(sory, ale nie chciało mi sie tego pisać na nowo, więc wklejam z innego forum-żeby nie było ja to napisałem link-http://forum.pcformat.pl/thread-209103-post-1583086.html#pid1583086 )
Witam.
Mam problem z rootkitami-program avast pokazał mi wczoraj, że mam rootkity, wszystkie poddałem kwarantannie. Dzisiaj po włączeniu komputera, zaczęły się problemy-avast się zacinał, pasek na dole ekranu się zawieszał, internet też, programy nie włączały się itp (mogłem grzebać w dyskach i flderach, a także przez pierwsze 2 mi od włączenia-wejść w avast i menu start). Po kilkunastu resetach i grzebaniu w necie (w drugim kompie), odkryłem, że mam jeszcze jednego rootkita (avast napisał gdzie jest i co to jest, ale nie można nic z tym zrobić). Zostawiłem go na jakieś 30 min, po tym czasie uruchomił się upragniony panel dezaktywowania wirusa (kwarantanna, usuń itp), kliknąłem kwarantnna i wszystko wróciło do normy. Szybko wszedłem na neta i ściągnąłem odkurzacz i Gmera. Wszystko było ok, aż cały komp się zaciął. Zresetowałem go i..... znowu problemy. Mogłem zrobić log Gmerem, ale inne rzeczy wróciły do stanu poprzedniego (tak jakby znowu działał rootkit). Avast nic nie wykrywa, ale dalej jest problem.
Avast znowu wykrył wirusy i poddaje je kwarantannie, zobaczymy co z tego wyjdzie....
I po skanowaniu (znalazło kilka wirusów, zostały poddane kwarantannie)-pasek na dole dalej się tnie, internet też.Nie wiem co robić...
Proszę o szybką odpowiedź.
Oto najnowszy log z gmera:
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-02-18 21:19:01
Windows 5.1.2600 Dodatek Service Pack 3
Running: xrembfy0.exe; Driver: C:\DOCUME~1\User\USTAWI~1\Temp\pgldqpoc.sys
---- System - GMER 1.0.15 ----
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwClose [0xB75BC6B8]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDeleteValueKey [0xB75BCA52]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDuplicateObject [0xB75BC14C]
SSDT spos.sys ZwEnumerateKey [0xBA6CDDA4]
SSDT spos.sys ZwEnumerateValueKey [0xBA6CE132]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenKey [0xB75BC64E]
SSDT spos.sys ZwQueryKey [0xBA6CE20A]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwQueryValueKey [0xB75BC76E]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwRestoreKey [0xB75BC72E]
INT 0x62 ? 89BE5BF8
INT 0x63 ? 89AEDBF8
INT 0xB4 ? 89AEDBF8
---- Kernel code sections - GMER 1.0.15 ----
.text ntkrnlpa.exe!ZwCallbackReturn + 2C28 805044B4 2 Bytes [B8, C6]
.text ntkrnlpa.exe!ZwCallbackReturn + 2CD4 80504560 2 Bytes [4C, C1]
? spos.sys Nie można odnaleźć określonego pliku. !
.text USBPORT.SYS!DllUnload BA44A8AC 5 Bytes JMP 89AED1D8
.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xB9F2B380, 0x2468FD, 0xE8000020]
.text ajm6280m.SYS B7794386 35 Bytes [00, 00, 00, 00, 00, 00, 20, ...]
.text ajm6280m.SYS B77943AA 24 Bytes [00, 00, 00, 00, 00, 00, 00, ...]
.text ajm6280m.SYS B77943C4 3 Bytes [00, 80, 02]
.text ajm6280m.SYS B77943C9 1 Byte [30]
.text ajm6280m.SYS B77943C9 11 Bytes [30, 00, 00, 00, 5E, 02, 00, ...] {XOR [EAX], AL; ADD [EAX], AL; POP ESI; ADD AL, [EAX]; ADD [EAX], AL; ADD [EAX], AL}
.text ...
.text C:\WINDOWS\system32\DRIVERS\atksgt.sys section is writeable [0xB46F2300, 0x3B6D8, 0xE8000020]
.text C:\WINDOWS\system32\DRIVERS\lirsgt.sys section is writeable [0xBAC78300, 0x1BEE, 0xE8000020]
---- User code sections - GMER 1.0.15 ----
.text C:\WINDOWS\Explorer.EXE[1564] ntdll.dll!NtQueryDirectoryFile + 6 7C90D756 4 Bytes [90, 61, 31, 01] {NOP ; POPA ; XOR [ECX], EAX}