Rootkit.HiddenFile@0 - C:\WINDOWS\hide.conf

[Rozi5213]

Witam. Jako, że to mój pierwszy post to chciałbym się przywitać. Nie wiem czy zaczyam w dobrym dziale, ale mam problem z rootkitem hidden. Comodo Internet Security przy skanowaniu go wykrywa, niby usówa, ale po restarcie systemu wszystko się odradza. Nie mogę sobie z tym poradzić i proszę o pomoc. Podaję logi z OTL. Proszę o sprawdzenie. Dziękuję

 

edit:  Comodo Internet Security wyświetla Rootkit.HiddenFile@0 i miejsce C:\WINDOWS\hide.conf  podczas skanowania na żądanie.

 

 

OTL.Txt

Extras.Txt

GMER.txt

[picasso]

Nie widzę oznak infekcji, tylko drobne adware. Doczyść:

 

1. W Firefox menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł.

 

2. Uruchom AdwCleaner i zastosuj Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. Przedstaw go.

 

3. Zrób nowy log OTL z opcji Skanuj (już bez Extras).

 

 

Comodo Internet Security wyświetla Rootkit.HiddenFile@0 i miejsce C:\WINDOWS\hide.conf podczas skanowania na żądanie.

Owszem, widzę to w GMER (plik ukryty):

 

---- Files - GMER 2.1 ----
 

File C:\WINDOWS\hide.conf 13 bytes

 

Ale to nieszkodliwy "rootkit" i jest komponentem SekretNIKa G-data, który jest zainstalowany:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{0780B80B-7B91-42AA-95CF-61387CA9933F}" = SekretNIK
 

O4 - HKLM..\Run: [Hidder] C:\Program Files\G DATA Software\SekretNIK\Hidder.exe (G DATA Software Sp. z o.o.)

DRV - [2001-10-26 01:40:02 | 000,031,776 | ---- | M] (Alfa Corporation) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\AFPAnsi.sys -- (AFPAnsi)

 

Wnioski: wyklucz ten plik z detekcji COMODO.

 

 

 

.

[Rozi5213]

zgodnie z życzeniem dodaje nowy log OTL i AdwCleaner. Program firefox zresetowany. Dla pewności wywaliłem też sekretnika. Proszę o przejrzenie i dalsze instrukcje.

OTL.txt

AdwCleanerS0.txt

[picasso]

Deinstalacja SekretNIKa nie była potrzebna dla sprawdzenia efektu, to na pewno był plik programu. Ale deinstalacja sensowna, jeśli z aplikacji nie korzystasz, bo sterownik programu mocno sfatygowany (z roku 2001). Kończąc sprawę czyszczenia systemu:

 

1. Drobna poprawka. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKU\S-1-5-21-1801674531-764733703-1343024091-1003\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://search.v9.com/web/?q={searchTerms}
IE - HKU\S-1-5-21-1801674531-764733703-1343024091-1003\..\SearchScopes\{8EEAC88A-079B-4b2c-80C1-7836F79EB40A}: "URL" = http://pl.search.yahoo.com/search?p={searchTerms}&fr=chr-comodo
DRV - File not found [File_System | On_Demand | Stopped] -- c:\documents and settings\laptop compaq\ustawienia lokalne\temp\1ED3997C7.sys -- (1ED3997C7)
DRV - [2013-08-23 13:05:09 | 000,205,576 | ---- | M] (Doctor Web, Ltd.) [File_System | On_Demand | Stopped] -- c:\documents and settings\laptop compaq\ustawienia lokalne\temp\2A44AEA9A.sys -- (2A44AEA9A)
DRV - [2013-08-23 13:05:09 | 000,205,576 | ---- | M] (Doctor Web, Ltd.) [File_System | On_Demand | Stopped] -- c:\documents and settings\laptop compaq\ustawienia lokalne\temp\2A438D799.sys -- (2A438D799)
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

2. Porządki po narzędziach: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Zaktualizuj Adobe Reader i Silverlight: KLIK.

 

 

.

[Rozi5213]

Dziękuję bardzo za pomoc i poświęcony czas.