Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Rootkit blokujący antywirusa

piotras76

Przez piotras76
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

piotras76

piotras76

Opublikowano
Opublikowano

Wygląda to tak:

Wyskakuje informacja, że program antywirusowy został zatrzymany lub jego stan jest niestabilny.

Komputer mogę zeskanować tylko skanerem online. Ciągle w tle pracuje program kcxkwtekw9. exe - tak pokazuje "gmer". Wczoraj Gmer "chodził - dzisiaj nie mogę go uruchomić. Wyskakuja za to takie komunikaty.

LoadDriver("C:\Docume~1\Admini~1\Ustawi~1\Temp\pqliqpow.sys")

Error 0x0000001: dla usuwalnego klucza nadrzędnego nie można utworzyć trwałego podklucza

C:\Windows\system32\config\system : Proces nie może uzyskać dostępu do pliku ponieważ jest on używany przez inny proces.

Udało mi się usunąć program bm.exe ale tego kcxkwtekw9 nie mam pojęcia jak.

Poza tym nie działa mi kombinacja klawiszy "ctrl +alt+del". Czasem internet tak zamuli że aż się odechciewa siedzieć.

 

 

EDIT:

Chyba sobie poradziłem z problemem. Poszło z TDSSKiller od Kasperskiego, potem ruszył antywirus, zatrzymał akcję rootkitów, skan na "niebieskim skreenie" znalazł 4 trojany i rootkity, wykasował je i chyba teraz jest ok.

Extras.Txt

OTL.Txt

gmer.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
Landuss

Landuss

Opublikowano
Opublikowano

Rzeczywiście infekcji tu już nie widać. Drobna poprawka tylko do zrobienia.

 

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //start.facemoods.com/?a=ironto
IE - HKCU\..\SearchScopes,DefaultScope = {0D7562AE-8EF6-416d-A838-AB665251703A}
IE - HKCU\..\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}: "URL" = http: //vshare.toolbarhome.com/search.aspx?q={searchTerms}&srch=dsp
IE - HKCU\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = http: //start.facemoods.com/?a=ironto&s={searchTerms}&f=4
[2012-03-18 10:04:25 | 000,000,000 | ---D | M] (Vuze Remote Community Toolbar) -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\sy4fdsjm.default\extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc}
[2011-04-16 13:20:40 | 000,002,049 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fcmdSrch.xml
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O4 - HKLM..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe File not found
O8 - Extra context menu item: Ajouter à l'Anti-bannière - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\ie_banner_deny.htm File not found
 
:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Documents and Settings\Administrator\Ustawienia lokalne\Temp\BNE24.tmp"=-
"C:\Documents and Settings\Administrator\Ustawienia lokalne\Temp\BNC.tmp"=-
"C:\Documents and Settings\Administrator\Ustawienia lokalne\Temp\BN6.tmp"=-
"C:\Documents and Settings\Administrator\Ustawienia lokalne\Temp\BN8.tmp"=-
"C:\Documents and Settings\Administrator\Ustawienia lokalne\Temp\BN1.tmp"=-
"C:\Documents and Settings\Administrator\Ustawienia lokalne\Temp\BN4.tmp"=-
 
:Commands
[emptytemp]

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

 

Jedynie co mi się jeszcze nie podoba to to, że nie działają klawisze "ctrl alt del"

Rozumiem, że po wciśnięciu nic się nie wyświetla?

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...