18
                  przetestowałem wiele programow antywirusowych i powiem ze problem rozwiazł
                  program ewido ktory wyrzucił go na dobre dodatkowo znalazł jeszcze trojana a
                  jesli bardzo chcesz ten log to prosze bardzo
                  Logfile of HijackThis v1.99.1
                  Scan saved at 19:16:41, on 2005-12-31
                  Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
                  MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

                  Running processes:
                  C:\WINDOWS\System32\smss.exe
                  C:\WINDOWS\SYSTEM32\winlogon.exe
                  C:\WINDOWS\system32\services.exe
                  C:\WINDOWS\system32\lsass.exe
                  C:\WINDOWS\System32\Ati2evxx.exe
                  C:\WINDOWS\system32\svchost.exe
                  C:\WINDOWS\System32\svchost.exe
                  C:\WINDOWS\system32\spoolsv.exe
                  C:\Program Files\Avast4\aswUpdSv.exe
                  C:\Program Files\Avast4\ashServ.exe
                  C:\WINDOWS\SYSTEM32\Ati2evxx.exe
                  C:\WINDOWS\explorer.exe
                  C:\PROGRA~1\Avast4\ashDisp.exe
                  C:\Program Files\Creative\SBLive\AudioHQ\AHQTB.EXE
                  C:\Program Files\DAEMON Tools\daemon.exe
                  C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
                  C:\Program Files\WinFast\WFTVFM\WFWIZ.exe
                  C:\WINDOWS\System32\devldr32.exe
                  C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
                  C:\Program Files\mozzila new\firefox.exe
                  C:\WINDOWS\system32\cmd.exe
                  C:\Documents and Settings\swiderro\Pulpit\HijackThis\HijackThis.exe

                  R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext =
                  www.pandasoftware.com/redirector/?prod=205&app=Register&lang=eng
                  F2 - REG:system.ini: Shell=explorer.exe
                  O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control
                  Panel\atiptaxx.exe"
                  O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe
                  O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
                  O4 - HKLM\..\Run: [AudioHQ] C:\Program Files\Creative\SBLive\AudioHQ\AHQTB.EXE
                  O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe"
                  -lang 1033
                  O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe"
                  runtime
                  O4 - HKLM\..\Run: [WinFast Schedule] C:\Program Files\WinFast\WFTVFM\WFWIZ.exe
                  O4 - Global Startup: ATI CATALYST – pasek zadań.lnk = C:\Program Files\ATI
                  Technologies\ATI.ACE\CLI.exe
                  O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner -
                  C:\Program Files\Avast4\aswUpdSv.exe
                  O23 - Service: Ati HotKey Poller - ATI Technologies Inc. -
                  C:\WINDOWS\System32\Ati2evxx.exe
                  O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
                  O23 - Service: avast! Antivirus - Unknown owner - C:\Program
                  Files\Avast4\ashServ.exe
                  O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation
                  - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
                  O23 - Service: Microsoft Update (msn) - Unknown owner - C:\WINDOWS\msnmsg.exe
                  (file missing)
                  O23 - Service: Windows Archiver (winarc) - Unknown owner - C:\WINDOWS\devldr.exe
                  (file missing)

                  • Gość: k Re: Jak usunac rootkita? IP: *.warszawa.sdi.tpnet.pl 31.12.05, 19:25
                    Zamknij porty w wwdc:
                    www.firewallleaktester.com/tools/wwdc.exe
                    W hijackthis wywal:
                    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext =
                    www.pandasoftware.com/redirector/?prod=205&app=Register〈=eng

                    Usun uslugi:
                    O23 - Service: Microsoft Update (msn) - Unknown owner - C:\WINDOWS\msnmsg.exe
                    (file missing)
                    O23 - Service: Windows Archiver (winarc) - Unknown owner - C:\WINDOWS\devldr.exe
                    (file missing)

                    Start->Uruchom->cmd i tam:
                    sc stop msn
                    sc stop winarc
                    sc delete msn
                    sc delete winarc
Pełna wersja