Prawdopodobieństwo rootkita


(system) #1

Chyba w systemie mam rootkita o nazwie $pds#fs$.$#$ . :expressionless: Taki plik mam na wszystkich partycjach dysku twardego, sprawdzałem w Linuksie co w tych plikach jest, były tam ścieżki do plików które niedawno otwierałem. :o

Tutaj macie log z ComboFix:

http://www.wklej.org/id/85173/?zawin=0

A tutaj log z HijackThis:

http://www.wklej.org/id/85164/?zawin=0

Bardzo proszę o pomoc, co mam z tym plikiem zrobić :?: :-x :?:


(Gutek) #2

Wklej do Notatnika:

File::

c:\windows\system32\e542.sys

c:\windows\system32\5866A.sys

c:\windows\system32\05e2.sys


Folder::

c:\program files\AskSBar


Driver::

02689

5348A

7048B

05e2

e542

GPU-Z

ZDCndis5

>>Plik>>Zapisz jako... >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe ) Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe ) – podobnie jak na tym obrazku -->cfscript10uc2.gif


(system) #3

Tutaj masz log:

http://www.wklej.org/id/85223/?zawin=0

A ten plik (C:\$pds#fs$.$#$) to już wcześniej usunąłem jakimś programem F-Secure BlackLight. Nie przywrócił się. :smiley: A w ogóle to i tak przeskanować bym go nie mógł bo w Windowsie go nie widać nawet jak się włączy wyświetlanie plików ukrytych i systemowych. :-o


(Gutek) #4

Wklej do Notatnika:

File::

c:\windows\system32\e542.sys

c:\windows\system32\5866A.sys

c:\windows\system32\05e2.sys

C:\$pds#fs$.$#$.ren


Folder::

C:\29a1e3217c7d01d69021

C:\10e0179e3930de7bf2

C:\c5e9d7d717feb604656076916462


Driver::

5866A

>>Plik>>Zapisz jako... >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku -->

cfscript10uc2.gif

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: **** Qoobox.

Po tym nowy log z Combo oraz pokaż wynik skanu Dr. Web CureIt


(system) #5

Tutaj log:

http://www.wklej.org/id/85239/?zawin=0

Co ja mam dokładnie przeskanować tym Dr. Web CureItem :?: Bo mogę wybrać tylko pojedynczy plik. :roll:


(Gutek) #6

Pobierz The Avenger.W okienku, które się otworzy wklej:

kopiuj >> klikasz na Paste Script from Clipboard >> Execute >> Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt


(system) #7

Tutaj masz raport:

http://wklej.org/id/85411/?zawin=0

Dodam jeszcze, że od pewnego czasu internet stał się parę razy wolniejszy. :cry: Kiedyś ściągałem pliki z prędkością 200kb/s teraz ściągam 50kb/s... :? :frowning: :expressionless:


(Gutek) #8

Wykonaj skan Dr. Web CureIt masz ściągnąć program i wykonać skanowanie