Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Infekcja typu rootkit

felixxxus

Przez felixxxus
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

felixxxus

felixxxus

Opublikowano
Opublikowano

Witam , komputer WinXp SP3 cały czas obciażenie procesora 50% przez svchost.exe w wlasciwosciach procesu obciązenie daje biblioteka ntdll.dll+0x10250 po jej otwarciu : ntokrnl.exe+0x57e8  i ntdll.dll+0xe514.

 

Za kazdym skanowaniem Comofix pojawia sie informacja o wykryciu Infekcji typu rootkit.

 

Logów FRST nie moglem  wykonac program sie zawieszal , dopiero jak odpalilem Rkill , ktory zablokował jakis proces FRST odpalił.

 

NIS , TDSKiller - nic nie wykrywa

 

 

Proszę o pomoc

ComboFix.txt

Extras.Txt

FRST.txt

OTL.Txt

Rkill.txt

gmer.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Log z FRST niekompletny, brakuje plików Addition i Shortcut, uzupełnij. Póki co, nie widzę tu oznak rzeczywistej infekcji rootkit, ale log GMER jest niejasny ze względu na:

 

 

Za kazdym skanowaniem Comofix pojawia sie informacja o wykryciu Infekcji typu rootkit.

Ani ComboFix ani GMER nie zostały uruchomione w poprawnym środowisku. W tle działa emulator napędów wirtualnych: KLIK. Są aż dwa sterowniki:

 

R0 sptd; C:\WINDOWS\System32\Drivers\sptd.sys [643072 2007-09-14] (Duplex Secure Ltd.) [File not signed]

S3 vaxscsi; C:\WINDOWS\System32\Drivers\vaxscsi.sys [223128 2007-09-14] (Alcohol Soft Co., Ltd.)

 

Odinstaluj Alcohol oraz sterownik SPTD, zresetuj komputer i ponów skan GMER.

 

 

Logów FRST nie moglem wykonac program sie zawieszal , dopiero jak odpalilem Rkill , ktory zablokował jakis proces FRST odpalił.

RKill w oparciu o metodę heurystyczną (niestety możliwe fałszywe alarmy), konkretnie kombinację warunków uruchomienia z folderu Windows i braku podpisu cyfrowego, zabił proces urządzeń USB Lexar:

 

Checking for processes to terminate:
 

* C:\WINDOWS\system32\LxrSII1s.exe (PID: 544) [WD-HEUR]
 

S2 LxrSII1s; C:\WINDOWS\system32\LxrSII1s.exe [49152 2006-01-09] () [File not signed]

 

To nie wygląda na infekcję.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

FRST: spróbuj w Trybie awaryjnym obejść zawieszenia. GMER: To nadal nie wygląda na log zrobiony po odinstalowaniu emulatorów (ich aktywność mocno zaciemnia sprawy). Miałeś: odinstalować Alcohol (to zresztą archaiczna wersja), by pozbyć się sterownika vaxscsi, następnie indywidualnie odinstalować sterownik SPTD narzędzie SPTDinst, zresetować komputer i ponowić skan.

 

 

 

 

.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...