Strona 1 z 2 12 OstatniOstatni
Pokaż wyniki 1 do 10 z 12

Temat: Rootkity-problem

  1. #1

    Domyślnie Rootkity-problem

    (sory, ale nie chciało mi sie tego pisać na nowo, więc wklejam z innego forum-żeby nie było ja to napisałem link-http://forum.pcformat.pl/thread-209103-post-1583086.html#pid1583086 )
    Witam.
    Mam problem z rootkitami-program avast pokazał mi wczoraj, że mam rootkity, wszystkie poddałem kwarantannie. Dzisiaj po włączeniu komputera, zaczęły się problemy-avast się zacinał, pasek na dole ekranu się zawieszał, internet też, programy nie włączały się itp (mogłem grzebać w dyskach i flderach, a także przez pierwsze 2 mi od włączenia-wejść w avast i menu start). Po kilkunastu resetach i grzebaniu w necie (w drugim kompie), odkryłem, że mam jeszcze jednego rootkita (avast napisał gdzie jest i co to jest, ale nie można nic z tym zrobić). Zostawiłem go na jakieś 30 min, po tym czasie uruchomił się upragniony panel dezaktywowania wirusa (kwarantanna, usuń itp), kliknąłem kwarantnna i wszystko wróciło do normy. Szybko wszedłem na neta i ściągnąłem odkurzacz i Gmera. Wszystko było ok, aż cały komp się zaciął. Zresetowałem go i..... znowu problemy. Mogłem zrobić log Gmerem, ale inne rzeczy wróciły do stanu poprzedniego (tak jakby znowu działał rootkit). Avast nic nie wykrywa, ale dalej jest problem.

    Avast znowu wykrył wirusy i poddaje je kwarantannie, zobaczymy co z tego wyjdzie....
    I po skanowaniu (znalazło kilka wirusów, zostały poddane kwarantannie)-pasek na dole dalej się tnie, internet też.Nie wiem co robić...
    Proszę o szybką odpowiedź.
    Oto najnowszy log z gmera:

    GMER 1.0.15.15281 - http://www.gmer.net
    Rootkit scan 2010-02-18 21:19:01
    Windows 5.1.2600 Dodatek Service Pack 3
    Running: xrembfy0.exe; Driver: C:\DOCUME~1\User\USTAWI~1\Temp\pgldqpoc.sys


    ---- System - GMER 1.0.15 ----

    SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwClose [0xB75BC6B8]
    SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDeleteValueKey [0xB75BCA52]
    SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDuplicateObject [0xB75BC14C]
    SSDT spos.sys ZwEnumerateKey [0xBA6CDDA4]
    SSDT spos.sys ZwEnumerateValueKey [0xBA6CE132]
    SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenKey [0xB75BC64E]
    SSDT spos.sys ZwQueryKey [0xBA6CE20A]
    SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwQueryValueKey [0xB75BC76E]
    SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwRestoreKey [0xB75BC72E]

    INT 0x62 ? 89BE5BF8
    INT 0x63 ? 89AEDBF8
    INT 0xB4 ? 89AEDBF8

    ---- Kernel code sections - GMER 1.0.15 ----

    .text ntkrnlpa.exe!ZwCallbackReturn + 2C28 805044B4 2 Bytes [B8, C6]
    .text ntkrnlpa.exe!ZwCallbackReturn + 2CD4 80504560 2 Bytes [4C, C1]
    ? spos.sys Nie można odnaleźć określonego pliku. !
    .text USBPORT.SYS!DllUnload BA44A8AC 5 Bytes JMP 89AED1D8
    .text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xB9F2B380, 0x2468FD, 0xE8000020]
    .text ajm6280m.SYS B7794386 35 Bytes [00, 00, 00, 00, 00, 00, 20, ...]
    .text ajm6280m.SYS B77943AA 24 Bytes [00, 00, 00, 00, 00, 00, 00, ...]
    .text ajm6280m.SYS B77943C4 3 Bytes [00, 80, 02]
    .text ajm6280m.SYS B77943C9 1 Byte [30]
    .text ajm6280m.SYS B77943C9 11 Bytes [30, 00, 00, 00, 5E, 02, 00, ...] {XOR [EAX], AL; ADD [EAX], AL; POP ESI; ADD AL, [EAX]; ADD [EAX], AL; ADD [EAX], AL}
    .text ...
    .text C:\WINDOWS\system32\DRIVERS\atksgt.sys section is writeable [0xB46F2300, 0x3B6D8, 0xE8000020]
    .text C:\WINDOWS\system32\DRIVERS\lirsgt.sys section is writeable [0xBAC78300, 0x1BEE, 0xE8000020]

    ---- User code sections - GMER 1.0.15 ----

    .text C:\WINDOWS\Explorer.EXE[1564] ntdll.dll!NtQueryDirectoryFile + 6 7C90D756 4 Bytes [90, 61, 31, 01] {NOP ; POPA ; XOR [ECX], EAX}

  2. #2

    Domyślnie log z gmera-druga część

    ---- Kernel IAT/EAT - GMER 1.0.15 ----

    IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [BA6B6042] spos.sys
    IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [BA6B613E] spos.sys
    IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [BA6B60C0] spos.sys
    IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [BA6B6800] spos.sys
    IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [BA6B66D6] spos.sys
    IAT \SystemRoot\System32\Drivers\ajm6280m.SYS[HAL.dll!KfAcquireSpinLock] 18C4830E
    IAT \SystemRoot\System32\Drivers\ajm6280m.SYS[HAL.dll!READ_PORT_UCHAR] 1C959E88
    IAT \SystemRoot\System32\Drivers\ajm6280m.SYS[HAL.dll!KeGetCurrentIrql] 9E880000
    IAT \SystemRoot\System32\Drivers\ajm6280m.SYS[HAL.dll!KfRaiseIrql] 00001CB1
    IAT \SystemRoot\System32\Drivers\ajm6280m.SYS[HAL.dll!KfLowerIrql] 0E798366
    IAT \SystemRoot\System32\Drivers\ajm6280m.SYS[HAL.dll!HalGetInterruptVector] 74AAB000
    IAT \SystemRoot\System32\Drivers\ajm6280m.SYS[HAL.dll!HalTranslateBusAddress] 8986C636
    IAT \SystemRoot\System32\Drivers\ajm6280m.SYS[HAL.dll!KeStallExecutionProcessor] 1A00001C
    IAT \SystemRoot\System32\Drivers\ajm6280m.SYS[HAL.dll!KfReleaseSpinLock] 1C8B86C6
    IAT \SystemRoot\System32\Drivers\ajm6280m.SYS[HAL.dll!READ_PORT_BUFFER_USHORT] C6020000
    IAT \SystemRoot\System32\Drivers\ajm6280m.SYS[HAL.dll!READ_PORT_USHORT] 001C9686
    IAT \SystemRoot\System32\Drivers\ajm6280m.SYS[HAL.dll!WRITE_PORT_BUFFER_USHORT] 86C60200
    IAT \SystemRoot\System32\Drivers\ajm6280m.SYS[HAL.dll!WRITE_PORT_UCHAR] 00001CB2
    IAT \SystemRoot\System32\Drivers\ajm6280m.SYS[WMILIB.SYS!WmiSystemControl] 8800001C
    IAT \SystemRoot\System32\Drivers\ajm6280m.SYS[WMILIB.SYS!WmiCompleteRequest] 001CB99E

    ---- User IAT/EAT - GMER 1.0.15 ----

    IAT C:\WINDOWS\system32\services.exe[704] @ C:\WINDOWS\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW] 003D0002
    IAT C:\WINDOWS\system32\services.exe[704] @ C:\WINDOWS\system32\services.exe [KERNEL32.dll!CreateProcessW] 003D0000

  3. #3

    Domyślnie log z gmera-trzecia część

    ---- Devices - GMER 1.0.15 ----

    Device \FileSystem\Ntfs \Ntfs 89BE31F8

    AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)

    Device \FileSystem\Fastfat \FatCdrom 88C881F8

    AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)


    ---- Registry - GMER 1.0.15 ----

    Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
    Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
    Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
    Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14 919EA49A8F3B4AA3CF1058D9A64CEC
    Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14 919EA49A8F3B4AA3CF1058D9A64CEC@p0 D:\INSTALKI\DAEMON Tools Lite\
    Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14 919EA49A8F3B4AA3CF1058D9A64CEC@u0 0xD4 0xC3 0x97 0x02 ...
    Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14 919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
    Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14 919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0xFB 0xE0 0x6A 0xF5 ...
    Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14 919EA49A8F3B4AA3CF1058D9A64CEC\00000001
    Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14 919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
    Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14 919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x00 0x62 0x8C 0x75 ...
    Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14 919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0
    Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14 919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0xC0 0x57 0x51 0x6B ...
    Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919E A49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)
    Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919E A49A8F3B4AA3CF1058D9A64CEC@p0 D:\INSTALKI\DAEMON Tools Lite\
    Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919E A49A8F3B4AA3CF1058D9A64CEC@u0 0xD4 0xC3 0x97 0x02 ...
    Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919E A49A8F3B4AA3CF1058D9A64CEC@h0 0
    Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919E A49A8F3B4AA3CF1058D9A64CEC@hdf12 0xFB 0xE0 0x6A 0xF5 ...
    Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919E A49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)
    Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919E A49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
    Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919E A49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x00 0x62 0x8C 0x75 ...
    Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919E A49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)
    Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919E A49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0xC0 0x57 0x51 0x6B ...

  4. #4

    Domyślnie log z gmera-czwarta część

    ---- Disk sectors - GMER 1.0.15 ----

    Disk \Device\Harddisk0\DR0 sector 01: copy of MBR
    Disk \Device\Harddisk0\DR0 sector 02: copy of MBR
    Disk \Device\Harddisk0\DR0 sector 03: copy of MBR
    Disk \Device\Harddisk0\DR0 sector 04: copy of MBR
    Disk \Device\Harddisk0\DR0 sector 05: copy of MBR
    Disk \Device\Harddisk0\DR0 sector 06: copy of MBR
    Disk \Device\Harddisk0\DR0 sector 07: copy of MBR
    Disk \Device\Harddisk0\DR0 sector 08: copy of MBR
    Disk \Device\Harddisk0\DR0 sector 09: copy of MBR
    Disk \Device\Harddisk0\DR0 sector 10: copy of MBR
    Disk \Device\Harddisk0\DR0 sector 11: copy of MBR
    Disk \Device\Harddisk0\DR0 sector 12: copy of MBR
    Disk \Device\Harddisk0\DR0 sector 13: copy of MBR
    Disk \Device\Harddisk0\DR0 sector 14: copy of MBR
    Disk \Device\Harddisk0\DR0 sector 15: copy of MBR
    Disk \Device\Harddisk0\DR0 sector 16: copy of MBR
    Disk \Device\Harddisk0\DR0 sector 17: copy of MBR
    Disk \Device\Harddisk0\DR0 sector 18: copy of MBR
    Disk \Device\Harddisk0\DR0 sector 19: copy of MBR
    Disk \Device\Harddisk0\DR0 sector 20: copy of MBR
    Disk \Device\Harddisk0\DR0 sector 21: copy of MBR
    Disk \Device\Harddisk0\DR0 sector 22: copy of MBR
    Disk \Device\Harddisk0\DR0 sector 23: copy of MBR
    Disk \Device\Harddisk0\DR0 sector 24: copy of MBR
    Disk \Device\Harddisk0\DR0 sector 25: copy of MBR
    Disk \Device\Harddisk0\DR0 sector 26: copy of MBR
    Disk \Device\Harddisk0\DR0 sector 27: copy of MBR
    Disk \Device\Harddisk0\DR0 sector 28: copy of MBR
    Disk \Device\Harddisk0\DR0 sector 29: copy of MBR
    Disk \Device\Harddisk0\DR0 sector 30: copy of MBR
    Disk \Device\Harddisk0\DR0 sector 31: copy of MBR
    Disk \Device\Harddisk0\DR0 sector 32: rootkit-like behavior; copy of MBR
    Disk \Device\Harddisk0\DR0 sector 33: copy of MBR
    Disk \Device\Harddisk0\DR0 sector 34: copy of MBR
    Disk \Device\Harddisk0\DR0 sector 35: copy of MBR
    Disk \Device\Harddisk0\DR0 sector 36: copy of MBR
    Disk \Device\Harddisk0\DR0 sector 37: copy of MBR
    Disk \Device\Harddisk0\DR0 sector 38: copy of MBR
    Disk \Device\Harddisk0\DR0 sector 39: copy of MBR
    Disk \Device\Harddisk0\DR0 sector 40: copy of MBR
    Disk \Device\Harddisk0\DR0 sector 41: copy of MBR
    Disk \Device\Harddisk0\DR0 sector 42: copy of MBR
    Disk \Device\Harddisk0\DR0 sector 43: copy of MBR
    Disk \Device\Harddisk0\DR0 sector 44: copy of MBR
    Disk \Device\Harddisk0\DR0 sector 45: copy of MBR
    Disk \Device\Harddisk0\DR0 sector 46: copy of MBR
    Disk \Device\Harddisk0\DR0 sector 47: copy of MBR
    Disk \Device\Harddisk0\DR0 sector 48: copy of MBR
    Disk \Device\Harddisk0\DR0 sector 49: copy of MBR
    Disk \Device\Harddisk0\DR0 sector 50: copy of MBR
    Disk \Device\Harddisk0\DR0 sector 51: copy of MBR
    Disk \Device\Harddisk0\DR0 sector 52: copy of MBR
    Disk \Device\Harddisk0\DR0 sector 53: copy of MBR
    Disk \Device\Harddisk0\DR0 sector 54: copy of MBR
    Disk \Device\Harddisk0\DR0 sector 55: copy of MBR
    Disk \Device\Harddisk0\DR0 sector 56: copy of MBR
    Disk \Device\Harddisk0\DR0 sector 57: copy of MBR
    Disk \Device\Harddisk0\DR0 sector 58: copy of MBR
    Disk \Device\Harddisk0\DR0 sector 59: copy of MBR
    Disk \Device\Harddisk0\DR0 sector 60: copy of MBR
    Disk \Device\Harddisk0\DR0 sector 61: copy of MBR
    Disk \Device\Harddisk0\DR0 sector 62: copy of MBR
    Disk \Device\Harddisk0\DR0 sector 63: rootkit-like behavior; copy of MBR

    ---- EOF - GMER 1.0.15 ----

  5. #5

    Domyślnie

    teraz jeszcze znalazł jakiegoś wirusa-(win32:Crypt-FWF[Drp])co mam zrobić

  6. #6

    Domyślnie

    Cytat Napisał FantasyFan Zobacz post
    teraz jeszcze znalazł jakiegoś wirusa-(win32:Crypt-FWF[Drp])co mam zrobić
    wirus jest w autostarcie..... (w pliku monnid32), ale nie mogę go usunąć, bo mi się komp tnie
    Ostatnio edytowane przez FantasyFan : 02-19-2010 - 17:49

  7. #7

    Domyślnie

    Format będzie najszybszym i najpewniejszym rozwiązaniem.

  8. Domyślnie

    Spybot-S&D + Ad-Aware Free

    Po tym Log z HiJackThis w tagu CODE. I zobaczymy co z tego będzie.

    BTW. Forma jest prostym rozwiązaniem, ale według mnie lepiej się pomęczyć i czegoś nauczyć.

  9. #9

    Domyślnie

    Niestety komp odmawia mi posłuszeństwa i jedyne co mogę włączyć to wiersz polecenia. Czy to możliwe, że avast tnie wszystko
    (Chciałbym uniknąć formata)

    P.S. Dzisiaj wyjeżdżam i tydzień mnie nie będzie...
    Ostatnio edytowane przez FantasyFan : 02-21-2010 - 08:48

  10. Domyślnie

    Mogę wejść też w mój komputer(ale tylko raz na kilka włączeń komputera). Czy istniałaby możliwość usunięcia folderu autostart i zastąpienia go nowym ( nie wykrywa w folderze autostart w moim komputerze zarażonego pliku)
    Ostatnio edytowane przez FantasyFan : 02-21-2010 - 09:01

Strona 1 z 2 12 OstatniOstatni

Tagi

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj