Stránka 4 z 5
Re: whistler@mbr - rootkit
Napsal: 21 čer 2011 21:31
od vyosek
Re: whistler@mbr - rootkit
Napsal: 22 čer 2011 20:18
od pavka153
Ještě než proběhl první scan, naběhla modrá obrazovka s oznámením ukončení činnosti z důvodu možného poškození systému.
Nicméně za dobu scanu nalezen možný trojan dbgnrupd.exe. Dále kromě standartních frází bylo za slovem stop toto:
0x00000019, 0x00000020 (0xF7FC0428, 0xF7FC0740, 0x0A09004) jestli vám to něco řekne.
Re: whistler@mbr - rootkit
Napsal: 22 čer 2011 20:46
od vyosek
Prihlaste se do nouzoveho rezimu a zopakujte sken tam...
Re: whistler@mbr - rootkit
Napsal: 22 čer 2011 20:53
od pavka153
OK, ale nechám to až na zítra.
Díky
Re: whistler@mbr - rootkit
Napsal: 23 čer 2011 09:26
od vyosek
V pohode, nic se nedeje...
Re: whistler@mbr - rootkit
Napsal: 23 čer 2011 18:26
od pavka153
Při provádění scanu v nouzovém stavu se počítač pravděpodobně sám restartoval, co tomu předcházelo nevím, protože jsem u PC neseděl. Po přihlášení do normálního režimu se objevilo to co posílám v příloze.
Re: whistler@mbr - rootkit
Napsal: 23 čer 2011 19:00
od vyosek
Podivejte se do slozky c:\windows\minidump ci tam mate nejake soubory s priponou dmp, pokud ano, tak je zabalte a prilozte
Re: whistler@mbr - rootkit
Napsal: 23 čer 2011 19:03
od pavka153
zde jsou
Re: whistler@mbr - rootkit
Napsal: 23 čer 2011 19:30
od vyosek
Poprosim kolegu at na to mrkne
Zatim zkuste AVPTool
http://viry.cz/forum/viewtopic.php?f=29&t=58179
Re: whistler@mbr - rootkit
Napsal: 23 čer 2011 19:41
od pavka153
Jelikož test trvá docela dlouho, budu porračovat jindy. Ale vzhledem k mému času to bude asi až příští týden.
Díky
Re: whistler@mbr - rootkit
Napsal: 23 čer 2011 20:37
od vyosek
Prozatim nemate zac
Re: whistler@mbr - rootkit
Napsal: 24 čer 2011 23:00
od MiliNess
Dobrý večer, z mého pohledu to vypadá zřejmě na nějaký zlý ovladač nebo součást nějakého antivirového nástroje, který hákuje jednu systémovou službu.
Mění náhodně své jméno, v jednom případě je to C:\DOCUME~1\PAVEL-~1\LOCALS~1\Temp\b1T5TyQB.sys
ve druhém je to s1XjB3Cf.sys.
Chybně zapisuje do paměti, čímž poškozuje hlavičku paměťového fondu a způsobuje BSOD.
Re: whistler@mbr - rootkit
Napsal: 25 čer 2011 12:56
od vyosek
To bude asi nejaka mrcha, ale rootkita jsem tam nenasel, jeste uvidime co AVPTool, tez velmi silny nastroj...
Re: whistler@mbr - rootkit
Napsal: 29 čer 2011 11:57
od pavka153
Zde je log y AVP Tool:
Automatická kontrola: zastaveno před 9 min. (události: 3, objekty: 1649, čas: 00:19:07)
28.6.2011 12:19:25 Úloha byla spuštěna
28.6.2011 12:30:20 Zjištěno: Trojan.Win32.Feedel.gen C:\WINDOWS\system32\dbgnrupd.exe
28.6.2011 12:38:33 Úloha byla zastavena
Dezinfikovat aktivní hrozby: dokončeno před 5 min. (události: 4, objekty: 4052, čas: 00:04:15)
28.6.2011 12:38:33 Úloha byla spuštěna
28.6.2011 12:38:33 Zjištěno: Trojan.Win32.Feedel.gen C:\WINDOWS\system32\dbgnrupd.exe
28.6.2011 12:38:53 Odstraněno: Trojan.Win32.Feedel.gen C:\WINDOWS\system32\dbgnrupd.exe
28.6.2011 12:42:48 Úloha byla dokončena
Nicméně Avast hlásí stále to samé.
Re: whistler@mbr - rootkit
Napsal: 29 čer 2011 12:22
od vyosek
Mohla byste prosim dat screen te hlasky Avastu