Bluescreen podczas skanowania combofixem, wykryty rootkit


(Adam11) #1

witam. combofix wywala cały czas że znalazł rootkita gdzieś w systemie natomiast nie potrafi dokończyć działania bo wywala bluescreen. zamieszczam logi z silent runners i hijack, proszę o zlokalizowanie problemu

HijackThis

http://wklej.org/id/412967/

SilentRunners

http://wklej.org/id/412969/


(Monczkin) #2

jfix , nazwij proszę temat konkretnie, zgodnie z zasadami działu Bezpieczeństwo. Proszę poprawić logi w poscie. Inaczej wyciągnę konsekwencje. Przeczytaj proszę te tematy.

viewtopic.php?f=16&t=394978

zasady-wklejania-logow-forum-tytulowania-tematow-t253052.html


(jessica) #3

Alcohol, tak samo jak Daemon Tools, jest Rootkitem, choć legalnym, ale ComboFix nie potrafi odróżnić legalnego Rootkita od nielegalnego.

Ale na wszelki wypadek sprawdzimy "z grubsza", czy nie ma nielegalnego Rootkita.

1) Użyj > TDSSKiller >http://www.bezpieczenstwosystemow.pl/index.php?topic=7461.0

daj raport

2) Daj log z > MBRCheck.exe >http://www.bezpieczenstwosystemow.pl/index.php?topic=7494.0

3) Daj log z VBA32Arkit >http://www.bezpieczenstwosystemow.pl/index.php?topic=7635.0 (na samym dole strony z linku jest opis, w jaki sposób podać ten log)

jessi


(Adam11) #4

TDSSKiller w ogóle nic nie znalazł a poniżej logi

mbr

http://wklej.org/id/413295/

vba

http://defect.ovh.org/a.html


(jessica) #5

W MBR nie masz Rootkita.


W logu VBA32Arkit:

"atapi.sys" jest zaznaczony na czerwono, ale to raczej efekt posiadania Alcohol'a, więc zostawiamy to w spokoju, tym bardziej, że TDSSKiller nic nie wykrył.


Nie wiem, co to jest, nigdy czegoś takiego nie nie widziałam, więc nie mam pojęcia, co z tym fantem robić.


To daję do usunięcia:

Ściągnij -->Avenger.

wklej do niego ten tekst:

Files to delete:

C:\WINDOWS\System32\Drivers\apwxnoyu.SYS


Drivers to delete:

apwxnoyu

Kliknij w " Execute" i zatwierdź restart komputera.

Zrestartuj komputer.

Daj Raport z Avengera z C:\avenger.txt.

jessi


(Adam11) #6

http://wklej.org/id/413463/


(jessica) #7

Avenger nie znalazł tego.

A więc Rootkit jest, ale go nie ma. Paradoks.

Nic na to nie poradzę.


(Adam11) #8

owszem tego już nie ma. ale z ciekawości włączyłem vba jeszcze raz i odziwo znalazł kolejnego. powtórzyłem wsystkie czynności aby go usunąć po czym po restarcie okazało się że jest na nowo tylko pod inną nazwą. i tak w kółko więc rozumiem że dalsze usuwanie tego wpisu nie jest konieczne. zostaje mi format czy może da się w jakiś sposób wywalić rootkita z kompa? combofix dalej wywala błąd. poniżej log z dzis

http://defect.ovh.org/a.html


(jessica) #9

A ja zaczynam myśleć, że to jest tylko wirtualny, tymczasowy "rootkit" wytwarzany przez Alcohol'a.

Najlepiej by było usunąć całkowicie Alcohola, ale zdaję sobie sprawę, że Alcohol, a właściwie niektóre jego komponenty, są bardzo trudne do usunięcia. Może usuwać tylko informatyk, zwykły użytkownik sobie z tym nie poradzi.

Wg mnie, nie musisz panikować z powodu tego rzekomego Rootkita.