ratava

Dzięki. Dało radę tym sposobem. 8O) Choć jakieś śmieci po AVG jeszcze pozostały. Usuwam je właśnie z rejestru. Dobrze, a co byście powiedzieli w takim razie na to, że Rootkit Unhooker na prawie czystym systemie (znaczy bez antywirusa, jedynie z jakimiś śmieciami po AVG, gg i paroma skanującymi programami) dalej wykrywa rootkita? Combofix raport: http://wklej.org/id/203804/ W kwarantannie trzyma to: 2009-11-13 00:11:24 . 2009-11-13 00:11:24 962 ----a-w- C:\Qoobox\Quarantine\Registry_backups\AddRemove-Nowe Gadu-Gadu.reg.dat 2009-11-13 00:11:24 . 2009-11-13 00:11:24 1,066 ----a-w- C:\Qoobox\Quarantine\Registry_backups\AddRemove-Adobe Flash Player Plugin.reg.dat 2009-11-13 00:11:09 . 2009-11-13 00:11:09 378 ----a-w- C:\Qoobox\Quarantine\Registry_backups\Notify-avgrsstarter.reg.dat 2009-11-13 00:10:09 . 2009-11-13 00:25:35 6,949 ----a-w- C:\Qoobox\Quarantine\Registry_backups\tcpip.reg 2009-11-11 18:56:16 . 2009-11-13 00:23:20 204 ----a-w- C:\Qoobox\Quarantine\catchme.log 2004-08-03 22:39:54 . 2004-08-03 22:39:54 46,306 ----a-w- C:\Qoobox\Quarantine\C\WINDOWS\system32\ieuinit.inf.vir A System Virginity Verifier z przyczyn niewiadomych nadal nie może odczytać modułu ntoskrnl?

Uważasz, że to fałszywy alarm? Co znaczą te wyniki? Tak, próbowałem wczoraj AVGremover (drugi raz przed chwilą). I dzisiaj AVGIDPUninstaller. Nic to nie dało. 8O

A gdzie mogę odznaczyć pliki ukryte i systemowe? Czy chodzi o Narzędzia->opcje folderów->widok->ukryte pliki i foldery->pokaż ukryte pliki i foldery? Pamięci 3GB. J.w. Gdzie odznaczyć ukrywanie plików chronionych? Myślę, że można tym słowem określić stan umysłu podczas gonienia za królikiem, którego nie widać. :] Z drugiej strony jednak dwa nowe programy zdaje się, że wskazują na rootkita kernel mode. System Virginity Verifier co prawda nie do końca wykrywa, ale już Rootkit Unhooker wskazuje na obecność rootkita. SVV: Pokazuje co prawda poziom zainfekowania niebieski czyli najniższy z możliwych, ale zastanawia mnie komunikat "Important module ntoskrnl.exe not found", który chyba nie powinien się pojawić, prawda? Wyniki Rootkit Unhooker: W nakładce SSDT programu zastosowałem "UnHookSelected" - usunęło, jednak po restarcie, podczas ponownego skanowania pojawiają się dokładnie te same cztery problemy. Dodatkowo, podczas usuwania lub po komputer sam się restartował. W nakładce Code Hooks prbowałem zrobić to samo. Oto wyniki przed i po Czasem "po" nie pokazuje żadnych wyników i komputer sam się resetuje, a czasem widnieje coś takiego ...i komputer się resetuje. Po restarcie i skanowaniu znów pojawiają sie te same wyniki. Chciałem jeszcze o czymś wspomnieć, bo może to ważne. Wyniki skanowania RU przedstawione na obrazkach wskazują na jakieś nieprawidłowości z plikami AVG Identity Protection. Wcześniej miałem (i cały czas mam) problem z odinstalowaniem AVG, co opisuję w tym temacie: http://forums.avg.com/pl-pl/avg-free-forum...id=641#post_641

Jesli jest to włączone automatycznie w świeżym systemie, to mozliwe, że mam to włączone. System świeżutki, ale nie w tym problem; czytałem, że może być to wynik działalności rootkita i pamietam też, że wcześniej system zajmował o wiele mniej miejsca. Moja wiedza informatyczna jest raczkująca, ale z tego, co wiem (albo wydaje mi się, że wiem), to w przypadku takich spryciarzy jak choćby przykładowo Hacker Defender (a tym bardziej wersja komercyjna w wersji Golden) mógłbym sprawdzać, sprawdzać, a i tak bym nic nie sprawdził... przynajmniej nie żadnym programem skanującym i z tą wiedzą, którą posiadam. I tu pytanie do Was: czy logi z Gmera, OTL i hijackthis są wystarczającym źródłem informacji, aby wykluczyć rootkita? Ten wiadomo ukrywa szkodliwe procesy przed użytkownikiem komputera. Pytanie brzmi tylko: w jakim stopniu? Ze nie wykryje go skanowanie - to wiem, ale czy jego obecność byłaby widoczna w logach i mogłaby je odczytać osoba potrafiąca je czytać? No i czy rootkity zostają usunięte wraz z wgraniem nowego systemu czy mogą się również znajdować na pozostałych partycjach? Wirusa w MBR raczej wykluczam, bo wgrałem w kompa z dyskietki zrobionej na innym komputerze świeży MBR jeszcze przed formatowaniem. Co mogę zrobić aby zyskać pewność? Strasznie mnie ta cała sytuacja denerwuje (mało powiedziane) i bardzo proszę o pomoc. Przeleć Spybotem, dla pewności puść też Malwarebytes Anti Malware. Spybotem skanowałem i nic nie wykrył. Malwarebytes zapuszczę jutro (dziś już po prostu nie mam siły się dalej z tym męczyć). Dzieki za zainteresowanie i pozdrawiam 8O

Mam uzasadnione podejrzenie, że ktoś wrzucił mi do systemu keyloggera. Sformatowałem komputer. Po sformatowaniu okazało się, że system operacyjny Windows XP wraz z AutoPatcher_XP_Feb2007_Polish_FULL + parę innych programów jak AVG antywirus i gg zajmują nieproporcjonalnie dużo miejsca, bo aż 8,92 GB! Czytałem w internecie, że taka zwiększona 'objętość' systemu operacyjnego może być efektem działalności rootkita. Objawów jako takich nie ma jedynie może to, że komputer po włączeniu i wyświetleniu pulpitu jakby się zacina na parę minut i dopiero po tym czasie mogę dokonać jakiejkolwiek akcji typu otwarcie folderu, połączenie z internetem itp. Zastanawiają mnie też zdarzenia, które zaczęły się dziać w momencie, gdy użyłem programu Icesword. Program się ściągnął, uruchomił (niestety jest on dość skomplikowany i nie potrafię go dobrze obsługiwać) i w nakładce "system check" pokazał coś takiego: http://img26.imageshack.us/i/icesword10112029.jpg/ Po chwili (zanim odszukałem w nim funkcję generowania logów) AVG wykrył Icesword jako backdoor/znany koń trojański, usunął, zrestartował (obecnie w przechowalni wirusów widnieje pozostałość po tej infekcji pod nazwą New Malware.z). Wydało mi się to dziwne, ponieważ pobrałem program ze strony producenta. Postanowiłem więc ściągnąć go ponownie i uruchomić. Najdziwniejsze jest to, że tym razem już AVG nie identyfikował go jako wirusa ( ! ), ale też w nakładce "system check" nie widać komunikatu HKEY_CLASSES_ROOT\htafile\shell\open\command: C:\WINDOWS\system32\mshta.exe "%1" %* (widoczny na zdjeciu podlinkowanym powyżej). Jest zwykły komunikat "complete". Log z gmer: http://wklej.org/id/202334/ Log OTL http://wklej.org/id/202339/ Log OTL Extras http://wklej.org/id/202344/ Log Hijackthis http://wklej.org/id/202342/