Dobrý večer,
omlouvám se za tohle téma, ale zajímá mě, zda následující soubory jsou rootkity?
PDCOMP.sys
i2omgmt.sys
Ibrtfdc.sys
PCIDump.sys
PDFRAME.sys
PDRELI.sys
WDICA.sys
Zkoušel jsem googlit, ale nic moc.
Po čisté instalaci XP a spuštění Autorun se tyhle soubory objeví jako spustitelné. Když jsem se je pokusil vypnout, hodilo to modrou smrt a ani v Nouzovém režimu se PC nerozběhlo. Pak jsem na anglických stránkách našel, že by se mohlo jednat o rootkit. Stáhl jsem AwareAway a ten tyhle soubory označil jako rookit.
HKLM\SYSTEM\CurrentControlSet\Services\PCIDump : Driver : rootkit.pcidump : No Action Taken
HKLM\SYSTEM\CurrentControlSet\Services\PDCOMP : Driver : rootkit.pdcomp : No Action Taken
HKLM\SYSTEM\CurrentControlSet\Services\PDFRAME : Driver : rootkit.pdframe : No Action Taken
HKLM\SYSTEM\CurrentControlSet\Services\PDRELI : Driver : rootkit.pdreli : No Action Taken
HKLM\SYSTEM\CurrentControlSet\Services\PDRFRAME : Driver : rootkit.pdrframe : No Action Taken
HKCR\CLSID:{9CEE304E-DC6C-11D2-B561-00A0C92E6848} : Registry Key : IE Hijacker : No Action Taken
Stáhl jsem Kasperského Rescue Disk a u bootu to projelo pc. Nic to nenašlo. Zkusil jsem COMODO Cleaning Essentials, který většinou najde, když je, ale taky nic nenašel. Projel jsem pc Combofixem a ten taky nic nenašel.
Nejsem PC odborník, ale domnívám se, že tohle má něco společného s častým padáním explorer.exe.
Zablokoval jsem první 3 soubory a explorer.exe se o dost uklidnil. Dřív padal i 20x za hodinu. Při pádech nepomohl ani příkaz sfc /scannow. A Obnovu systému mám zablokovanou.
Můžete mi prosím jako odborníci poradit, zda jde o rootkit nebo na co ty soubory jsou? Případně, jak je odstranit?
Odvirování PC, zrychlení počítače, vzdálená pomoc prostřednictvím služby neslape.cz
Systémové soubory-rootkity?
Moderátor: Moderátoři
Pravidla fóra
Pokud chcete pomoc, vložte log z FRST [návod zde] nebo RSIT [návod zde]
Jednotlivé thready budou po vyřešení uzamčeny. Stejně tak ty, které budou nečinné déle než 14 dní. Vizte Pravidlo o zamykání témat. Děkujeme za pochopení.
!NOVINKA!
Nově lze využívat služby vzdálené pomoci, kdy se k vašemu počítači připojí odborník a bližší informace o problému si od vás získá telefonicky! Více na www.neslape.cz
Pokud chcete pomoc, vložte log z FRST [návod zde] nebo RSIT [návod zde]
Jednotlivé thready budou po vyřešení uzamčeny. Stejně tak ty, které budou nečinné déle než 14 dní. Vizte Pravidlo o zamykání témat. Děkujeme za pochopení.
!NOVINKA!
Nově lze využívat služby vzdálené pomoci, kdy se k vašemu počítači připojí odborník a bližší informace o problému si od vás získá telefonicky! Více na www.neslape.cz
-
Pucikocour
- Návštěvník
- Příspěvky: 2
- Registrován: 23 čer 2016 18:18
-
Rudy
- Site Admin
- Příspěvky: 119673
- Registrován: 30 říj 2003 13:42
- Bydliště: Plzeň
- Kontaktovat uživatele:
Re: Systémové soubory-rootkity?
Zdravím!
Všechny tato soubory jsou systémové ovladače. Takže OK. Můžete je otestovat na www.virustotal.com .
Všechny tato soubory jsou systémové ovladače. Takže OK. Můžete je otestovat na www.virustotal.com .
Dotazy a logy vkládejte pouze do vašich threadů. Soukromé zprávy, icq a e-maily neslouží k řešení vašich problémů.
Podpořte, prosím, naše fórum : https://platba.viry.cz/payment/.
Navštivte:
e-mail: rudy(zavináč)forum.viry.cz
Varování: Před odvirováním PC si udělejte zálohy svých důležitých dat (pošta, kontakty, dokumenty, fotografie, videa, hudba apod.). Virus mimo svých "viditelných" aktivit může poškodit systém!
Po dořešení vašeho problému bude vlákno zamknuto. Stejně tak tehdy, pokud bude nečinné více než 14dnů. Pokud budete chtít vlákno aktivovat, napište mi na mail uvedený výše.
Podpořte, prosím, naše fórum : https://platba.viry.cz/payment/.
Navštivte:
e-mail: rudy(zavináč)forum.viry.cz
Varování: Před odvirováním PC si udělejte zálohy svých důležitých dat (pošta, kontakty, dokumenty, fotografie, videa, hudba apod.). Virus mimo svých "viditelných" aktivit může poškodit systém!
Po dořešení vašeho problému bude vlákno zamknuto. Stejně tak tehdy, pokud bude nečinné více než 14dnů. Pokud budete chtít vlákno aktivovat, napište mi na mail uvedený výše.
-
Pucikocour
- Návštěvník
- Příspěvky: 2
- Registrován: 23 čer 2016 18:18
Re: Systémové soubory-rootkity?
Ahoj,
děkuji za vysvětlení.
V každém případě mě ten problém zaujal natolik, že jsem nejprve hledal na internetu, co se kde o tom píše. Našel jsem jen odkaz, že to dle jiného fóra snad rookit je. Tak jsem projel pc antispywarem, ten nic nenašel, znovu vyzkoušel co jsem již popisoval, opět bylo vše OK. Jediný rozdíl od původní instalace bylo to, že jsem nenainstalil Office a Player, protože u obou se uvádí, že způsobují padání exploreru.exe. A já nechtěl aby do toho cokoliv zasahovalo. Nakonec jsem vyzkoušel tolik propagovaný ComboFix. Mám pocit, že se všude používá na detekci při pádech exploreru.exe. A došel jsem k následujícímu:
Pokud někdo comp má zavirovaný, tak mu ComboFix neuškodí, ale pokud do té doby někomu explorer.exe nepadal, tak po ComboFixu mu padat začne. V okamžiku, kdy tam naběhlo rozbalování souborů (takové ty zelené písmenka) spadl explorer. exe poprvé a než naskočila ta černá tabulka, spadl ještě 4x! ComboFix sice nic nenašel - ALE...
Ačkoliv je to spustitelný soubor, do registru zadá 2 HKEY klíče. Ačkoliv jsem je smazal, po restartu pc jsou tam zpět a explorer.exe padá jak o život. Rozhodně mám jinou práci, jak koukat na to, jak mi za hodinu 20x! spadne explorer.exe.
Takže jsem udělal další čistou instalaci OS, nenainstalovat Office a SMPlayer, který jsem tam míval, vyčistil, vyladil a naposledy nainstaloval Reboot Restore RX, který zablokuje pc v čistém stavu a oba zmíněné programy, když je budu potřebovat, dám je v portable verzi a po restartu PC bude v tom původním čistém stavu jak byl. Tím chci jen říct, že pokud mi ještě někdy někdo "doporučí" ComboFix, praštím ho notebookem.
děkuji za vysvětlení.
V každém případě mě ten problém zaujal natolik, že jsem nejprve hledal na internetu, co se kde o tom píše. Našel jsem jen odkaz, že to dle jiného fóra snad rookit je. Tak jsem projel pc antispywarem, ten nic nenašel, znovu vyzkoušel co jsem již popisoval, opět bylo vše OK. Jediný rozdíl od původní instalace bylo to, že jsem nenainstalil Office a Player, protože u obou se uvádí, že způsobují padání exploreru.exe. A já nechtěl aby do toho cokoliv zasahovalo. Nakonec jsem vyzkoušel tolik propagovaný ComboFix. Mám pocit, že se všude používá na detekci při pádech exploreru.exe. A došel jsem k následujícímu:
Pokud někdo comp má zavirovaný, tak mu ComboFix neuškodí, ale pokud do té doby někomu explorer.exe nepadal, tak po ComboFixu mu padat začne. V okamžiku, kdy tam naběhlo rozbalování souborů (takové ty zelené písmenka) spadl explorer. exe poprvé a než naskočila ta černá tabulka, spadl ještě 4x! ComboFix sice nic nenašel - ALE...
Ačkoliv je to spustitelný soubor, do registru zadá 2 HKEY klíče. Ačkoliv jsem je smazal, po restartu pc jsou tam zpět a explorer.exe padá jak o život. Rozhodně mám jinou práci, jak koukat na to, jak mi za hodinu 20x! spadne explorer.exe.
Takže jsem udělal další čistou instalaci OS, nenainstalovat Office a SMPlayer, který jsem tam míval, vyčistil, vyladil a naposledy nainstaloval Reboot Restore RX, který zablokuje pc v čistém stavu a oba zmíněné programy, když je budu potřebovat, dám je v portable verzi a po restartu PC bude v tom původním čistém stavu jak byl. Tím chci jen říct, že pokud mi ještě někdy někdo "doporučí" ComboFix, praštím ho notebookem.
-
Rudy
- Site Admin
- Příspěvky: 119673
- Registrován: 30 říj 2003 13:42
- Bydliště: Plzeň
- Kontaktovat uživatele:
Re: Systémové soubory-rootkity?
Nemáte zač. K tomu combofixu: CF je profesionální čistící nástroj, který jde hodně do hlobky systému. Z toho důvodu ho nedoporučujeme laikům k samostatnému používání. Navíc jeho první sken zničí všechny stopy po šmejdech a pokud sem pak někdo přijde s vyčištěním PC a my zjistíme, že před tím použil ComboFix, určitě nejsme rádi. Jinak tu CF používáme, ale pouze pod dozorem rádců a předchozím zjištění, co všechno v systému běží a co může CF ovlivnit. Hlavně je třeba mít na mysli, že se provádí i druhý sken, spouštěný skriptem (musí se napsat na základě logu, který CF vygeneruje) a tam je třeba určitých znalostí. 
Dotazy a logy vkládejte pouze do vašich threadů. Soukromé zprávy, icq a e-maily neslouží k řešení vašich problémů.
Podpořte, prosím, naše fórum : https://platba.viry.cz/payment/.
Navštivte:
e-mail: rudy(zavináč)forum.viry.cz
Varování: Před odvirováním PC si udělejte zálohy svých důležitých dat (pošta, kontakty, dokumenty, fotografie, videa, hudba apod.). Virus mimo svých "viditelných" aktivit může poškodit systém!
Po dořešení vašeho problému bude vlákno zamknuto. Stejně tak tehdy, pokud bude nečinné více než 14dnů. Pokud budete chtít vlákno aktivovat, napište mi na mail uvedený výše.
Podpořte, prosím, naše fórum : https://platba.viry.cz/payment/.
Navštivte:
e-mail: rudy(zavináč)forum.viry.cz
Varování: Před odvirováním PC si udělejte zálohy svých důležitých dat (pošta, kontakty, dokumenty, fotografie, videa, hudba apod.). Virus mimo svých "viditelných" aktivit může poškodit systém!
Po dořešení vašeho problému bude vlákno zamknuto. Stejně tak tehdy, pokud bude nečinné více než 14dnů. Pokud budete chtít vlákno aktivovat, napište mi na mail uvedený výše.
Přispějete na provoz fóra?