Rootkit w C:\WINDOWS\system32\drivers\mcdbus.sys


(Dziki Wonsz) #1

Siemanko.

Zdziwiła mnie dzisiaj następująca rzecz: włączam normalnie komputer elegancko, łącze się z internetem i wyskakuje komunikat avasta ''znaleziono pasożyta''

Plik: C:\WINDOWS\system32\drivers\mcdbus.sys

Nazwa pasożyta: Win32:Sloup[Rtk]

Typ pasożyta: Rootkit

Wersja VPS: 090706-0, 2009-07-06

avast zaleca kwarantanne, ale jeśli dam kwarantanne to za pół sekundy wyskakuje to samo i tak w kółko..

Dziwne jest to, że wczoraj normalnie przez cały dzien chodził komputer, wszystko było ok, żadnych nowych rzeczy nie ściągałem, nie instalowałem nic, dzień jak co dzień, grałem w FM 09 i nagle jakiś pasożyt....

Nie moge zrobić loga z Hijacka - po 2 sekundach się wiesza...

Kiedyś jak chciałem zrobić loga z Combofixa to ... padł mi system. Szlag trafił neta i sterowniki - nie wiem czemu tak się stało.

W procesach zauważyłem także coś czego nigdy nie było:

wpv451246958170.exe

dumprep.exe

wmiprvse.exe

Daję tylko loga z Silent Runnera, ale i tak nie wiem czy cały bo też jakoś dziwnie działa, nie pokazuje się wiadomość że skanowanie zakończone...

Dałem drugi raz żeby zrobiło loga, to zrobiło gdzieś na 2 linijki. ... kompletnie nie wiem co się stało ...

Błagam pomóżcie coś, bo na dysku mam tyle ważnych rzeczy do pracy, że jak będę musiał postawić system to się załamie chyba...

Dziękuję z góry za pomoc.

EDIT: udało się jednak zrobić loga z SL

EDIT2: i z Hijacka


(Henio Mazurek) #2

To wygląda na prawidłowy sterownik. W dodatku nazwa rootkit jest tu nawet usprawiedliwiona.

Tutaj więcej, instalowałeś coś takiego?

http://lus.tallemu.com/oasis2/file/magi ... sys/101598

Ale infekcja i tak tutaj jest. Wklej logi z OTL i gmer

http://oldtimer.geekstogo.com/OTL.exe

http://www.gmer.net/

Logi wklej na www.wklej.org a tutaj tylko link do wklejki.