Skocz do zawartości

AVG wykrył infekcję rootkit (hook -> RSAFAL.SYS)


Rekomendowane odpowiedzi

Dobry wieczór.

AVG nie poradził sobie z tym zagrożeniem, twierdząc że nie ma dostepu do pliku.

 

"Skanuj cały komputer"

"Średni priorytet";"4";"0";"4"

"Foldery wybrane do skanowania:";"Skanuj cały komputer"

"Rozpoczęto:";"2014-01-08, 19:00:12"

"Zakończono:";"2014-01-08, 19:20:16"

"Przeskanowanych obiektów:";"52105"

"Użytkownik:";"OptiPlex 755"

 

"Nazwa";"Opis";"Wynik";"Status";"Priorytet"

"C:\WINDOWS\System32\Drivers\RSAFAL.SYS";"Funkcja usługi NtQueryValueKey hook -> RSAFAL.SYS +0x2DE0";"Zainfekowany";"Zainfekowany";"Średnie"

"C:\WINDOWS\System32\Drivers\RSAFAL.SYS";"Funkcja usługi NtOpenFile hook -> RSAFAL.SYS +0x3870";"Zainfekowany";"Zainfekowany";"Średnie"

"C:\WINDOWS\System32\Drivers\RSAFAL.SYS";"Funkcja usługi NtOpenKey hook -> RSAFAL.SYS +0x30E0";"Zainfekowany";"Zainfekowany";"Średnie"

"C:\WINDOWS\System32\Drivers\RSAFAL.SYS";"Funkcja usługi NtCreateFile hook -> RSAFAL.SYS +0x3520";"Zainfekowany";"Zainfekowany";"Średnie"

 

Jest to plik CSV z wynikiem skanowania. W załączniku logi obowiązkowe, podejrzeam jeszcze kilka innych infekcji któych AVG nie wskazał.

 

Dziekuje za wachową pomoc, która zawsze tutaj uzyskałem.

Addition.txt

Extras.Txt

FRST.txt

Gemer.txt

OTL.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

RSAFAL.SYS to nie jest rootkit w rozumieniu infekcji. Sterownik wykazuje czynności hookujące, bo należy do określonego specyficznego oprogramowania. To sterownik wirtualizacji Altiris: KLIK. Program masz zainstalowany:

 

==================== Installed Programs ======================

 

Altiris Recovery Agent (Version: 6.20.2332 - Altiris Inc.)

 

==================== Scheduled Tasks (whitelisted) =============

 

Task: C:\WINDOWS\Tasks\AeX Local Job 266.job => C:\Program Files\Altiris\eXpress\Client Recovery Agent\AeXCmd.exe

 

==================== Registry (Whitelisted) ==================

 

HKLM\...\Run: [AeXRSAView] - C:\Program Files\Altiris\eXpress\Client Recovery Agent\AeXRSAView.exe [1028096 2006-10-10] (Altiris, Inc.)

 

========================== Services (Whitelisted) =================

 

R2 Altiris Recovery Solution Agent; C:\Program Files\Altiris\eXpress\Client Recovery Agent\AeXRSAgt.exe [3117056 2006-10-10] (Altiris, Inc.)

S2 Altiris Recovery Solution FAL Stopper; C:\Program Files\Altiris\eXpress\Client Recovery Agent\AeXFALS.exe [65536 2006-10-10] (Altiris, Inc.)

 

==================== Drivers (Whitelisted) ====================

 

R1 RSAFAL; No ImagePath

 

Nie podejmuj żadnych czynności usuwających w AVG. To nie jest infekcja. I tu w ogóle nie ma oznak żadnej infekcji. Jedna drobna uwaga:

 

Odinstaluj McAfee Security Scan Plus, o ile nie jest to celowa instalacja. Ten program może się wślizgnąć jako sponsor innej instalacji (np. Adobe): KLIK.

 

 

 

.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...