Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Obecność Unknown.Rootkit.VBR czy inne ustrojstwo!

arisen

Przez arisen
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

arisen

arisen

Opublikowano
Opublikowano

Witaj/Witam, pacjent to komputer stacjonarny, jego środowisko pracy: Win7 64bit Ultimate. Zaobserwowałem, że od 2 dni jakoś znacząco zwolnił i to zarówno podczas ładowania systemu jak i w codziennym użytkowaniu. Następnego dnia zawieszał się już notorycznie przy próbie załadowania (odtworzenia) pulpitu (jeśli ma to znaczenie - ekran "Zapraszamy" ładował się sporo dłużej niż zazwyczaj, po czym pojawiał się biały pasek zamiast paska startowego, a wszelkie próby komunikacji z tym systemem były próżne). Po około 5 resecie z kolei widoczny był pasek startowy i windows się uruchomił. Postanowiłem zawalczyć, uzupełniłem wiedzę nabytą/zaczerpniętą kiedyś z searchengines.pl - tutaj dziękuję picasso, za wszelką okazaną pomoc poprzedniej ery systemów) i okazyjnie wykonałem aktualnie zalecane raporty. ; ) Komputer stacjonarny obecnie nie ma dostępu do internetu. Użyłem testowo nowego dla mnie narzędzia Malwarebytes Anti-Rootkit (MBAR) wykrył on nadmienionego w temacie Unknown.Rootkit.VBR, loga zamieszczam również jako uzupełnienie. Dodatkowo, po wykonaniu opcji wylecz (MBAR) zniknął napęd dvd, oraz dwa wirtualne napędy. Nie mam pojęcia czy to ma jakiś związek z całą sprawą.

Bardzo dziękuję za wszelką okazaną pomoc, załączam możliwie pomocne i dodatkowe skany.

 

Pozdrawiam

 Results of screen317's Security Check version 0.99.73  
 Windows 7 Service Pack 1 x64 [color=red][b](UAC is disabled!)[/b][/color]  
 Internet Explorer 10  
[b][u]``````````````Antivirus/Firewall Check:``````````````[/b][/u] 
ESET Smart Security 6.0   
 [color=red][b]Antivirus out of date![/b][/color]  
[b][u]`````````Anti-malware/Other Utilities Check:`````````[/b][/u] 
 [color=red][b]Java version out of Date![/b][/color] 
 Adobe Flash Player 11.8.800.94  
 Mozilla Firefox (23.0.1) 
[b][u]````````Process Check: objlist.exe by Laurent````````[/b][/u]  
 ESET NOD32 Antivirus egui.exe  
 ESET NOD32 Antivirus ekrn.exe  
 Malwarebytes' Anti-Malware mbamscheduler.exe   
[b][u]`````````````````System Health check`````````````````[/b][/u] 
 Total Fragmentation on Drive C:  
[b][u]````````````````````End of Log``````````````````````[/b][/u]

FRST.txt

Addition.txt

OTL.Txt

Extras.Txt

dds.txt

attach.txt

mbar-log-2013-09-02 (20-27-26).txt

system-log.txt

FSS.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

FRST również wykrywa partycję charakterystyczną dla bootkita:

 

========================================================

Disk: 4 (MBR Code: Windows 7 or 8) (Size: 15 GB) (Disk ID: CAD4EBEA)

Partition 00: (Active) - (Size=0) - (Type=00) ATTENTION ===> 0 byte partition bootkit.

Partition 3: (Active) - (Size=15 GB) - (Type=0C)

 

Tylko detekcja nastąpiła na czwartym w kolejności dysku oznaczonym etykietą "Removable":

 

==================== Drives ================================

 

Drive c: (System) (Fixed) (Total:40 GB) (Free:4.95 GB) NTFS ==>[Drive with boot components (obtained from BCD)]

Drive e: (Dysk lokalny) (Fixed) (Total:149.05 GB) (Free:21.17 GB) NTFS

Drive f: (Studio ) (Fixed) (Total:120.01 GB) (Free:5.83 GB) NTFS

Drive g: (Studio) (Fixed) (Total:305.75 GB) (Free:26.62 GB) NTFS

Drive h: (Dysk lokalny) (Fixed) (Total:107.14 GB) (Free:21.98 GB) NTFS

Drive i: (Studio ) (Fixed) (Total:74.56 GB) (Free:4.7 GB) NTFS

Drive o: () (Removable) (Total:14.91 GB) (Free:0.52 GB) FAT32

 

Co to za dysk "o", co na nim jest, czy wbrew nazwie to dysk "stały" czy "przepinany" gdzieś?

 

 

 

.

Odnośnik do komentarza
arisen

arisen

Opublikowano
  • Autor
Opublikowano

Witaj, dziękuję za podjęcie tematu, faktycznie musiałem nie zwrócić uwagi że był wpięty podczas skanowania. Jest to lotny pendrive, nic stałego. Przejrzałem

katalogi i pliki na nim i na froncie nie wywołały niepokoju, natomiast w środku już tak. Mianowicie w dwóch podfolderach (na pozór normalnie wyglądających) ich zawartością okazały się znane mi już krzaki. Akcje typu zmiana nazwy, dostęp do tych folderów i plików jest niemożliwy, są bez rozszerzeń. Otrzymuję takie chyba standardowe komunikaty:

 

-  próba wejścia do zakrzaczonego podfolderu: lokalizacja jest niedostępna. Folder X:\\ ..... nie jest dostępny. Nazwa pliku, nazwa katalogu lub składnia etykiety woluminu jest niepoprawna.

-  zmiana nazwy: Nie można znaleźć tego elementu, itp.. element prawdopodobnie nie istnieje..

-  usunięcie pliku: Nazwa pliku jest nieprawidłowa lub za długa

 

Kiedyś następstem takich krzaków było umyślne, bo zbyt szybkie z mojej strony odłączenie pendriv, nie szło go wówczas sformatować, pamiętam, że podziałałem Disk editor and data recovery oraz RMP REPUSB i sukcesywnie ożywiłem pendrive i utracone dane, (był to inny pendrive) w każdym razie temat nieusuwalnych plików i folderów przerobiłem. Czy proponowane wcześniej narzędzia directoryfixer/deletedr/lockhunter itp.. mogę użyć na win764bit? Czy szukać innych nowszych? Kontynuując temat infekcji pendirv, mogę nadal użyć Flash Disinfector czy powinienem go zastąpić UsbFix / Kaspersky RadminerFlashRestorer?

Finalizując, jakie kroki mam poczynić, by działać a nie męczyć pytaniami, no poza ostatnim ; ) Jak określasz formę tego systemu, kondycję logów. Staram się na bierząco go czyścić z wszelakich śmieci niespodzianek.

 

Miłego wieczoru

Pozdrawiam

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Mianowicie w dwóch podfolderach (na pozór normalnie wyglądających) ich zawartością okazały się znane mi już krzaki. Akcje typu zmiana nazwy, dostęp do tych folderów i plików jest niemożliwy, są bez rozszerzeń. Otrzymuję takie chyba standardowe komunikaty:

 

- próba wejścia do zakrzaczonego podfolderu: lokalizacja jest niedostępna. Folder X:\\ ..... nie jest dostępny. Nazwa pliku, nazwa katalogu lub składnia etykiety woluminu jest niepoprawna.

- zmiana nazwy: Nie można znaleźć tego elementu, itp.. element prawdopodobnie nie istnieje..

- usunięcie pliku: Nazwa pliku jest nieprawidłowa lub za długa

To wygląda na jedno z dwóch: uszkodzona struktura systemu plików lub zaszyfrowane dane. Wstępnie:

- zapuść komendę chkdsk /f /r X:\ na tym dysku. Powiedz mi czy sprawdzanie dysku coś z tego zakresu przetworzyło / naprawiło martwe obszary.

- na dalszą metę polecam przenieść cenne dane z tego pendrive, następnie usunąć z niego wszystkie partycje (ta zerowa zgłaszana jako pochodna bootkita jest podejrzana), założyć jedną nową i sformatować.

 

 

Czy proponowane wcześniej narzędzia directoryfixer/deletedr/lockhunter itp.. mogę użyć na win764bit? Czy szukać innych nowszych? Kontynuując temat infekcji pendirv, mogę nadal użyć Flash Disinfector czy powinienem go zastąpić UsbFix / Kaspersky RadminerFlashRestorer?

Moim zdaniem to możesz sobie odpuścić. Te narzędzia nie mają żadnych predyspozycji do usuwania uszkodzeń w strukturze systemu plików. PS. A Flash Disinfector to prehistoria (2008).

 

 

 

.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...