Rootkit kernel mode/problem z odinstalowaniem AVG 9

Przeskanowałem komputer dwoma programami i wszystko wskazuje na to, że mam rootkita kernel mode. Mógłby ktoś zerknąć na wyniki?

Drugim problemem jest to, że nie mogę odinstalować AVG 9.

System Virginity Verifier - co prawda nie do końca wykrywa rootkita (wygląda jednak na to, że nie może odczytać jakichś informacji z ntoskrnl), ale już Rootkit Unhooker wyraźnie wskazuje na obecność rootkita. Parę dni temu komputer był formatowany z powodu strasznej zwiechy systemu, ale wydaje mi się, że rootkit skrył się gdzieś na partycjach lub jakichś innych dziwnych miejscach i wytrzymał formatowanie (czy to możliwe? świeży MBR wgrałem przed formatowaniem).

SVV:

Pokazuje co prawda poziom zainfekowania niebieski czyli najniższy z możliwych, ale zastanawia mnie komunikat
"Important module ntoskrnl.exe not found", który chyba nie powinien się pojawić, prawda? Co to może znaczyć?

Wyniki Rootkit Unhooker:



W nakładce SSDT programu zastosowałem "UnHookSelected" - usunęło, jednak po restarcie, podczas ponownego skanowania pojawiają się dokładnie te same cztery problemy. Dodatkowo, podczas usuwania komputer sam się restartował.



W nakładce Code Hooks prbowałem zrobić to samo. Oto wyniki przed i po "odhookowaniu"



Czasem "po" nie pokazuje żadnych wyników i komputer sam się resetuje, a czasem widnieje coś takiego



...i komputer się resetuje. Po restarcie i skanowaniu znów pojawiają sie te same wyniki.

Chciałem jeszcze o czymś wspomnieć, bo może to ważne. Wyniki skanowania Rootkit Unhooker przedstawione na obrazkach wskazują na jakieś nieprawidłowości z plikami AVG Identity Protection. Wcześniej miałem (i cały czas mam) problem z odinstalowaniem AVG, co opisuję w tym temacie:

Fora AVG - Nie mogę usunąć AVG 9.0.704

pomocy, jak dotąd, nie otrzymałem.

Jeśli potrzebujecie jakieś dodatkowe logi lub cokolwiek, co pozwoli rozwiązać problem, proszę pisać. Będę wdzięczny za wszelką pomoc.

Uwaga: To jest stary temat Ta dyskusja jest starsza niż 90 dni. Informacje w niej zawarte mogą już nie być aktualne

zamieść logi z Hijackthis na jakieś wklejce i podaj je tu nie lubie oceniać stanu z takich programów...a w Hijackthis chociaż jest wyraźnie pokazane.

Proszę

z hijackthis
wklej.org - wklejka nr 209781

z Gmera 1.0.15.15227 i daję log:
wklej.org - wklejka nr 208452

log z silentrunners
wklej.org - wklejka nr 208457

log otl
wklej.org - wklejka nr 208462

Dzisiaj po skanowaniu Avastem

Oto wynik skanu na starcie komputera:

Kod:

Plik C:\Program Files\AutoPatcher\tools\Tweak Undo.exe\[tElock] jest zarażony przez Win32:Rootkit-gen [Rtk], Przeniesiono do kwarantanny
Liczba przeszukanych katalogów: 9882
Liczba przetestowanych plików: 99301
Liczba zarażonych plików: 1

Tak w ogóle, infekcję w Tweak Undo od dłuższego czasu wykrywał mi internetowy skaner Pandy (regularnie zwracał informacje o TRZECH infekcjach, w tym właśnie za każdym razem o Tweak Undo), ale ignorowałem ostrzeżenie mysląc, że to fałszywy alarm. Teraz, gdy wykrył go również Avast, próbowałem plik Tweakundo znaleźć w kwarantannie Avasta i wrzucić na stronę Virustotal i przebadać czy to rzeczywiście wirus, ale nigdzie nie mogę znaleźć folderu kwarantanny Avasta, a tym bardziej pliku Tweakundo.

Co najdziwniejsze. Zapusciłem skanowanie Pandą online i wtedy (nie wiem co dokładnie było tego przyczyną) plik o nazwie Tweakundo pojawił sie w lokalizacji

Kod:

C:\Program Files\Alwil Software\Avast4

, odruchowo najechałem na niego myszą zaznaczając go (ikonkę miał identyczną jak program Rootrepeal) i wtedy Avast podał komunikat, że wykrył infekcję Tweak Undo. Plik natychmiast zniknął, a wynik jego poruszania się po systemie widać w widoku kwarantanny:



Na starcie zrobiłem skanowanie Avastem - nic nie wykrył na C: (dalej nie czekałem bo już mnie, za przeproszeniem, cholera bierze od patrzenia na te paski postępu). Co zrobić z tymi plikami w kwarantannie?

Do kwarantanny możesz dostać się poprzez interfejs.

Więc tak. Na początku zaznacz oba pliki, następnie kliknij prawym i skanuj. Jeżeli wynik będzie pozytywny i wykryje wirusa, to znaczy że udało ci się złapać tego rootkita i o system już się nie masz co martwić.

Nie musisz ich usuwać z kwarantanny, ponieważ te pliki są już niegroźne bo nie mają szans wyjścia z kwarantanny. Jeżeli jednak tak bardzo chcesz, możesz usunąć pliki.

Kliknij prawym i "usuń". W żadnym wypadku nie bierz opcji "Przywróć"!

Oto screen:


Po kliknięciu usuń powinno pojawić się takie okienko:



Klikasz tak i po kłopocie.

Napisz mi, jaką masz wersje Avast

Dla pewności możesz zrobić jeszcze jeden skan, ponieważ rootkit to skurczybyk i dobrze sie ukrywa.

Zamieszczone przez marlowe12345

Na starcie zrobiłem skanowanie Avastem - nic nie wykrył na C:

Jeżeli pasożyt był na C, to znaczy, że ten zainfekowany gość jest już w kwarantannie.

Dla pewności, przeskanuj inne partycje.

Kiedy już je przeskanujesz, napisz w tym temacie, czy było coś jeszcze, czy nie.

AHA! I usuń tylko te z czaszką obok! Tamtych nie ruszaj, bo to są ważne pliki.

Ho ho mój przyjaciel kernel mode.Też miałem z nim poważny kłopot parę miechów temu.Szczerze polecam jedyną sensowna opcję w tej chwili czyli preinstalke windy i instalke lepszego antywirusa typu NOD 32 lub Aviry.Avast przepuszcza jak dziurawe wiadro.

Bardzo jest ciekawe to co mówisz... Tym bardziej, że ja używam avast około 4 lat i nie miałem problemu z żadnym wirusem i ani jednego formata. A uwierz mi, że miałem tak samo styczność z różnymi wirusami między innymi właśnie z rootkitami. Ale to nie temat na takie dyskusje. A myślę, że nawet nie używałeś avasta, a masz o nim takie zdanie.

marlowe12345 Czekam na twoją odpowiedź.