Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Avast wykrywa zagrożenie rootkit MBR:\\.\PHYSICALDRIVE0

DraXin

Przez DraXin
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

DraXin

DraXin

Opublikowano
Opublikowano

Od jakiegoś czasu da się zauważyć spadek szybkości pracy komputera , częste tzw. "ekrany śmierci" które odbywają się nieregularnie , ponadto program Avast wykrył zagrożenie rootkit (Nazwa Pliku "MBR:\\.\PHYSICALDRIVE0")

Proszę o pomoc w tej sprawie , niestety jestem zielony w tych sprawach więc proszę o jak najprościej ujęte wskazówki, Co i jak robić po kolei.

 

W załącznikach umieszczam logi z OTL i GMER

OTL.Txt

Extras.Txt

GMER1.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Nie dostosowałeś się do ogłoszenia (KLIK), jest tu czynny emulator napędów wirtualnych:

 

DRV - [2011-02-26 14:59:57 | 000,691,696 | ---- | M] () [Kernel | Boot | Running] -- C:\Windows\System32\Drivers\sptd.sys -- (sptd)

 

Od jakiegoś czasu da się zauważyć spadek szybkości pracy komputera , częste tzw. "ekrany śmierci" które odbywają się nieregularnie , ponadto program Avast wykrył zagrożenie rootkit (Nazwa Pliku "MBR:\\.\PHYSICALDRIVE0")

 

Tak, znaki wskazują tu na pobyt rootkita w MBR. Są takie odczyty w GMER.

 

Rozpocznij od utworzenia raportu z narzędzia Kaspersky TDSSKiller. Uruchom, jeśli coś wykryje nic jeszcze nie naprawiaj = przyznaj akcję Skip i zaprezentuj raport tekstowy do oceny. Wyniki prawdopodobnie będą dwa: odczyt MBR oraz sterownik emulacji napędów wirtualnych SPTD. Wszystko zignoruj.

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano
Co do emulowanego dysku to usuwałem przed skanem Daemon tools , widocznie coś przegapiłem.

 

Nie wystarczy odinstalować program, to nie usuwa sterownika SPTD. On pozostaje nawet po odinstalowaniu programu i należy go potraktować indywidualnie. W ogłoszeniu to jest wyszczególnione.

 

 

zamieszczam raport Kaspersky TDSSKiller'a

 

Kaspersky TDSSKiller nie widzi tego zachowania w MBR. To oznacza, że trzeba będzie przepisywać MBR "w ciemno" standardowym kodem. Podaj jeszcze log z MBRCheck + aswMBR. Wypowiedz się też wyraźnie co to za rodzaj komputera, od jakiego producenta i czy jest tu partycja Recovery do której pozyskuje się dostęp via kombinację klawiszową na starcie.

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Log z MBRCheck jest urwany - brakuje najważniejszych odczytów. Log z aswMBR wygląda podejrzanie. Sięgamy po arsenał zewnętrzny:

 

1. Zastartuj z płyty do środowiska WinRE. Jeśli nie masz DVD instalacyjnej systemu, w linku jest gotowa płytka WinRE do pobrania.

 

2. Wybierz Wiersz polecenia i wpisz komendę: BOOTREC /FIXMBR

 

3. Restartujesz do Windows i produkujesz nowy log z GMER.

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Odczyt rootkit punktujący MBR zniknął i jak przypuszczam Avast już się nie żali na temat PhysicalDrive0. Pojawiło się za to:

 

---- Services - GMER 1.0.15 ----
 
Service       C:\Windows\servicing\TrustedInstaller.exe (*** hidden *** )       [AUTO] TrustedInstaller       
To nie wygląda mi na prawdziwego rootkita. Jest tu oznaczona jako ukryta usługa Instalator modułów Windows. Zresetuj komputer i ponów log z GMER. Zobaczymy czy coś się zmieni.
Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Odczyt jest nieobecny. Przypuszczam, że TrustedInstaller uległ zawieszeniu, stąd wprowadzanie w błąd. Sprawa podstawowa z MBR wygląda na rozwiązaną. Możemy przejść do rzeczy małego kalibru. Czyli małe porządki, usunięcie wpisów odpadków oraz czyszczenie lokalizacji tymczasowych.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKU\S-1-5-21-702542864-2288241957-1507575528-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = my.daemon-search.com
[2011-02-26 15:01:10 | 000,002,055 | ---- | M] () -- C:\Users\Szef\AppData\Roaming\Mozilla\Firefox\Profiles\51ma5e4z.default\searchplugins\daemon-search.xml
O2 - BHO: (Java™ Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} -  File not found
O3 - HKU\S-1-5-21-702542864-2288241957-1507575528-1001\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} "http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab" (Reg Error: Key error.)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.)
 
:Commands
[emptyflash]
[emptytemp]

Rozpocznij proces przyciskiem Wykonaj skrypt. Po restarcie systemu otrzymasz log z tego działania.

 

2. Przedstaw do oceny (mam nadzieję, że ostatnie) logi z OTL z opcji Skanuj. Dołącz też log powstały z usuwania.

 

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Wszystko ukończone pomyślnie. Finalizacja:

 

1. Nabawiłeś się nowego śmiecia. Nieuważna instalacja uTorrent (pasek należało odznaczyć). Do deinstalacji: Conduit Engine + uTorrentBar Toolbar.

 

2. W OTL skorzystaj z funkcji Sprzątanie.

 

3. Wyczyść foldery Przywracania systemu: INSTRUKCJE

 

4. Zmień wszystkie hasła logowania. Rootkity MBR parają się przechwytywaniem tego typu danych.

 

5. Zaktualizuj Windows. Już jest: Windows 7 Service Pack 1.

 

6. Propozycja poboczna: wymiana ciężkiego GG10 na lżejszy program z obsługą Gadu (WTW / Miranda / AQQ). Opisy: Darmowe komunikatory.

 

Podsumuj co się dzieje z systemem.

 

 

.

Odnośnik do komentarza
DraXin

DraXin

Opublikowano
  • Autor
Opublikowano

Wyraźna poprawa , przyspieszył i to sporo avast tez już się nie czepia . Zrobiłem wszystko oprócz aktualizacji widowsa i zmiany gadu gadu ponieważ nie za bardzo podobają mi się te inne komunikatory, wizualnie są jakieś nieładne (zmiana gg i aktualizacja win.7 poprawiły by wydajność??) .

 

100 krotne dziękuje za profesjonalną pomoc ! :)

 

P.S. jaki darmowy antywirus polecasz ?

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano
wizualnie są jakieś nieładne

 

A które masz na myśli? Te które ja mam na myśli można sobie przeobrażać stosownie do gustów systemem alternatywnych kompozycji. Można mieć szaro, kolorowo, różnie ... Np. do WTW tu forum poświęcone zmianom wyglądu: KLIK. Obejrzyj przykładowe paczki. Bo też i WTW mam głównie na oku, sama go używam. Jest to naprawdę dobry komunikator: lekki, żadnych reklam, może działać jako przenośny, obsługuje wszystkie ważne cechy nowego Gadu (długie numery, szyfrowanie, multilogowanie, przesył plików i obrazków, konferencje, pisak). Po dowtyczkowaniu otrzymasz dźwięki i emotki, w zależności od wybranej kompozycji zmienisz sobie wygląd. To sugestia i może wyglądam tu jak niezły reklamodawca jednego produktu, ale w mojej opinii jest to jeden z najlepszych komunikatorów obsługi Gadu na dzień dzisiejszy.

 

 

(zmiana gg i aktualizacja win.7 poprawiły by wydajność??)

 

Zmiana Gadu 10 z pewnością, ten program ma niewiarygodne wymagania jak na to czym się ma zajmować, a Flash może nieźle zamulić. Natomiast aktualizacja Windows o SP1 jest ważna pod kątem zabezpieczeń.

 

 

P.S. jaki darmowy antywirus polecasz ?

 

Nie mam zastrzeżeń do Twojego Avasta. A wersja 6 dostała jeszcze więcej za darmo niż 5 (osłona skryptowa, blokowanie URL, autosandbox). Wg mnie jest dobrze i nie ma co kombinować.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano
Co takiego zrobiłem (Ty zrobiłaś moimi rękami) że się naprawiło ?? :P

 

Serio pytasz? :P Jeśli akcje były niezrozumiałe: usunąłeś szkodliwy kod infekcji z obszaru rozruchowego dysku poprzez nadpisanie go kodem Windows 7 (polecenie bootrec).

 

 

co do komunikatora fajnie by było stworzyć swoją skórkę graficzną z obrazków itp. no ale nie można mieć wszystkiego pomyśle nad tym WTW.

 

No dobrze, rozmyślaj o tym, bo widzę że Cię nie przekonałam. :P "Skórki graficznej z obrazków" nie czaję. Za to, prócz ręcznej edycji plików kompozycji (co jest relatywnie trudne), podsuwam proste tipy: tło pod listę kontaktów możesz z biegu podstawić własnym obrazem w WTW (wystarczy wymienić jeden pliczek PNG w katalogu programu), a projektowanie własnych kolorów listy kontaktów via dodatek WTW Style Generator.

 

 

Jeśli nie będziesz miał więcej pytań, temat zostanie zamknięty.

 

 

.

Odnośnik do komentarza
DraXin

DraXin

Opublikowano
  • Autor
Opublikowano

Serio pytasz? :P Jeśli akcje były niezrozumiałe: usunąłeś szkodliwy kod infekcji z obszaru rozruchowego dysku poprzez nadpisanie go kodem Windows 7 (polecenie bootrec).

 

Dobry jestem skoro to zrobiłem xDD

 

Skórki z obrazków tzn np. żeby nie zmieniać tylko kolorów ale także dodawać obrazy do wyglądu komunikatora.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano
Skórki z obrazków tzn np. żeby nie zmieniać tylko kolorów ale także dodawać obrazy do wyglądu komunikatora.

 

Jeśli dobrze rozumiem Twój zamysł, to w WTW kończy się to na podstawieniu obrazka pod listę, nie można robić "gradientu" z kawałka mapy bitowej aka dekorować obwódki czy nakładać to w sposób podobny do Yahoo / ICQ (malowanie wzorem po całym oknie). Nie jestem nawet pewna czy jest alternatywny komunikator GG z tych sprawnych, który umożliwia taki typ działań.

Odnośnik do komentarza
DraXin

DraXin

Opublikowano
  • Autor
Opublikowano (edytowane)

Zadowolę się tym że komputer będzie bardziej wydajny :)

 

Ostatnie posty trochę offtop no ale trudno już można zamknąć.

Dziękuje bardzo za pomoc , cenne rady i miłą atmosferę :)

Edytowane przez picasso
Offtopy też potrzebne dla rozluźnienia. :P Temat pomyślnie ukończony. Zamykamy. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...