VIRY.CZ

Dobrý večer,
omlouvám se za tohle téma, ale zajímá mě, zda následující soubory jsou rootkity?

PDCOMP.sys
i2omgmt.sys
Ibrtfdc.sys
PCIDump.sys
PDFRAME.sys
PDRELI.sys
WDICA.sys

Zkoušel jsem googlit, ale nic moc.

Po čisté instalaci XP a spuštění Autorun se tyhle soubory objeví jako spustitelné. Když jsem se je pokusil vypnout, hodilo to modrou smrt a ani v Nouzovém režimu se PC nerozběhlo. Pak jsem na anglických stránkách našel, že by se mohlo jednat o rootkit. Stáhl jsem AwareAway a ten tyhle soubory označil jako rookit.

HKLM\SYSTEM\CurrentControlSet\Services\PCIDump : Driver : rootkit.pcidump : No Action Taken
HKLM\SYSTEM\CurrentControlSet\Services\PDCOMP : Driver : rootkit.pdcomp : No Action Taken
HKLM\SYSTEM\CurrentControlSet\Services\PDFRAME : Driver : rootkit.pdframe : No Action Taken
HKLM\SYSTEM\CurrentControlSet\Services\PDRELI : Driver : rootkit.pdreli : No Action Taken
HKLM\SYSTEM\CurrentControlSet\Services\PDRFRAME : Driver : rootkit.pdrframe : No Action Taken
HKCR\CLSID:{9CEE304E-DC6C-11D2-B561-00A0C92E6848} : Registry Key : IE Hijacker : No Action Taken

Stáhl jsem Kasperského Rescue Disk a u bootu to projelo pc. Nic to nenašlo. Zkusil jsem COMODO Cleaning Essentials, který většinou najde, když je, ale taky nic nenašel. Projel jsem pc Combofixem a ten taky nic nenašel.
Nejsem PC odborník, ale domnívám se, že tohle má něco společného s častým padáním explorer.exe.
Zablokoval jsem první 3 soubory a explorer.exe se o dost uklidnil. Dřív padal i 20x za hodinu. Při pádech nepomohl ani příkaz sfc /scannow. A Obnovu systému mám zablokovanou.

Můžete mi prosím jako odborníci poradit, zda jde o rootkit nebo na co ty soubory jsou? Případně, jak je odstranit?

Zdravím!
Všechny tato soubory jsou systémové ovladače. Takže OK. Můžete je otestovat na www.virustotal.com .

Ahoj,
děkuji za vysvětlení.
V každém případě mě ten problém zaujal natolik, že jsem nejprve hledal na internetu, co se kde o tom píše. Našel jsem jen odkaz, že to dle jiného fóra snad rookit je. Tak jsem projel pc antispywarem, ten nic nenašel, znovu vyzkoušel co jsem již popisoval, opět bylo vše OK. Jediný rozdíl od původní instalace bylo to, že jsem nenainstalil Office a Player, protože u obou se uvádí, že způsobují padání exploreru.exe. A já nechtěl aby do toho cokoliv zasahovalo. Nakonec jsem vyzkoušel tolik propagovaný ComboFix. Mám pocit, že se všude používá na detekci při pádech exploreru.exe. A došel jsem k následujícímu:

Pokud někdo comp má zavirovaný, tak mu ComboFix neuškodí, ale pokud do té doby někomu explorer.exe nepadal, tak po ComboFixu mu padat začne. V okamžiku, kdy tam naběhlo rozbalování souborů (takové ty zelené písmenka) spadl explorer. exe poprvé a než naskočila ta černá tabulka, spadl ještě 4x! ComboFix sice nic nenašel - ALE...
Ačkoliv je to spustitelný soubor, do registru zadá 2 HKEY klíče. Ačkoliv jsem je smazal, po restartu pc jsou tam zpět a explorer.exe padá jak o život. Rozhodně mám jinou práci, jak koukat na to, jak mi za hodinu 20x! spadne explorer.exe.

Takže jsem udělal další čistou instalaci OS, nenainstalovat Office a SMPlayer, který jsem tam míval, vyčistil, vyladil a naposledy nainstaloval Reboot Restore RX, který zablokuje pc v čistém stavu a oba zmíněné programy, když je budu potřebovat, dám je v portable verzi a po restartu PC bude v tom původním čistém stavu jak byl. Tím chci jen říct, že pokud mi ještě někdy někdo "doporučí" ComboFix, praštím ho notebookem.

Nemáte zač. K tomu combofixu: CF je profesionální čistící nástroj, který jde hodně do hlobky systému. Z toho důvodu ho nedoporučujeme laikům k samostatnému používání. Navíc jeho první sken zničí všechny stopy po šmejdech a pokud sem pak někdo přijde s vyčištěním PC a my zjistíme, že před tím použil ComboFix, určitě nejsme rádi. Jinak tu CF používáme, ale pouze pod dozorem rádců a předchozím zjištění, co všechno v systému běží a co může CF ovlivnit. Hlavně je třeba mít na mysli, že se provádí i druhý sken, spouštěný skriptem (musí se napsat na základě logu, který CF vygeneruje) a tam je třeba určitých znalostí.