Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Rootkit Physical drive0

Eslendil

Przez Eslendil
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Eslendil

Eslendil

Opublikowano
Opublikowano

Witam. Od jakiegos czasu zauuwazylem nieznaczne lecz zauwazalne spowolnienie pracy komputera. zainstalowalem spybota2 i dalem rootkit scan i dostalem wiadomosc ze prawdopodobnie moj

komp jest zainfekowany rootkitem i pisze mi wlasnie Physical drive0. Staralem sie duzo o tym przeczytac ale jak dobrze zrozumialem kazdy rootkit tak na prawde trzeba potraktowac indywidualnie a ze sie na tym nie znam to

prosze o pomoc. Zalaczam ponizej logi z roznych programow:

 

 

Log z GMER

http://wklej.org/id/961527/

 

Log z TDSSKiller

http://wklej.org/id/961523/

 

OTL

http://wklej.org/id/961533/

 

Combofix (Sciagnalem ten program i zeskanowalem nim system zanim przeczytalem posty Picasso dlatego tez zalacze loga)

http://wklej.org/id/961535/

 

Z gory dziękuje za pomoc!!

 

Edit.

Dołaczyłem Extras z OTL

http://www.wklej.org/id/961817/

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Log z HijackThis usuwam. Nikt tu nie korzysta w analizie z tego archaizmu. W pełni zastępuje go OTL, który ma wszystko co HijackThis i jeszcze więcej, czego w HJ nie uświadczysz. HijackThis nie jest też w ogóle zgodny z systemem x64 (jest 32-bitowy i nie potrafi odczytać 64-bitowej części, więc opowiada głupoty "file missing"). Zapomnij o nim na systemie 64-bit.

 

 

zainstalowalem spybota2 i dalem rootkit scan i dostalem wiadomosc ze prawdopodobnie moj

komp jest zainfekowany rootkitem i pisze mi wlasnie Physical drive0. Staralem sie duzo o tym przeczytac ale jak dobrze zrozumialem kazdy rootkit tak na prawde trzeba potraktowac indywidualnie a ze sie na tym nie znam to

 

Spybot to słaby skaner i ja mu nie wierzę. GMER i TDSSKiller to mocna specjalizacja w temacie rootkit, nie Spybot. Jedyne co jest tu wykryte, to w GMER kod w MBR oznaczony jako "nieznany":

 

---- Disk sectors - GMER 2.1 ----
 
Disk    \Device\Harddisk0\DR0     unknown MBR code

 

To nie świadczy jeszcze o infekcji. Kod MBR może być niestandardowy, jeśli przykładowo: komputer OEM i ma partycję Recovery, są zainstalowane dodatkowe menedżerzy rozruchu. Tu mamy komputer ASUS, czyli kod MBR może być niestandardowy. Twój układ partycji widziany w TDSSKiller:

 

17:43:41.0526 5740  \Device\Harddisk0\DR0:
17:43:41.0526 5740  GPT partitions:
17:43:41.0526 5740  \Device\Harddisk0\DR0\Partition1: GPT, TypeGUID: {C12A7328-F81F-11D2-BA4B-00A0C93EC93B}, UniqueGUID: {584DF351-A471-44AB-A90B-C12C90007879}, Name: EFI system partition, StartLBA 0x800, BlocksNum 0x64000
17:43:41.0526 5740  \Device\Harddisk0\DR0\Partition2: GPT, TypeGUID: {E3C9E316-0B5C-4DB8-817D-F92DF00215AE}, UniqueGUID: {F6402069-8FF2-48B2-B60A-8714FD316299}, Name: Microsoft reserved partition, StartLBA 0x64800, BlocksNum 0x40000
17:43:41.0526 5740  \Device\Harddisk0\DR0\Partition3: GPT, TypeGUID: {EBD0A0A2-B9E5-4433-87C0-68B6B72699C7}, UniqueGUID: {6E381354-DC9F-4198-8755-BFB76C084475}, Name: Basic data partition, StartLBA 0xA4800, BlocksNum 0x22E44800
17:43:41.0526 5740  \Device\Harddisk0\DR0\Partition4: GPT, TypeGUID: {EBD0A0A2-B9E5-4433-87C0-68B6B72699C7}, UniqueGUID: {BDED3D12-F0EE-4E47-94C5-AADB0FA55BF6}, Name: Basic data partition, StartLBA 0x22EE9000, BlocksNum 0x3145D000
17:43:41.0526 5740  \Device\Harddisk0\DR0\Partition5: GPT, TypeGUID: {DE94BBA4-06D1-4D40-A16A-BFD50179D6AC}, UniqueGUID: {7084BADA-F395-416B-BBDE-C7E81C24342E}, Name: Basic data partition, StartLBA 0x54346000, BlocksNum 0x3200000
17:43:41.0526 5740  MBR partitions:
17:43:41.0526 5740  ============================================================
17:43:41.0604 5740  C:  \Device\Harddisk0\DR0\Partition3
17:43:41.0822 5740  D:  \Device\Harddisk0\DR0\Partition4

 

Póki co, ja tu infekcji nie widzę.

 

 

Od jakiegos czasu zauuwazylem nieznaczne lecz zauwazalne spowolnienie pracy komputera. zainstalowalem spybota2

 

Spybota odinstaluj, nie widzę potrzeby trzymania go przy obecności MBAM. Zajmij się redukcją procesów. Odinstaluj niepotrzebne programy zintegrowane przez producenta. Na pierwszy ogień widać tu ASUS WebStorage. Ten wirtualny dysk ASUS tworzy problemy, na forum dużo tematów z błędami explorer.exe z jego winy. Możesz odinstalować też inne rzeczy, Cyberlinka czy inne bajery ASUS. Deinstalacje urwą kilka procesów.

 

 

Combofix (Sciagnalem ten program i zeskanowalem nim system zanim przeczytalem posty Picasso dlatego tez zalacze loga)

 

No cóż, nie było to potrzebne, a program wyrzucił omyłkowo kilka plików ASUS (ale to akurat nie ma znaczenia i nawet nie warto przywracać). Odinstaluj program w prawidłowy sposób. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę:

 

C:\Users\Szałek\Downloads\ComboFix.exe /uninstall

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...