Win32:Rootkit-Gen - nepřihlašoval se

[vazny]

Tohle otestujte na http://www.virustotal.com/cs/
C:\WINDOWS\system32\drivers\SafeBoot.sys

(Soubor nehledejte, jenom vložíte tučně označenou cestu, v případě hlášky "Soubor již byl testován" dejte otestovat znovu. Výsledek analýzy sem v podobě odkazu vložte.)

Holý přenos:
0 bytes size received / Se ha recibido un archivo vacio
zkusím to udělat v nouzovém režimu se sítí...

Díky

[vazny]

Vypadá to ok:

Soubor SafeBoot.sys přijatý 2010.04.25 20:19:48 (UTC)
Současný stav: Čekejte ... Ve frontě Čekání Testování Dokončeno NENALEZENO ZASTAVENO


Výsledek: 0/41 (0%)

Antivirus Verze Poslední aktualizace Výsledek
a-squared 4.5.0.50 2010.04.25 -
AhnLab-V3 5.0.0.2 2010.04.24 -
AntiVir 8.2.1.224 2010.04.25 -
Antiy-AVL 2.0.3.7 2010.04.23 -
Authentium 5.2.0.5 2010.04.25 -
Avast 4.8.1351.0 2010.04.25 -
Avast5 5.0.332.0 2010.04.25 -
AVG 9.0.0.787 2010.04.25 -
BitDefender 7.2 2010.04.25 -
CAT-QuickHeal 10.00 2010.04.23 -
ClamAV 0.96.0.3-git 2010.04.25 -
Comodo 4678 2010.04.25 -
DrWeb 5.0.2.03300 2010.04.25 -
eSafe 7.0.17.0 2010.04.25 -
eTrust-Vet 35.2.7448 2010.04.24 -
F-Prot 4.5.1.85 2010.04.25 -
F-Secure 9.0.15370.0 2010.04.25 -
Fortinet 4.0.14.0 2010.04.25 -
GData 21 2010.04.25 -
Ikarus T3.1.1.80.0 2010.04.25 -
Jiangmin 13.0.900 2010.04.25 -
Kaspersky 7.0.0.125 2010.04.25 -
McAfee 5.400.0.1158 2010.04.25 -
McAfee-GW-Edition 6.8.5 2010.04.23 -
Microsoft 1.5703 2010.04.25 -
NOD32 5059 2010.04.25 -
Norman 6.04.11 2010.04.25 -
nProtect 2010-04-25.01 2010.04.25 -
Panda 10.0.2.7 2010.04.24 -
PCTools 7.0.3.5 2010.04.25 -
Prevx 3.0 2010.04.25 -
Rising 22.44.06.04 2010.04.25 -
Sophos 4.53.0 2010.04.25 -
Sunbelt 6221 2010.04.25 -
Symantec 20091.2.0.41 2010.04.25 -
TheHacker 6.5.2.0.268 2010.04.25 -
TrendMicro 9.120.0.1004 2010.04.25 -
TrendMicro-HouseCall 9.120.0.1004 2010.04.25 -
VBA32 3.12.12.4 2010.04.23 -
ViRobot 2010.4.24.2293 2010.04.25 -
VirusBuster 5.0.27.0 2010.04.25 -
Rozšiřující informace
File size: 109216 bytes
MD5...: 26af84a03e2c2c5ad7abfecefc43bc4d
SHA1..: b98a62665d85e8d6c092487191a8fc4df74384bd
SHA256: 7b46b400d2a61c41d8b6cbac085e30e2430f179aaa2df636d0a92d45d9be1afe
ssdeep: 1536:zRjF8xv+n0qVQ6+bc/+yU0zLqmpOWhSLDLPl:z/av+n0qi2Lqm9SLF

PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x464
timedatestamp.....: 0x48876f60 (Wed Jul 23 17:50:24 2008)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x2c0 0xc212 0xc220 6.18 91759acce4aa331089211b4474121a14
.rdata 0xc4e0 0x234 0x240 4.10 6e3c496280cffb65195a717f8fd76d09
.data 0xc720 0xa500 0xa500 1.14 0e20e0bcd60734990ad5ad13d8a582a8
INIT 0x16c20 0xac8 0xae0 5.36 971916d18b32b5ed1b044ea09d5ce034
.rsrc 0x17700 0x3a0 0x3a0 3.31 67db46dfd524843cf6979ecc157c361f
.reloc 0x17aa0 0x87a 0x880 6.12 539988e897869ff819fcec30b28cde14

( 2 imports )
> ntoskrnl.exe: ZwCreateDirectoryObject, RtlInitUnicodeString, ZwClose, KeInitializeSpinLock, memset, IoDeleteDevice, IoCreateSymbolicLink, IoCreateDevice, KeInitializeEvent, IoAttachDeviceToDeviceStack, IoInitializeRemoveLockEx, ObfDereferenceObject, IoGetAttachedDeviceReference, memcpy, _allmul, strcpy, RtlCompareMemory, RtlAssert, DbgPrint, RtlCopyUnicodeString, MmMapLockedPagesSpecifyCache, _alldiv, PsSetLoadImageNotifyRoutine, PsGetVersion, MmUnlockPages, IoFreeMdl, MmProbeAndLockPages, IoAllocateMdl, RtlImageNtHeader, RtlCompareUnicodeString, _except_handler3, ExFreePool, MmGetPhysicalMemoryRanges, ZwMapViewOfSection, ObReferenceObjectByHandle, ZwOpenSection, ZwUnmapViewOfSection, ExAllocatePoolWithTag, KeSetEvent, InterlockedDecrement, InterlockedIncrement, KeWaitForSingleObject, KeDelayExecutionThread, InbvDisplayString, InbvSetTextColor, InbvSolidColorFill, InbvEnableDisplayString, InbvResetDisplay, ZwMakeTemporaryObject, InbvEnableBootDriver, InitSafeBootMode, IoReleaseRemoveLockAndWaitEx, RtlUnicodeStringToAnsiString, ZwQueryValueKey, PoCallDriver, PoStartNextPowerIrp, IoGetDeviceObjectPointer, IoBuildDeviceIoControlRequest, IoDetachDevice, IoBuildSynchronousFsdRequest, _wcsicmp, IoGetDeviceProperty, tolower, RtlVolumeDeviceToDosName, ZwQuerySymbolicLinkObject, ZwOpenSymbolicLinkObject, swprintf, RtlEqualUnicodeString, RtlAppendUnicodeToString, ZwOpenKey, ZwSetValueKey, SeReleaseSubjectContext, SeQueryAuthenticationIdToken, SeCaptureSubjectContext, SeSinglePrivilegeCheck, strcat, RtlFreeUnicodeString, IoDeleteSymbolicLink, PsCreateSystemThread, strlen, PsTerminateSystemThread, ExfInterlockedRemoveHeadList, KeSetPriorityThread, KeGetCurrentThread, wcscpy, RtlAnsiStringToUnicodeString, RtlInitString, RtlInitAnsiString, strncat, strncpy, ZwCreateFile, IoGetRelatedDeviceObject, ExfInterlockedInsertTailList, _allrem, RtlAppendUnicodeStringToString, _wcsnicmp, wcslen, IoAcquireRemoveLockEx, IofCompleteRequest, IoReleaseRemoveLockEx, InbvAcquireDisplayOwnership, IofCallDriver
> HAL.dll: KfAcquireSpinLock, HalTranslateBusAddress, KeGetCurrentIrql, KfReleaseSpinLock

( 0 exports )

RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Generic Win/DOS Executable (49.9%)
DOS Executable Generic (49.8%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
sigcheck:
publisher....: SafeBoot International
copyright....: Copyright (c) 1991-2008 SafeBoot N.V.
product......: SafeBoot Security System
description..: SafeBoot Encryption Driver
original name: safeboot.sys
internal name: safeboot.sys
file version.: 5, 1, 3, 4
comments.....: n/a
signers......: MCAFEE INTERNATIONAL LTD.
VeriSign Class 3 Code Signing 2004 CA
Class 3 Public Primary Certification Authority
signing date.: 4:01 PM 10/1/2008
verified.....: -

[Caroprd111]

Jak to vypadá s PC

[vazny]

Mám několik problémů, které nikoli nutně musí souviset s virovou nákazou:

1. Při shutdownu a restartu zůstane zaseklá poslední obrazkovka a je nutno NB vypnout podržením restartovacího tlačítka a znova zapnout.
2. Nainstaloval jsem nový AVAST a provedl full scan při bootu.
Našel dvě podle mne falešné hlášky (vir v ProduKey a v jeho archivní verzi), stejně jsem obě věci smazal.

3. Ale na D: těsně před koncem se začli ozývat šílené zvuky z HD při scanování souboru "d:\Program Files\XIII\Sounds\Pc\Toits01.hxc" a dalších. Zkusil jsem chkdsk d:, ale ten žádný problém (špatné sektory) nenalezl.
Kopírování tohoto souboru končí stejně.

4. Jinak nic.

Tomu nerozumím...

[Caroprd111]

Stáhněte MBAM http://www.viry.cz/forum/viewtopic.php?f=29&t=67229

• Podle návodu v odkazu nainstalujte, poté dejte úplný sken.
• Nic nemažte MBAM má občas falešné detekce a mohl by smazat např. systémové soubory.
• Log vložte sem.

[vazny]

Rychlý scan, budu pokračovat plným scanem.

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Verze databáze: 4017

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

4/27/2010 9:36:05 AM
mbam-log-2010-04-27 (09-36-05).txt

Typ skenu: Rychlý sken
Skenované objekty: 110646
Uplynulý čas: 5 minuta(y), 40 sekunda(y)

Infikované procesy v paměti: 0
Infikované moduly v paměti: 0
Infikované klíče registru: 0
Infikované hodnoty registru: 0
Infikované datové položky registru: 0
Infikované složky: 0
Infikované soubory: 1

Infikované procesy v paměti:
(Žádné škodlivé položky nebyly zjištěny)

Infikované moduly v paměti:
(Žádné škodlivé položky nebyly zjištěny)

Infikované klíče registru:
(Žádné škodlivé položky nebyly zjištěny)

Infikované hodnoty registru:
(Žádné škodlivé položky nebyly zjištěny)

Infikované datové položky registru:
(Žádné škodlivé položky nebyly zjištěny)

Infikované složky:
(Žádné škodlivé položky nebyly zjištěny)

Infikované soubory:
C:\WINDOWS\sed.exe (Trojan.Agent.Gen) -> No action taken.
=================================================

Udělal jsem analýzu na virustotal.com a tam to nic na C:\WINDOWS\sed.exe nenahlásilo:

Soubor sed.exe přijatý 2010.04.27 07:38:48 (UTC)
Současný stav: Čekejte ... Ve frontě Čekání Testování Dokončeno NENALEZENO ZASTAVENO


Výsledek: 0/41 (0%)

[vazny]

Zajímavé: Při fullscanu nic nenašel, ani výše uvedený soubor... ?!

[Caroprd111]

Vše, co našel MBAM smažte.

[vazny]

Tak jsem po smazání pustil na CHKDSK D: v boot fázi i s opravou souborů a žel disk začal znovu chrastit a kvílet a chkdsk vůbec nedoběhl - totálně zamrzl. Poslední pokus může být format d:

Víte o nějakém viru, který by mohl tohle udělat, nebo s tím musely děcka praštit...?

[Caroprd111]

Virem to nebude, disk je poškozený.