VIRY.CZ

Pomáháme v boji s počítačovou havěti!
https://forum.viry.cz:443/

rootkit MBR\\.\PHYSICALDRIVE0 (pro vyosek)

https://forum.viry.cz:443/viewtopic.php?t=109700

Stránka 3 z 4

Re: rootkit MBR\\.\PHYSICALDRIVE0 (pro vyosek)

Napsal: 22 úno 2011 22:37
od vyosek
Aha, to jste spatne pochopil z navodu, tak jinak - rolujte koleckem dolu vpravo Vam budou skakat cisla sektoru: 0, 1, 2 atd...divejte se co bude v sektorech 1 az 62 - mely by byt vsude nuly, pokud nebudou tak cely sektor kde nuly nebudou ozancte a zkopirujte do poznamkoveho bloku a ulozte jej jako cislo toho sektoru...

Pak ty nenulove sektory (poznamkove bloky), zabalte do raru a sem uploadnete http://vyosek.ic.cz/havet/uploader.php

Re: rootkit MBR\\.\PHYSICALDRIVE0 (pro vyosek)

Napsal: 22 úno 2011 22:38
od mattey
Dneska mi to asi moc nepálí...
Znamenalo to 1 až 62?

Zkusil jsem vybrat sektor 1 až 62 a dát do texťáku, ale chybí tam ty popisy, který sektor kdy začíná. Takže je to jen hromada čísel a písmen ve dvojicích. Mám to poslat?

Re: rootkit MBR\\.\PHYSICALDRIVE0 (pro vyosek)

Napsal: 22 úno 2011 22:39
od mattey
píšu moc pomalu, odpovíte vždycky dřív než to dopíšu... :)

Re: rootkit MBR\\.\PHYSICALDRIVE0 (pro vyosek)

Napsal: 22 úno 2011 22:40
od vyosek
NN je potreba to prave prekontrolovat jak jsem psal...mely by byt defakto vsude nuly...pokud ne tak az jen ten dany sektor s nenulama zkopirujte do textaku - tak jak jsem popsal vyse...

jsem online a obnovuju co chvili, takze vidim ze mi tam neco pribylo :D

Re: rootkit MBR\\.\PHYSICALDRIVE0 (pro vyosek)

Napsal: 22 úno 2011 22:40
od mattey
ok jdu na to

Re: rootkit MBR\\.\PHYSICALDRIVE0 (pro vyosek)

Napsal: 22 úno 2011 22:40
od vyosek
:wink:

Re: rootkit MBR\\.\PHYSICALDRIVE0 (pro vyosek)

Napsal: 22 úno 2011 22:46
od mattey
tak je to jen sektor 32
už jsem ho uploadoval

Re: rootkit MBR\\.\PHYSICALDRIVE0 (pro vyosek)

Napsal: 22 úno 2011 22:53
od vyosek
:arrow: Uz se konzultuje :)

:arrow: Zatim udelejte gmer - navod v mem podpise

Re: rootkit MBR\\.\PHYSICALDRIVE0 (pro vyosek)

Napsal: 23 úno 2011 11:12
od mattey
S tím GMERem se to dost protáhlo.

Tady je log z rychlého scanu:

GMER 1.0.15.15530 - http://www.gmer.net
Rootkit quick scan 2011-02-22 23:22:58
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T1L0-c SAMSUNG_HD082GJ rev.JE100-19
Running: gmer.exe; Driver: C:\DOCUME~1\MATJPE~1\LOCALS~1\Temp\uxtdypow.sys


---- System - GMER 1.0.15 ----

Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwCreateSection [0xB6852652]
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) NtCreateSection
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ObInsertObject
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ObMakeTemporaryObject

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs aswSP.SYS (avast! self protection module/AVAST Software)

AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/AVAST Software)
AttachedDevice \Driver\Tcpip \Device\Ip fwdrv.sys (Sunbelt Personal Firewall FWDRV/Sunbelt Software)
AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/AVAST Software)
AttachedDevice \Driver\Tcpip \Device\Tcp fwdrv.sys (Sunbelt Personal Firewall FWDRV/Sunbelt Software)
AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/AVAST Software)
AttachedDevice \Driver\Tcpip \Device\Udp fwdrv.sys (Sunbelt Personal Firewall FWDRV/Sunbelt Software)
AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/AVAST Software)
AttachedDevice \Driver\Tcpip \Device\RawIp fwdrv.sys (Sunbelt Personal Firewall FWDRV/Sunbelt Software)
AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/AVAST Software)

---- EOF - GMER 1.0.15 ----

Re: rootkit MBR\\.\PHYSICALDRIVE0 (pro vyosek)

Napsal: 23 úno 2011 11:17
od mattey
Normální scan probíhal strašně dlouho. Když jsem to po nějaké době opět zkontroloval, počítač byl po restartu.
Windows mi zobrazily tuhle hlášku:
Činnost systému byla obnovena po závažné chybě
Zobrazil jsem si k tomu podrobnosti. Pomocí PrintScreenu jsem to uložil jako obrázek. Chtěl jsem to přidat jako přílohu, ale asi jsem nepochopil zdejší systém. Jestli chcete, můžu Vám to poslat jako ten předchozí soubor.

Pak jsem spustil nový scan. I tentokrát to trvalo dlouho. Nechal jsem to běžet a šel spát. Ráno Jsem našel hlášku: The scan was stopped. Tak to asi nedoběhlo do konce.
Log z toho je moc dlouhý, nejde sem vložit. Kdyžtak zase pošlu.

Zatím jsem to dal scanovat ještě jednou.

Re: rootkit MBR\\.\PHYSICALDRIVE0 (pro vyosek)

Napsal: 23 úno 2011 12:06
od vyosek
:arrow: Spustte pripadne sken v nouzovem rezimu

:arrow: Pokud je log dlouhy tak jej rozdelte do vice prispevku...

Re: rootkit MBR\\.\PHYSICALDRIVE0 (pro vyosek)

Napsal: 25 úno 2011 14:10
od mattey
Omlouvám se za zdržení. Byl jsem teď úplně bez internetu - kvůli nějakým opravám.

Tady je log z GMERu:

GMER 1.0.15.15530 - http://www.gmer.net
Rootkit scan 2011-02-25 14:05:16
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T1L0-c SAMSUNG_HD082GJ rev.JE100-19
Running: gmer.exe; Driver: C:\DOCUME~1\MATJPE~1\LOCALS~1\Temp\uxtdypow.sys


---- System - GMER 1.0.15 ----

SSDT \SystemRoot\system32\drivers\fwdrv.sys (Sunbelt Personal Firewall FWDRV/Sunbelt Software) ZwClose [0xBA3FCF80]
SSDT \SystemRoot\system32\drivers\fwdrv.sys (Sunbelt Personal Firewall FWDRV/Sunbelt Software) ZwCreateFile [0xBA3FC552]
SSDT \SystemRoot\system32\drivers\fwdrv.sys (Sunbelt Personal Firewall FWDRV/Sunbelt Software) ZwCreateKey [0xBA3F8882]
SSDT \SystemRoot\system32\drivers\fwdrv.sys (Sunbelt Personal Firewall FWDRV/Sunbelt Software) ZwCreateProcess [0xBA3FBA1A]
SSDT \SystemRoot\system32\drivers\fwdrv.sys (Sunbelt Personal Firewall FWDRV/Sunbelt Software) ZwCreateProcessEx [0xBA3FB910]
SSDT \SystemRoot\system32\drivers\fwdrv.sys (Sunbelt Personal Firewall FWDRV/Sunbelt Software) ZwCreateThread [0xBA3FBF2A]
SSDT \SystemRoot\system32\drivers\fwdrv.sys (Sunbelt Personal Firewall FWDRV/Sunbelt Software) ZwDeleteFile [0xBA3FD034]
SSDT \SystemRoot\system32\drivers\fwdrv.sys (Sunbelt Personal Firewall FWDRV/Sunbelt Software) ZwDeleteKey [0xBA3F8D54]
SSDT \SystemRoot\system32\drivers\fwdrv.sys (Sunbelt Personal Firewall FWDRV/Sunbelt Software) ZwDeleteValueKey [0xBA3F8E70]
SSDT \SystemRoot\system32\drivers\fwdrv.sys (Sunbelt Personal Firewall FWDRV/Sunbelt Software) ZwOpenFile [0xBA3FC906]
SSDT \SystemRoot\system32\drivers\fwdrv.sys (Sunbelt Personal Firewall FWDRV/Sunbelt Software) ZwOpenKey [0xBA3F8B78]
SSDT \SystemRoot\system32\drivers\fwdrv.sys (Sunbelt Personal Firewall FWDRV/Sunbelt Software) ZwResumeThread [0xBA3FC0DC]
SSDT \SystemRoot\system32\drivers\fwdrv.sys (Sunbelt Personal Firewall FWDRV/Sunbelt Software) ZwSetInformationFile [0xBA3FCCE0]
SSDT \SystemRoot\system32\drivers\fwdrv.sys (Sunbelt Personal Firewall FWDRV/Sunbelt Software) ZwSetValueKey [0xBA3F9038]
SSDT \SystemRoot\system32\drivers\fwdrv.sys (Sunbelt Personal Firewall FWDRV/Sunbelt Software) ZwWriteFile [0xBA3FCBB2]

---- Kernel code sections - GMER 1.0.15 ----

.text ntoskrnl.exe!ZwYieldExecution + 132 804E498C 5 Bytes [1A, BA, 3F, BA, 10]
.text ntoskrnl.exe!ZwYieldExecution + 138 804E4992 2 Bytes [3F, BA]
PAGENDSM NDIS.sys!NdisMIndicateStatus F79749EF 6 Bytes JMP BA3F0C5E \SystemRoot\system32\drivers\fwdrv.sys (Sunbelt Personal Firewall FWDRV/Sunbelt Software)

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter] [BA3F0B06] \SystemRoot\system32\drivers\fwdrv.sys (Sunbelt Personal Firewall FWDRV/Sunbelt Software)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter] [BA3F0B26] \SystemRoot\system32\drivers\fwdrv.sys (Sunbelt Personal Firewall FWDRV/Sunbelt Software)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol] [BA3F0B60] \SystemRoot\system32\drivers\fwdrv.sys (Sunbelt Personal Firewall FWDRV/Sunbelt Software)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRegisterProtocol] [BA3F0B60] \SystemRoot\system32\drivers\fwdrv.sys (Sunbelt Personal Firewall FWDRV/Sunbelt Software)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisDeregisterProtocol] [BA3F0B86] \SystemRoot\system32\drivers\fwdrv.sys (Sunbelt Personal Firewall FWDRV/Sunbelt Software)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisCloseAdapter] [BA3F0B06] \SystemRoot\system32\drivers\fwdrv.sys (Sunbelt Personal Firewall FWDRV/Sunbelt Software)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisOpenAdapter] [BA3F0B26] \SystemRoot\system32\drivers\fwdrv.sys (Sunbelt Personal Firewall FWDRV/Sunbelt Software)

---- Devices - GMER 1.0.15 ----

AttachedDevice \Driver\Tcpip \Device\Ip fwdrv.sys (Sunbelt Personal Firewall FWDRV/Sunbelt Software)
AttachedDevice \Driver\Tcpip \Device\Tcp fwdrv.sys (Sunbelt Personal Firewall FWDRV/Sunbelt Software)
AttachedDevice \Driver\Tcpip \Device\Udp fwdrv.sys (Sunbelt Personal Firewall FWDRV/Sunbelt Software)
AttachedDevice \Driver\Tcpip \Device\RawIp fwdrv.sys (Sunbelt Personal Firewall FWDRV/Sunbelt Software)

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program Files\DAEMON Tools\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x23 0xB8 0x8B 0x31 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xC1 0x3B 0xC1 0x15 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x55 0xE3 0x15 0xF3 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program Files\DAEMON Tools\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x23 0xB8 0x8B 0x31 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xC1 0x3B 0xC1 0x15 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x90 0x65 0x60 0xA4 ...
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program Files\DAEMON Tools\
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x23 0xB8 0x8B 0x31 ...
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xC1 0x3B 0xC1 0x15 ...
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x55 0xE3 0x15 0xF3 ...

---- EOF - GMER 1.0.15 ----

Re: rootkit MBR\\.\PHYSICALDRIVE0 (pro vyosek)

Napsal: 25 úno 2011 14:27
od vyosek
Log vypada cisty, jak se chova PC :???:

Re: rootkit MBR\\.\PHYSICALDRIVE0 (pro vyosek)

Napsal: 26 úno 2011 18:29
od mattey
PC vypadá v pořádku. Akorát Windows už zas nenabíhají tak zázračně rychle, jak jsem psal. Největší rozdíl je v trvání té černé obrazovky s logem vindows - než se objeví modrá obrazovka s přihlášením. Zpomalilo se to někdy v době když jsem používal HxD a GMER. Přesně to nevím, ani nevím jestli je v tom přímá souvislost. Nic jiného jsem neinstaloval ani jsem nic nenastavoval.

Asi bych měl nejdřív odstranit všechny programy, které jsme používali a pak se uvidí. Mohl byste mi prosím zase doporučit nějaký postup?

Použili jsme pokud vím tyhle všechny programy:
Bootkit Remover
Combofix
MBR
SPTD
Defogger
HxD
Gmer

Re: rootkit MBR\\.\PHYSICALDRIVE0 (pro vyosek)

Napsal: 26 úno 2011 21:08
od vyosek
Uklidime :James008:

:arrow: Odinstalujte Combofix
  • Start - Spustit (nebo pouzijte klavesobou zkratku Win+R)
  • Napiste ComboFix /Uninstall
  • Stisknete Enter
  • Tohle smaze Combofix a jeho slozky
:arrow: T-Cleaner http://vyosek.ic.cz/pro_usery/T-Cleaner.exe
  • Stahnete a spustte
  • Pro potvrzeni volby mackejte A, Enter
  • Po pouziti utilitu smazte
  • Antiviry touhou utilitu chybne oznacit jako vir - jedna se o falesny poplach - takze v pohode stahnete (pripadne vypnete pri stahovani antivir)
:arrow: OTC http://oldtimer.geekstogo.com/OTC.exe
  • Stahnete a spustte
  • Kliknete na CleanUp a potvrdte YES
  • Program uklidi a restartuje PC

:arrow: TFC http://oldtimer.geekstogo.com/TFC.exe
  • Stahnete a spustte
  • Kliknete na Start a potvrdte OK
  • Program uklidi a restartuje pc
  • Po pouziti utilitu smazte
:arrow: Stahnete Ccleaner (viz muj podpis)
Panel čistič
  • Vse nechte jak je, jen dejte Analyzovat a pote Spustit CCleaner
Panel registry
  • dejte Hledej problémy
  • nasledne Opravit problémy - zalohu registru doporucuji udelat, opravte vsechny problemy
  • postup opakujte dokud nebude bez problemu - vetsinou cca 3x
Panel nástroje
  • Zde muzete odinstalovat nepotrebne programy
CCleaner doporucuji pouzivat cca jednou za 14 dni

:arrow: Doporucuji provest defragmentaci disku
  • Nejjednodussi (ale nejmene ucinny) zpusob je pomoci utility ve windowsech
    • Kliknete na Tento pocitac, dale na disk kliknete pravym tlacitkem, vyberte Vlastnosti
    • prepnete se do zalozky Nastroje
    • Nyni vidite pomucky Defragmentace - spustte ji kliknutim na Defragmentovat
    • Toto provedte se vsemi disky
  • Dalsi moznosti (a mnou doporucenou) je pres programek Defraggler http://www.stahuj.centrum.cz/utility_a_ ... efraggler/
    • Program stahnete, nainstalujte (dejte fajfku pryc u yahoo toolbaru) a spustte
    • Kliknete na Analyzovat
    • Pokud je ve sloupci Fragmentováno vice jak 5%, doporucuji provest defragmentaci (klik na Defragmentovat)
    • Postup provedte se vsemi disky
  • Posledni moznost je pres jednoduchy programek JKDefrag http://www.stahuj.centrum.cz/utility_a_ ... /jkdefrag/
    • Vyhodou programku je, ze se neinstaluje
    • Staci tedy jen stahnout dle verze vaseho OS a rozbalit
    • Nasledne spustit pomoci souboru JKDefrag pripadne JKDefrag64
    • Probehne analyza disku a nasledne i defragmentace
:arrow: Dejte novy log z RSIT
Všechny časy jsou v UTC+01:00
Stránka 3 z 4

Založeno na phpBB® Forum Software © phpBB Limited

Český překlad – phpBB.cz