IRP:Addr(Hook.IRP)

Dla specjalistów Bezpieczeństwo
#1

Hej :slight_smile:

możecie mi powiedzieć o co chodzi w tym raporcie z RogueKiller?

http://wklej.to/2FYGe

#2

Powyższy raport wskazuje na rootkit w IRP, i przechwycenie ważnych funkcji IRP w sterowniku,

Wiecej w tym temacie na http://webhosting.pl/Rootkity%3A.rozpoznajemy.ukryte.szkodniki.w.systemie.operacyjnym

 

Pobierz na pulpit Adwcleaner - https://toolslib.net/downloads/viewdownload/1-adwcleaner/

Po uruchomieniu wykonaj polecenia szukaj i usuń.

Pobierz na pulpit skaner FRST ( we 64 bit ) - http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/

Uruchom skaner. Wygenerowane raporty FRST i Addition wklej na http://www.wklej.org,

#3

Adwcleaner nic nie usunął bo nie miał co :).

 

FRST: http://www.wklej.org/id/1626490/

Addition: http://www.wklej.org/id/1626492/

#4

Otwórz notatnik systemowy i wklej:

Task: {47837E13-2AC9-48D5-85D7-477E4C44E333} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline No Task File ==== ATTENTION
Task: {BF71A8CB-ABE0-4F20-AC54-AFB02849EC61} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask No Task File ==== ATTENTION
Task: {CEE64558-E1A7-4D9D-80A7-2001912BE5B5} - \Microsoft\Windows\MemoryDiagnostic\CorruptionDetector No Task File ==== ATTENTION
Task: {FA2BC0A6-8D4B-458A-85C8-2B8C72487513} - \Microsoft\Windows\MemoryDiagnostic\DecompressionFailureDetector No Task File ==== ATTENTION
Task: {FE063AC9-79C8-4C27-87F3-ADEB729F0ECB} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-84332385-3745824528-537804561-1001UA = C:\Users\Kasia\AppData\Local\Facebook\Update\FacebookUpdate.exe [2014-12-06] (Facebook Inc.)
Task: {D1B887AF-E357-4DA2-A682-94C867395584} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-84332385-3745824528-537804561-1001Core = C:\Users\Kasia\AppData\Local\Facebook\Update\FacebookUpdate.exe [2014-12-06] (Facebook Inc.)
Task: {FA2BC0A6-8D4B-458A-85C8-2B8C72487513} - \Microsoft\Windows\MemoryDiagnostic\DecompressionFailureDetector No Task File ==== ATTENTION
Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-84332385-3745824528-537804561-1001Core.job = C:\Users\Kasia\AppData\Local\Facebook\Update\FacebookUpdate.exe
Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-84332385-3745824528-537804561-1001UA.job = C:\Users\Kasia\AppData\Local\Facebook\Update\FacebookUpdate.exe
SearchScopes: HKU\.DEFAULT - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
FF SearchPlugin: C:\Users\Kasia\AppData\Roaming\Mozilla\Firefox\Profiles\utvy4t49.default\searchplugins\avira-safesearch.xml
R1 avgtp; C:\Windows\system32\drivers\avgtpx64.sys [50976 2014-12-06] (AVG Technologies)
U3 agqjqugk; C:\Windows\System32\Drivers\agqjqugk.sys [0] (Advanced Micro Devices) ==== ATTENTION (zero size file/folder)
2015-02-06 14:42 - 2014-12-17 06:46 - 00000000 ____ D () C:\AdwCleaner
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.

#5

i co dalej? :slight_smile:

#6

Skasuj folder C:\FRST

Daj log z TDSSKiller http://support.kaspersky.com/viruses/solutions?qid=208280684 Jak coś znajdzie daj na skip.

#7

http://zapodaj.net/5038e31572075.jpg.html

 

cisnę na awaryjnym bo mi się nie chce załadować normalnie system :smiley:

#8

Nie widać żadnego rootkita.

#9

to widocznie programy oszukują :smiley:

wcześniej AVG, teraz RogueKiller :stuck_out_tongue:

 

ale dzięki :slight_smile: