Rootkit win32:evo-gen susp

[pomocy]

Witam i proszę o pomoc. Opiszę co się stało, tak jak umiem, bo się nie znam nic a nic.

Zaktualizowałam javę i od tego chyba się zaczęło. Avast wykrył Rootkit w pliku nSvcLog (poniżej w załącznikach podaję ścieżkę). Niby je usuwałam zarażone pliki, ale coś nie bardzo się dało, potem ten plik z 2006 roku po prostu usunęłam ręcznie(hmm). Wyłączyłam komp. Przy włączeniu przed uruchomieniem Windowsa XP od razu uruchomił się skan i znalazł Trojany: 2 na c:\ i 1 na e:\. Usunęłam je ponoć z powodzeniem.

Ale komputer dłuuuugo się uruchamia, a wyłączyć się udaje raz na wiele prób, ciągle jakieś aktualizacje, które nawet przez całą noc nie chcą się zakończyć - w końcu z automatycznych ustawiłam je na "pobierz aktualizacje i pozwól mi wybrać kiedy je zainstalować" i dopiero teraz mogę wyłączyć komputer.

Moja partycja c:\ systemowa ma 10 GB całkowitego rozmiaru, ale teraz ma tylko 15 MB, maksymalnie 250 MB i w sumie nie da się nic robić.

Na partycjach D:\ i E:\ pojawiły się dziwne katalogi i pliki (wrzucam w załącznikach).

Pojawia się też czasem gdy wchodzę na strony internetowe "błąd kodowania zawartości".

 

Zrobiłam te LOGI ale z GMER mam tylko prescan, bo raz się zawiesił, a za drugim razem czarny ekran z dużą ilością jakiegoś tekstu i potem już były tylko 2 opcje F2, albo F11 i wchodziło się do BIOSU a tam to już nie nie wiedziałam co robić.

 

Dodam, że dla mnie priorytetem jest zachowanie danych z partycji E:\

Da się coś z tym zrobić, czy lepiej zanieść komputer do naprawy? Pozdrawiam.

 

PS. ani prescanu z GMER ani defogger_disable, ani innych nie mogę przesłać "brak uprawnień do przesyłania". Dlatego podaje linki:

http://speedy.sh/tR7rD/prescan-GMER.log

http://speedy.sh/Jk8RC/defogger-disable.log

http://speedy.sh/TnXbR/rootkit.bmp

http://speedy.sh/sNcGS/rootkit1.bmp

http://speedy.sh/PSh3v/dziwne-pliki-1.bmp

http://speedy.sh/YD2gb/dziwne-pliki-2.bmp

http://speedy.sh/avejG/malo-miejsca-na-C.bmp

Addition.txt

Extras.Txt

FRST.txt

OTL.Txt

[picasso]

Oznak infekcji brak. Skoryguj tylko wpisy puste:

 

1. W przeglądarkach:

- Zresetuj cache wtyczek Google Chrome. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz.

- Zresetuj Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

2. Otwórz Notatnik i wklej w nim:

 

HKLM\...\Run: [ROC_ROC_NT] - "C:\Program Files\AVG Secure Search\ROC_ROC_NT.exe" / /PROMPT /CMPID=ROC_NT
FF Plugin: @playstation.com/PsndlCheck,version=1.00 - C:\Program Files\Sony\PLAYSTATION Network Downloader\nppsndl.dll No File

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

 

 

Avast wykrył Rootkit w pliku nSvcLog (poniżej w załącznikach podaję ścieżkę). Niby je usuwałam zarażone pliki, ale coś nie bardzo się dało, potem ten plik z 2006 roku po prostu usunęłam ręcznie(hmm). Wyłączyłam komp.

Cytuję z innego tematu:

 

Są tu dwie sprawy:

- Detekcja Win32:Evo-gen [susp] w pliku nSvcLog.exe wygląda na fałszywy alarm. Więcej zgłoszeń, m.in. na forum Avast: KLIK.

- To i tak jest zbędny komponent. Należy do firewalla nVidia, który może tworzyć kłopoty sieciowe. Odinstaluj NVIDIA ForceWare Network Access Manager.

NVIDIA ForceWare Network Access Manager tym bardziej tu do instalacji, gdyż: to archaiczna instalacja z 2006, na dodatek uszkodzona Avastem.

 

 

Przy włączeniu przed uruchomieniem Windowsa XP od razu uruchomił się skan i znalazł Trojany: 2 na c:\ i 1 na e:\. Usunęłam je ponoć z powodzeniem.

Nie podałaś w czym, konkretne ścieżka dostępu.

 

 

Ale komputer dłuuuugo się uruchamia, a wyłączyć się udaje raz na wiele prób, ciągle jakieś aktualizacje, które nawet przez całą noc nie chcą się zakończyć - w końcu z automatycznych ustawiłam je na "pobierz aktualizacje i pozwól mi wybrać kiedy je zainstalować" i dopiero teraz mogę wyłączyć komputer.

 

Moja partycja c:\ systemowa ma 10 GB całkowitego rozmiaru, ale teraz ma tylko 15 MB, maksymalnie 250 MB i w sumie nie da się nic robić.

Tak, wolnego miejsca co kot napłakał:

 

==================== Drives ================================
 

Drive c: (SYSTEM) (Fixed) (Total:9.77 GB) (Free:0.16 GB) NTFS ==>[Drive with boot components (Windows XP)]

 

W takim stanie Windows może potwornie zamulić. Musisz coś zrobić z miejscem na dysku, bo nie może tak zostać. I problemy z miejscem będą raczej cały czas, gdy partycja na Windows jest mała (tylko niecałe 10GB).

 

 

Na partycjach D:\ i E:\ pojawiły się dziwne katalogi i pliki (wrzucam w załącznikach).

To są pozostałości po aktualizacjach. Przed instalacją aktualizacje są ekstraktowane do losowych katalogów na dysk na którym jest najwięcej wolnego miejsca. Po ukończeniu instalacji aktualizaji foldery te można spokojnie skasować. Foldery są zablokowane przez uprawnienia, toteż przed usunięciem jest wymagane przejęcie ich na własność + przyznanie sobie Pełnej kontroli: KLIK.

 

 

PS. ani prescanu z GMER ani defogger_disable, ani innych nie mogę przesłać "brak uprawnień do przesyłania".

Raport z GMER został zapisany w złym formacie, czyli niedopuszczalnym w załącznikach *.LOG, a nie *.TXT. Obrazki też zapisane w niedopuszczalnym tu formacie *.BMP (nieskompresowany potwór). Jest wyraźnie powiedziane w opisie GMER, by raport zapisywać opcją Kopiuj. Log z Defogger też *.LOG, ale on tak krótki, iż może być wklejany do posta.

 

 

 

.

[pomocy]

Dziękuję

1. zresetowane cache wtyczek Google Chrome oraz Firefox.

2. załączam plik fixlog.txt

3. Odinstalowałam NVIDIA ForceWare Network Access Manager (w dodaj/usuń programy) - czy mam go teraz na nowo zainstalować, pobierając go gdzieś z Internetu? Bo ja mam tylko płytkę AMD-nVIDIA, no ale to ta stara z 2006 r.

4. Znalazłam w avaście ścieżki do trojanów ale to są bitmapy ze zrzutów ekranu:

http://speedy.sh/JkxsC/Pierwszy-wirus-na-C.bmp

http://speedy.sh/2tzJY/Drugi-wirus-na-C.bmp

http://speedy.sh/ePu2a/Trzeci-wirus-na-E.bmp

5. Zatem wklejam tu z notatnika log z deffoger_disable:

 

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 22:26 on 19/10/2013 (viola)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...


-=E.O.F=-

 

6. Nie umiałam użyć "Kopiuj" bo mi się komputer zawiesił, a potem tylko do biosu mi wchodził. Gdy się udało komputer uruchomić normalnie taki plik był na pulpicie i ja go widzę jako tekstowy. Ale może teraz będzie dobrze. Wrzuciłam to co było w notatniku, do OpenOffice i zapisałam.

 

7. Mam też jeszcze log z Security Check :

 

 Results of screen317's Security Check version 0.99.74  
 Windows XP Service Pack 3 x86   
 Internet Explorer 8  
``````````````Antivirus/Firewall Check:``````````````
 avast! Free Antivirus    
`````````Anti-malware/Other Utilities Check:`````````
 Java 7 Update 45  
 Java version out of Date!
 Adobe Flash Player     11.9.900.117  
 Adobe Reader 6 Adobe Reader out of Date!
 Mozilla Firefox (24.0)
 Google Chrome 29.0.1547.76  
 Google Chrome 30.0.1599.69  
````````Process Check: objlist.exe by Laurent````````  
 AVAST Software Avast AvastSvc.exe  
 AVAST Software Avast avastUI.exe  
`````````````````System Health check`````````````````
 Total Fragmentation on Drive C::  
````````````````````End of Log``````````````````````
 

8. Czyli co teraz dalej robić? Udać się do działu pomocy technicznej Hardware?

Fixlog.txt

raport z prescan GMER.txt

raport z prescam GMER.txt

Edytowane 23 Października 2013 przez pomocy