Eslendil Opublikowano 20 Lutego 2013 Zgłoś Udostępnij Opublikowano 20 Lutego 2013 Witam. Od jakiegos czasu zauuwazylem nieznaczne lecz zauwazalne spowolnienie pracy komputera. zainstalowalem spybota2 i dalem rootkit scan i dostalem wiadomosc ze prawdopodobnie moj komp jest zainfekowany rootkitem i pisze mi wlasnie Physical drive0. Staralem sie duzo o tym przeczytac ale jak dobrze zrozumialem kazdy rootkit tak na prawde trzeba potraktowac indywidualnie a ze sie na tym nie znam to prosze o pomoc. Zalaczam ponizej logi z roznych programow: Log z GMER http://wklej.org/id/961527/ Log z TDSSKiller http://wklej.org/id/961523/ OTL http://wklej.org/id/961533/ Combofix (Sciagnalem ten program i zeskanowalem nim system zanim przeczytalem posty Picasso dlatego tez zalacze loga) http://wklej.org/id/961535/ Z gory dziękuje za pomoc!! Edit. Dołaczyłem Extras z OTL http://www.wklej.org/id/961817/ Odnośnik do komentarza
picasso Opublikowano 21 Lutego 2013 Zgłoś Udostępnij Opublikowano 21 Lutego 2013 Log z HijackThis usuwam. Nikt tu nie korzysta w analizie z tego archaizmu. W pełni zastępuje go OTL, który ma wszystko co HijackThis i jeszcze więcej, czego w HJ nie uświadczysz. HijackThis nie jest też w ogóle zgodny z systemem x64 (jest 32-bitowy i nie potrafi odczytać 64-bitowej części, więc opowiada głupoty "file missing"). Zapomnij o nim na systemie 64-bit. zainstalowalem spybota2 i dalem rootkit scan i dostalem wiadomosc ze prawdopodobnie mojkomp jest zainfekowany rootkitem i pisze mi wlasnie Physical drive0. Staralem sie duzo o tym przeczytac ale jak dobrze zrozumialem kazdy rootkit tak na prawde trzeba potraktowac indywidualnie a ze sie na tym nie znam to Spybot to słaby skaner i ja mu nie wierzę. GMER i TDSSKiller to mocna specjalizacja w temacie rootkit, nie Spybot. Jedyne co jest tu wykryte, to w GMER kod w MBR oznaczony jako "nieznany": ---- Disk sectors - GMER 2.1 ---- Disk \Device\Harddisk0\DR0 unknown MBR code To nie świadczy jeszcze o infekcji. Kod MBR może być niestandardowy, jeśli przykładowo: komputer OEM i ma partycję Recovery, są zainstalowane dodatkowe menedżerzy rozruchu. Tu mamy komputer ASUS, czyli kod MBR może być niestandardowy. Twój układ partycji widziany w TDSSKiller: 17:43:41.0526 5740 \Device\Harddisk0\DR0:17:43:41.0526 5740 GPT partitions:17:43:41.0526 5740 \Device\Harddisk0\DR0\Partition1: GPT, TypeGUID: {C12A7328-F81F-11D2-BA4B-00A0C93EC93B}, UniqueGUID: {584DF351-A471-44AB-A90B-C12C90007879}, Name: EFI system partition, StartLBA 0x800, BlocksNum 0x6400017:43:41.0526 5740 \Device\Harddisk0\DR0\Partition2: GPT, TypeGUID: {E3C9E316-0B5C-4DB8-817D-F92DF00215AE}, UniqueGUID: {F6402069-8FF2-48B2-B60A-8714FD316299}, Name: Microsoft reserved partition, StartLBA 0x64800, BlocksNum 0x4000017:43:41.0526 5740 \Device\Harddisk0\DR0\Partition3: GPT, TypeGUID: {EBD0A0A2-B9E5-4433-87C0-68B6B72699C7}, UniqueGUID: {6E381354-DC9F-4198-8755-BFB76C084475}, Name: Basic data partition, StartLBA 0xA4800, BlocksNum 0x22E4480017:43:41.0526 5740 \Device\Harddisk0\DR0\Partition4: GPT, TypeGUID: {EBD0A0A2-B9E5-4433-87C0-68B6B72699C7}, UniqueGUID: {BDED3D12-F0EE-4E47-94C5-AADB0FA55BF6}, Name: Basic data partition, StartLBA 0x22EE9000, BlocksNum 0x3145D00017:43:41.0526 5740 \Device\Harddisk0\DR0\Partition5: GPT, TypeGUID: {DE94BBA4-06D1-4D40-A16A-BFD50179D6AC}, UniqueGUID: {7084BADA-F395-416B-BBDE-C7E81C24342E}, Name: Basic data partition, StartLBA 0x54346000, BlocksNum 0x320000017:43:41.0526 5740 MBR partitions:17:43:41.0526 5740 ============================================================17:43:41.0604 5740 C: \Device\Harddisk0\DR0\Partition317:43:41.0822 5740 D: \Device\Harddisk0\DR0\Partition4 Póki co, ja tu infekcji nie widzę. Od jakiegos czasu zauuwazylem nieznaczne lecz zauwazalne spowolnienie pracy komputera. zainstalowalem spybota2 Spybota odinstaluj, nie widzę potrzeby trzymania go przy obecności MBAM. Zajmij się redukcją procesów. Odinstaluj niepotrzebne programy zintegrowane przez producenta. Na pierwszy ogień widać tu ASUS WebStorage. Ten wirtualny dysk ASUS tworzy problemy, na forum dużo tematów z błędami explorer.exe z jego winy. Możesz odinstalować też inne rzeczy, Cyberlinka czy inne bajery ASUS. Deinstalacje urwą kilka procesów. Combofix (Sciagnalem ten program i zeskanowalem nim system zanim przeczytalem posty Picasso dlatego tez zalacze loga) No cóż, nie było to potrzebne, a program wyrzucił omyłkowo kilka plików ASUS (ale to akurat nie ma znaczenia i nawet nie warto przywracać). Odinstaluj program w prawidłowy sposób. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę: C:\Users\Szałek\Downloads\ComboFix.exe /uninstall . Odnośnik do komentarza
Rekomendowane odpowiedzi