Премини към съдържанието
  • Добре дошли!

    Добре дошли в нашите форуми, пълни с полезна информация. Имате проблем с компютъра или телефона си? Публикувайте нова тема и ще намерите решение на всичките си проблеми. Общувайте свободно и открийте безброй нови приятели.

    Моля, регистрирайте се за да публикувате тема и да получите пълен достъп до всички функции.

     

mavro

Проверка на ОС за Rootkit и инструменти за премахването им

Препоръчан отговор

публикувано (редактирано)

След направената проверка за Rootkits резултата е следния:

Какво следва да направя по-нататък?

Редактирано от mihnev_sz
Редакция на заглавието (преглед на промените)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

1.Сложи отметка пред файла и избери Remove selected items

2.Най-вероятно ще се наложи рестарт за да се премахне/преименува обекта.

3.Има вероятност след рестарт, при нова проверка пак да го засече...Просто инструмента от AVG не успява да се справи със задачата по отстраняването на обекта.

4.Препоръчвам профилактична проверка с GMER, Rootkit Unhooker, AVZ, RootkitRevealer, както и малките инструменти System Virginity Verifier, modgreper...

SVV 2.3 - System Virginity Verifier

важни команди тук са : svv check ; svv fix

11592715rr5.jpg

http://invisiblethings.org/tools/svv/svv-2.3-bin.zip

modGREPER

важна команда тук е: modgreper /h

http://invisiblethings.org/tools/modGREPER...PER-0.3-bin.zip

За разчитането на информарцията обаче може да се наложи да се обърнеш към специалист!

Повечето ще ги намериш тук на този адрес.

http://www.antirootkit.com/software/index.htm

При проверка с RootkitRevealer, може да се установи наличието на ключове в регистъра наречени embedded nulls

От Sysinternals са се погрижили за програмка, която сканира и дава възможност за изтриване на опасните "празни ключове"...

http://technet.microsoft.com/en-us/sysinte...s/bb897448.aspx

Пример за скрит обект в регистрите с помощта на RegHide.

Regdelnull открива "натрапника" и предлага възможност за неговото изтриване.

Командата за претърсване на регистрите е следната:

regdelnull hklm -s (Където HKEY_LOCAL_MACHINE може да бъде заменен с hkcu ; hku и т.н.)

80354024ka6.jpg

5.Някои програми като DAEMON Tools използват rootkit техники за емулиране на защитени дискове и много програми отчитат неговата подозрителна дейност.Лично аз наскоро имах подобен проблем и си мислех, че здравата съм загазил, но след деинсталиране на DAEMON-a всичко си дойде на мястото и разбрах, че е фалшива тревога.След това отново си качих DAEMON-a без допълнителните му "екстри" - тулбари и AdVantage - шпионския му модул.Просто за мен няма по-добра алтернатива от него за момента.

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

1.Сложи отметка пред файла и избери Remove selected items

2.Най-вероятно ще се наложи рестарт за да се премахне/преименува обекта.

3.Има вероятност след рестарт, при нова проверка пак да го засече...Просто инструмента от AVG не успява да се справи със задачата по отстраняването на обекта.

4.Препоръчвам профилактична проверка с GMER, Rootkit Unhooker, AVZ, RootkitRevealer, както и малките инструменти System Virginity Verifier, modgreper...

Точно така стана,както си го написал-след рестарт AVG пак го засече. Затова направих проверка с GMER. Ето резултата, от който нищо не разбирам.

GMER 1.0.14.14205 - http://www.gmer.net

Rootkit scan 2008-05-17 19:18:13

Windows 5.1.2600 Service Pack 3

---- System - GMER 1.0.14 ----

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwClose [0xB2638D98]

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateKey [0xB2638CB8]

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDeleteValueKey [0xB263912A]

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDuplicateObject [0xB26388AA]

SSDT sptd.sys ZwEnumerateKey [0xF85F1FB2]

SSDT sptd.sys ZwEnumerateValueKey [0xF85F2340]

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenKey [0xB2638D2E]

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenProcess [0xB26387C8]

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenThread [0xB263883C]

SSDT sptd.sys ZwQueryKey [0xF85F2418]

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwQueryValueKey [0xB2638E42]

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwRestoreKey [0xB2638E02]

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwSetValueKey [0xB2638F84]

SSDT \??\C:\WINDOWS\system32\Drivers\uphcleanhlp.sys ZwUnloadKey [0xAFD546D0]

---- Kernel code sections - GMER 1.0.14 ----

.text ntoskrnl.exe!_abnormal_termination + 228 804E2884 1 Byte [ 2E ]

.text ntoskrnl.exe!_abnormal_termination + 22A 804E2886 2 Bytes [ 63, B2 ]

? C:\WINDOWS\system32\drivers\sptd.sys The process cannot access the file because it is being used by another process.

.text USBPORT.SYS!DllUnload F78988AC 5 Bytes JMP 82B861C8

? System32\Drivers\afq66xt4.SYS The system cannot find the file specified. !

? C:\WINDOWS\system32\Drivers\uphcleanhlp.sys The system cannot find the file specified. !

---- Kernel IAT/EAT - GMER 1.0.14 ----

IAT \WINDOWS\System32\Drivers\SCSIPORT.SYS[ntoskrnl.exe!IoConnectInterrupt] [F860306C] sptd.sys

IAT pci.sys[ntoskrnl.exe!IoDetachDevice] [F8603018] sptd.sys

IAT pci.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack] [F86259AE] sptd.sys

IAT atapi.sys[ntoskrnl.exe!IoConnectInterrupt] [F860306C] sptd.sys

IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F85ECAD4] sptd.sys

IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F85ECC1A] sptd.sys

IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F85ECB9C] sptd.sys

IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F85ED748] sptd.sys

IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F85ED61E] sptd.sys

IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [F860229A] sptd.sys

---- User IAT/EAT - GMER 1.0.14 ----

IAT C:\WINDOWS\system32\services.exe[912] @ C:\WINDOWS\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW] 00390002

IAT C:\WINDOWS\system32\services.exe[912] @ C:\WINDOWS\system32\services.exe [KERNEL32.dll!CreateProcessW] 00390000

IAT C:\WINDOWS\Explorer.EXE[1836] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile] [02C32EC0] C:\Program Files\Common Files\Logitech\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)

IAT C:\WINDOWS\Explorer.EXE[1836] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile] [02C32C30] C:\Program Files\Common Files\Logitech\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)

IAT C:\WINDOWS\Explorer.EXE[1836] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose] [02C32C90] C:\Program Files\Common Files\Logitech\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)

IAT C:\WINDOWS\Explorer.EXE[1836] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject] [02C32C60] C:\Program Files\Common Files\Logitech\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)

IAT C:\Program Files\Google\Gmail Notifier\gnotify.exe[2472] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile] [00CD2EC0] C:\Program Files\Common Files\Logitech\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)

IAT C:\Program Files\Google\Gmail Notifier\gnotify.exe[2472] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile] [00CD2C30] C:\Program Files\Common Files\Logitech\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)

IAT C:\Program Files\Google\Gmail Notifier\gnotify.exe[2472] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose] [00CD2C90] C:\Program Files\Common Files\Logitech\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)

IAT C:\Program Files\Google\Gmail Notifier\gnotify.exe[2472] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject] [00CD2C60] C:\Program Files\Common Files\Logitech\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)

IAT C:\Program Files\Atomic Alarm Clock\AtomicAlarmClock.exe[2504] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile] [003B2EC0] C:\Program Files\Common Files\Logitech\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)

IAT C:\Program Files\Atomic Alarm Clock\AtomicAlarmClock.exe[2504] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile] [003B2C30] C:\Program Files\Common Files\Logitech\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)

IAT C:\Program Files\Atomic Alarm Clock\AtomicAlarmClock.exe[2504] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose] [003B2C90] C:\Program Files\Common Files\Logitech\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)

IAT C:\Program Files\Atomic Alarm Clock\AtomicAlarmClock.exe[2504] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject] [003B2C60] C:\Program Files\Common Files\Logitech\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)

IAT C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe[2536] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile] [003E2EC0] C:\Program Files\Common Files\Logitech\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)

IAT C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe[2536] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile] [003E2C30] C:\Program Files\Common Files\Logitech\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)

IAT C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe[2536] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose] [003E2C90] C:\Program Files\Common Files\Logitech\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)

IAT C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe[2536] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject] [003E2C60] C:\Program Files\Common Files\Logitech\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)

IAT C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe[2548] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile] [00A32EC0] C:\Program Files\Common Files\Logitech\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)

IAT C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe[2548] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile] [00A32C30] C:\Program Files\Common Files\Logitech\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)

IAT C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe[2548] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose] [00A32C90] C:\Program Files\Common Files\Logitech\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)

IAT C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe[2548] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject] [00A32C60] C:\Program Files\Common Files\Logitech\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)

IAT C:\Program Files\MLocator\MLocator.exe[2592] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile] [003D2EC0] C:\Program Files\Common Files\Logitech\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)

IAT C:\Program Files\MLocator\MLocator.exe[2592] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile] [003D2C30] C:\Program Files\Common Files\Logitech\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)

IAT C:\Program Files\MLocator\MLocator.exe[2592] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose] [003D2C90] C:\Program Files\Common Files\Logitech\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)

IAT C:\Program Files\MLocator\MLocator.exe[2592] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject] [003D2C60] C:\Program Files\Common Files\Logitech\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)

IAT C:\Program Files\Weather Pulse\weatherpulse.exe[2680] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile] [00FC2EC0] C:\Program Files\Common Files\Logitech\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)

IAT C:\Program Files\Weather Pulse\weatherpulse.exe[2680] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile] [00FC2C30] C:\Program Files\Common Files\Logitech\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)

IAT C:\Program Files\Weather Pulse\weatherpulse.exe[2680] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose] [00FC2C90] C:\Program Files\Common Files\Logitech\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)

IAT C:\Program Files\Weather Pulse\weatherpulse.exe[2680] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject] [00FC2C60] C:\Program Files\Common Files\Logitech\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)

IAT C:\WINDOWS\system32\ctfmon.exe[2696] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile] [009E2EC0] C:\Program Files\Common Files\Logitech\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)

IAT C:\WINDOWS\system32\ctfmon.exe[2696] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile] [009E2C30] C:\Program Files\Common Files\Logitech\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)

IAT C:\WINDOWS\system32\ctfmon.exe[2696] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose] [009E2C90] C:\Program Files\Common Files\Logitech\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)

IAT C:\WINDOWS\system32\ctfmon.exe[2696] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject] [009E2C60] C:\Program Files\Common Files\Logitech\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)

IAT C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe[2724] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile] [003D2EC0] C:\Program Files\Common Files\Logitech\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)

IAT C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe[2724] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile] [003D2C30] C:\Program Files\Common Files\Logitech\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)

IAT C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe[2724] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose] [003D2C90] C:\Program Files\Common Files\Logitech\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)

IAT C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe[2724] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject] [003D2C60] C:\Program Files\Common Files\Logitech\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)

IAT C:\DOCUME~1\MAVRO\LOCALS~1\Temp\Временна папка 1 за gmer114.zip\gmer.exe[3020] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile] [003A2EC0] C:\Program Files\Common Files\Logitech\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)

IAT C:\DOCUME~1\MAVRO\LOCALS~1\Temp\Временна папка 1 за gmer114.zip\gmer.exe[3020] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile] [003A2C30] C:\Program Files\Common Files\Logitech\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)

IAT C:\DOCUME~1\MAVRO\LOCALS~1\Temp\Временна папка 1 за gmer114.zip\gmer.exe[3020] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose] [003A2C90] C:\Program Files\Common Files\Logitech\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)

IAT C:\DOCUME~1\MAVRO\LOCALS~1\Temp\Временна папка 1 за gmer114.zip\gmer.exe[3020] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject] [003A2C60] C:\Program Files\Common Files\Logitech\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)

IAT C:\Program Files\Mozilla Firefox\firefox.exe[4048] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile] [010D2EC0] C:\Program Files\Common Files\Logitech\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)

IAT C:\Program Files\Mozilla Firefox\firefox.exe[4048] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile] [010D2C30] C:\Program Files\Common Files\Logitech\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)

IAT C:\Program Files\Mozilla Firefox\firefox.exe[4048] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose] [010D2C90] C:\Program Files\Common Files\Logitech\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)

IAT C:\Program Files\Mozilla Firefox\firefox.exe[4048] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject] [010D2C60] C:\Program Files\Common Files\Logitech\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)

---- Devices - GMER 1.0.14 ----

Device \FileSystem\Ntfs \Ntfs 82F671E8

AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)

AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

Device \Driver\PCI_NTPNP8596 \Device\00000050 sptd.sys

Device \Driver\PCI_NTPNP8596 \Device\00000050 sptd.sys

Device \Driver\usbuhci \Device\USBPDO-0 82B851E8

Device \Driver\dmio \Device\DmControl\DmIoDaemon 82F691E8

Device \Driver\dmio \Device\DmControl\DmConfig 82F691E8

Device \Driver\dmio \Device\DmControl\DmPnP 82F691E8

Device \Driver\dmio \Device\DmControl\DmInfo 82F691E8

Device \Driver\usbuhci \Device\USBPDO-1 82B851E8

Device \Driver\usbuhci \Device\USBPDO-2 82B851E8

Device \Driver\usbuhci \Device\USBPDO-3 82B851E8

Device \Driver\usbehci \Device\USBPDO-4 82B581E8

AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

Device \Driver\Ftdisk \Device\HarddiskVolume1 82FD71E8

Device \Driver\Ftdisk \Device\HarddiskVolume2 82FD71E8

Device \Driver\NetBT \Device\NetBt_Wins_Export 82AF7428

Device \Driver\NetBT \Device\NetbiosSmb 82AF7428

Device \Driver\NetBT \Device\NetBT_Tcpip_{AB21C24A-B4D0-496C-8DEE-96F12444F1DC} 82AF7428

AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

Device \Driver\usbuhci \Device\USBFDO-0 82B851E8

Device \Driver\usbuhci \Device\USBFDO-1 82B851E8

Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 8290E790

Device \Driver\usbuhci \Device\USBFDO-2 82B851E8

Device \FileSystem\MRxSmb \Device\LanmanRedirector 8290E790

Device \Driver\usbuhci \Device\USBFDO-3 82B851E8

Device \Driver\usbehci \Device\USBFDO-4 82B581E8

Device \Driver\Ftdisk \Device\FtControl 82FD71E8

Device \Driver\viamraid \Device\Scsi\viamraid1 82F681E8

Device \Driver\viamraid \Device\Scsi\viamraid1Port2Path0Target0Lun0 82F681E8

Device \Driver\afq66xt4 \Device\Scsi\afq66xt41 82A5B1E8

Device \FileSystem\Cdfs \Cdfs 82A1C468

---- Registry - GMER 1.0.14 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001060d2a2b2

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\[email protected] 771343423

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\[email protected] 285507792

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\[email protected] 1

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\[email protected] 0

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\[email protected] 0x00 0x1C 0x24 0x0C ...

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\[email protected] C:\Program Files\DAEMON Tools\

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\[email protected] 0x20 0x01 0x00 0x00 ...

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\[email protected] 0xBF 0xC1 0x2F 0xBE ...

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\[email protected] 0x12 0x00 0x0E 0x88 ...

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\[email protected] 0x45 0x65 0x34 0x29 ...

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\[email protected] 0xA8 0xD6 0x6A 0x8B ...

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\[email protected] 0x90 0x80 0xD3 0x42 ...

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\[email protected] 0

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\[email protected] 0x00 0x1C 0x24 0x0C ...

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\[email protected] C:\Program Files\DAEMON Tools\

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\[email protected] 0x20 0x01 0x00 0x00 ...

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\[email protected] 0xBF 0xC1 0x2F 0xBE ...

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\[email protected] 0x12 0x00 0x0E 0x88 ...

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\[email protected] 0x45 0x65 0x34 0x29 ...

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\[email protected] 0xA8 0xD6 0x6A 0x8B ...

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\[email protected] 0x90 0x80 0xD3 0x42 ...

Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\001060d2a2b2

Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4

Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\[email protected] 0

Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\[email protected] 0x00 0x1C 0x24 0x0C ...

Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\[email protected] C:\Program Files\DAEMON Tools\

Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001

Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\[email protected] 0x20 0x01 0x00 0x00 ...

Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\[email protected] 0xBF 0xC1 0x2F 0xBE ...

Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40

Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\[email protected] 0x12 0x00 0x0E 0x88 ...

Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41

Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\[email protected] 0x45 0x65 0x34 0x29 ...

Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42

Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\[email protected] 0xA8 0xD6 0x6A 0x8B ...

Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43

Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\[email protected] 0x90 0x80 0xD3 0x42 ...

Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\8<8G5A:89

Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\%8<8G5A:89 @SlowInfoCache 0x28 0x02 0x00 0x00 ...

Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\%8<8G5A:89 @Changed 0

Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\YUCache\J;[email protected]:8

Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\YUCache\J;[email protected]:8 @SlowInfoCache 0x46 0xE9 0x00 0x00 ...

Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\YUCache\J;[email protected]:8

Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\YUCache\J;[email protected]:8 @SlowInfoCache 0xA6 0x91 0x51 0x00 ...

Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\YUCache\J;[email protected]:8

Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\YUCache\J;[email protected]:8 @SlowInfoCache 0xFA 0xAC 0x09 0x00 ...

Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\YUCache\J;[email protected]:8

Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\YUCache\J;[email protected]:8 @SlowInfoCache 0x21 0x4B 0xBC 0x01 ...

Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\YUCache\J;[email protected]:8

Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\YUCache\J;[email protected]:8 @SlowInfoCache 0xD4 0x14 0x37 0x05 ...

Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\YUCache\J;[email protected]:8

Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\YUCache\J;[email protected]:8 @SlowInfoCache 0xF3 0x9F 0xD9 0x01 ...

Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\YUCache\J;[email protected]:8

Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\YUCache\J;[email protected]:8 @SlowInfoCache 0x00 0x00 0x00 0x00 ...

Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\YUCache\J;[email protected]:8

Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\YUCache\J;[email protected]:8 @SlowInfoCache 0xAE 0xE9 0x83 0x01 ...

Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\YUCache\J;[email protected]:8

Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\YUCache\J;[email protected]:8 @SlowInfoCache 0x19 0x34 0x58 0x02 ...

Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\YUCache\J;[email protected]:8

Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\YUCache\J;[email protected]:8 @SlowInfoCache 0x7D 0x3F 0x38 0x00 ...

Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\YUCache\J;[email protected]:8

Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\YUCache\J;[email protected]:8 @SlowInfoCache 0x00 0x00 0x00 0x00 ...

Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\YUCache\J;[email protected]:8

Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\YUCache\J;[email protected]:8 @SlowInfoCache 0x45 0xEF 0x7A 0x00 ...

Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\YUCache\J;[email protected]:8

Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\YUCache\J;[email protected]:8 @SlowInfoCache 0xAA 0x26 0x51 0x0A ...

Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\YUCache\0:5B

Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\YUCache\0:5B @SlowInfoCache 0xAC 0x1D 0x7C 0x00 ...

Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\YUCache\8<8G5A:89

Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\YUCache\%8<8G5A:89 @SlowInfoCache 0xBB 0xD1 0x22 0x00 ...

Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\J;[email protected]:8

Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\J;[email protected]:8 @DisplayName ????????? ????????? ?? Advanced WindowsCare v2

Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\J;[email protected]:8 @UninstallString C:\Program Files\IObit\Advanced WindowsCare V2\Language\uninst.exe

Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\J;[email protected]:8 @DisplayVersion v2

Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\J;[email protected]:8 @URLInfoAbout http://www.bg-interface.net

Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\J;[email protected]:8 @Publisher Bg Interface

Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\8<8G5A:89

Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\%8<8G5A:89 @UninstallString "C:\Program Files\Talbica NC 2.2\uninstall.exe"

Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\%8<8G5A:89 @DisplayName ?????????? ?????????? Talbica NC 2.2

Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\%8<8G5A:89 @DisplayIcon C:\Program Files\Talbica NC 2.2\talbica.exe,0

Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\%8<8G5A:89 @DisplayVersion 2.2

Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\%8<8G5A:89 @HelpLink www.talbica.narod.ru

Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\%8<8G5A:89 @HelpTelephone

Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\%8<8G5A:89 @Publisher Markelov Andrew

Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\%8<8G5A:89 @URLInfoAbout www.talbica.narod.ru

Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\%8<8G5A:89 @URLUpdateInfo www.talbica.narod.ru

Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\J;[email protected]:8

Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\J;[email protected]:8 @Order 0x08 0x00 0x00 0x00 ...

Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\@8=04;56=>AB8

Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\@8=04;56=>[email protected] 0x08 0x00 0x00 0x00 ...

Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\[email protected]@0=5

Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\[email protected]@[email protected] 0x08 0x00 0x00 0x00 ...

---- Files - GMER 1.0.14 ----

File C:\Documents and Settings\MAVRO\Desktop\gmer114.zip 698623 bytes

---- EOF - GMER 1.0.14 ----

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Все ми се струва, че и при теб DAEMON Tools е в основата на всичко.

Не се притеснявай за:

sptd.sys - част от Daemon Tools

uphcleanhlp.sys - част от User Profile Hive Cleanup от Microsoft

PS: Направи прост тест - деинсталирай Daemon Tools, почисти неговия драйвер (изтeгли SPTD v1.56 X86 (32 bit), стартирай го и избери Uninstall).

http://www.disc-tools.com/download/daemon+sptd+md5sum

Сега влез в Registry Editor-a (start => run => regedit => edit => find => пиши sptd => и изтрий всички остатъци от него. С F3 минаваш на следващия резултат (бъди внимателен какво триеш!).

Накрая направи нова проверка с anti-rootkit инструментите!

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Всъщност и тези, мисля че бяха от Daemon tools:

aico8vs2.sys

afq66xt4.SYS

Засичат ги някои програми, като rootkit.


Сподели този отговор


Линк към този отговор
Сподели в други сайтове
публикувано (редактирано)

Ето повечето от познатите Anti-Rootkit инструменти събрани на едно място.

http://www.antirootkit.com/software/index.htm

П.с. Защо си изтри коментара с връзките бре,човек,ако не ти се занимаваше аз щях да ги оправя,давай ги насам.За какво си играх да редактирам заглавието на темата. biggrin.gif

Редактирано от mihnev_sz (преглед на промените)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
публикувано (редактирано)

AntiHookExec, ApiHookCheck, KprocCheck, SDT Restore http://www.security.org.sg/

Antikit http://anti-virus.by/download_files/antikit.zip

AVG antirootkit http://www.softpedia.com/progDownload/AVG-...load-48738.html

Avira AntiRootkit Tool http://www.avira.com/en/support/support_downloads.html

AVZ http://z-oleg.com/secur/avz/

Archon Scanner http://www.antirootkit.com/software/Archon-Scanner.htm

BitDefender RootkitUncover http://download.bitdefender.com/windows/de...otkit-BETA2.exe http://www.softpedia.com/get/Antivirus/Bit...itUncover.shtml

BreakPE http://seconfig.sytes.net/breakpe

DarkSpy http://www.fyyre.net/~cardmagic

Detectproc http://www.kd-team.com/

FLISTER proof-of-concept, KLISTER, modGREPER, Patch Finder, System Virginity Verifier http://www.invisiblethings.org/tools.html

F-Secure BlackLight http://www.f-secure.com/blacklight/cure.shtml

GMER, Catchme http://www.gmer.net/ http://www.majorgeeks.com/GMER_d5198.html

HookExplorer http://labs.idefense.com/files/labs/releas...s/HookExplorer/

Helios, Helios Light http://helios.miel-labs.com/

IceSword http://202.38.64.10/~jfpan/

Kernel PS http://virusinfo.info/showthread.php?t=1330

McAfee Rootkit Detective http://vil.nai.com/vil/stinger/rkstinger.aspx http://www.majorgeeks.com/download5447.html

Packed Driver Detector http://www.misec.net/products/pdd/

Panda Antirootkit http://research.pandasoftware.com/blogs/re...it-cleaner.aspx

Process hunter http://www.wasm.ru/toollist.php?list=21#359

RAIDE http://www.rootkit.com/newsread.php?newsid=544

RegDellNull http://www.microsoft.com/technet/sysintern...RegDelNull.mspx

RegReveal http://www.geocities.jp/kiskzo/regreveal.html

RKDetect - Rootkit by anomaly detector http://securityvulns.ru/soft/rkdetect/

RKDetector http://www.rkdetector.com/

rootchk http://www.uploads.ejvindh.net/rootchk.exe

Rootkit Hook Analyzer http://www.resplendence.com/hookanalyzer/

RootkitRevealer http://www.microsoft.com/technet/sysintern...itRevealer.mspx

Rootkit Unhooker, Process Walker http://rkunhooker1.narod.ru/

SanityCheck http://www.resplendence.com/sanity

Safe'n'Sec Rootkit Detector http://www.safensoft.ru/security.phtml?c=17&id=1063

SafetyCheck http://yyuyao.googlepages.com/home

Seem http://3psilon.info/-Seem-System-Eyes-and-Ears.html

Sophos Anti-Rootkit http://www.sophos.com/products/free-tools/...ti-rootkit.html

SysProt AntiRootkit http://swatrant.blogspot.com/

Trend Micro RootkitBuster http://www.trendmicro.com/download/rbuster.asp

UnHackMe http://greatis.com/unhackme/faq.htm

VICE http://www.rootkit.com/project.php?id=20

Linux and other OS

chkrootkit http://www.chkrootkit.org/

OS X Rootkit Hunter http://mac.softpedia.com/get/Security/OS-X...it-Hunter.shtml

Rkscan http://www.hsc.fr/ressources/outils/rkscan/index.html.en

Rootkit Hunter http://www.rootkit.nl/projects/rootkit_hunter.html

Rootkit Profiler LX http://www.trapkit.de/research/rkprofiler/rkplx/rkplx.html

Rootkitty http://www.ubcd4win.com/forum/index.php?showtopic=2424

Unhide http://www.security-projects.com/?Unhide:Download

Zeppoo http://www.zeppoo.net/

Rootkit removal tools

Aries Sony Rootkit Remover

http://www.lavasoftusa.com/support/securit...kit_remover.php

Sony rootkit removal tool for Windows 2000/XP

http://www.norman.com/support/support_tools/69011/en

Gromozon related removal tools:

Automatic Gromozon Removal Tool http://411-spyware.com/remove-gromozon

Gromozon Remover Tool http://www.spywareremove.com/removeGromozon.html

Gromozon Rootkit Removal Tool http://######/tor/3538707/Gromoz...it_Removal_Tool

Gromozon Rootkit Removal Tool http://www.prevx.com/gromozon.asp

Fixgrom http://pcalsicuro.phpsoft.it/FixGrom.exe

Haxdoor removal tools:

Haxfix http://forum.hijackthis.de/showthread.php?t=15448

Mebroot Removal Tool

http://www.symantec.com/content/en/us/glob.../FixMebroot.exe

Rustock (a,b,c) removal tools:

Greatis Rustock ( a,b,c ) Removal Tool http://greatis.com/security/Rustock(lzx32....emoval_tool.htm

Rustbfix http://www.uploads.ejvindh.net/rustbfix.exe

Sinowal Cleaner

http://www.norman.com/support/support_tools/58733/en

Редактирано от mihnev_sz (преглед на промените)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

От изброеното безспорно №1 е Gmer. За съжаление, рядко се работи по него и е леко поостарял, но върши страхотна работа, за разлика от другите постоянно актуализиращи се програми. Другият вариант, който макар много да се харесва на B-Boy е - AVZ. По принцип съм съгласен с него, че руската техника е много добра, но пък ComoFix пред това е детска играчка. Ако не си достатъчно запознат като цяло с премахването на зловредния софтуер и дори със AVZ, аз лично не препоръчвам да се използва. Много лесно, може да причини много големи проблеми и сериозни проблеми.

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
От изброеното безспорно №1 е Gmer. За съжаление, рядко се работи по него и е леко поостарял, но върши страхотна работа, за разлика от другите постоянно актуализиращи се програми. Другият вариант, който макар много да се харесва на B-Boy е - AVZ. По принцип съм съгласен с него, че руската техника е много добра, но пък ComoFix пред това е детска играчка. Ако не си достатъчно запознат като цяло с премахването на зловредния софтуер и дори със AVZ, аз лично не препоръчвам да се използва. Много лесно, може да причини много големи проблеми и сериозни проблеми.

Благодаря Fixer...знам това...и много внимавам...също използвам GMER,,,,!

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Привети....!Искам да попитам как се маха TDSS рууткит....чувал съм че има TDSS remover ,но не мога да открия линк,моля за помощ!

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Най-лесният начин е с MalwareBytes' Anti-Malware, но понякога той го блокира и не успява да си свърши работата. Опитай с него, ако не стане, отвори нова тема и с подходящите логове и информация за проблема ще се опитаме да помогнем.

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Привети....!Искам да попитам как се маха TDSS рууткит....чувал съм че има TDSS remover ,но не мога да открия линк,моля за помощ!

http://www.google.bg/search?hl=bg&source=hp&q=removal+techniques+for+TDSS+rootkit&btnG=Google+%D1%82%D1%8A%D1%80%D1%81%D0%B5%D0%BD%D0%B5&meta=&aq=null&oq= Успех!

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Благодаря на всички....!clap.gif

Признаците на зараза с такъв рууткит са:

1.Антивирусната не работи или не се обновявa;

2.Променят се резултатите от сканирането;

3.Антивирусната реагира на файлове със следното съдържание:

ESQUL*.sys

geyekr*.sys

hjgrui*.sys

MSIVX*.sys

TDSS*.sys

SKYNET*.sys

aliserv*.sys

Clbd*.sys

gaopdx*.sys

msliksurcr*.sys

ovfsth*.sys

seneka*.sys

UAC*.sys

Tidserv*.sys

vsfoce* 

MSQPDX*

GXVXC* 

kbiwkm*

kungsf*

gxvxc*

Аз реших да използвам : TDSS remover

Без проблеми!cool.gif

Редактирано от icotonev (преглед на промените)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Признаците на зараза в подобен случай какви ли ще са при мен- след като над половин месец съм без антивирусна програма.Този TDSS рууткит поради "липса на възможност за изява" вероятно изобщо няма да ме посети. Сигурно ще отиде при някой примерно с програми на ESET или Касперски - за да се доказва колко може. Поздрави

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Здравейте!Днес реших да обърна вниманието на драгите съфорумци на програмата:

IceSword 1.22

Авторът на програмата е pjf, програмист от Китай.Официалния сайт на програмата е:

http://mail2.ustc.edu.cn/~jfpan/

Скрийншот:

1070161i.jpg

IceSword е мощен антирууткит инструмент който е предназначен за ръчно търсене,копиране и премахване на трудноизтриваеми и високо технологични рууткит.Преимуществото на този инструмент е че той прави собствен разбор на файловата система ,който му позволява да търси маскирани рууткит и да ги локализира в заразена система.Важно е да се знае че с програмата е възможно да се откриват и премахват активни рууткит.Това става с една от многото функции на IceSword - force delete.

Успех!!!

Редактирано от icotonev (преглед на промените)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
http://www.trendmicro.com/download/rbuster.asp https://www.virustotal.com/analisis/073ccb7576099bf6933381f4a2288927188c41027f6de9faf8b137f3b756851c-1256751777 Не е нужно да коментирам изявата на двете програми. Rootkit Buster ми намери при сканиране 207 скрити файла - изтрих ги чрез програмата. Сега трябва да рестартирам. Поздрави Редактирано от TNN (преглед на промените)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

сканирах със SysProt AntiRootkit и получих тези резултати

60a7ab0986eet.jpg

7ee4af88b6e8t.jpg

та въпроса ми е това дали са руткит и да ги изтрия ли?

Редактирано от stonit (преглед на промените)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

SysProt AntiRootkit v1.0.1.0

by swatkat

******************************************************************************************

******************************************************************************************

******************************************************************************************

******************************************************************************************

Kernel Modules:

Module Name: spdg.sys

Service Name: ---

Module Base: B7EA7000

Module End: B7FA7000

Hidden: Yes

Module Name: \SystemRoot\System32\Drivers\aabjhab8.SYS

Service Name: ---

Module Base: B73E6000

Module End: B741D000

Hidden: Yes

Module Name: \SystemRoot\System32\Drivers\dump_atapi.sys

Service Name: ---

Module Base: B4957000

Module End: B496F000

Hidden: Yes

Module Name: \SystemRoot\System32\Drivers\dump_WMILIB.SYS

Service Name: ---

Module Base: B85E2000

Module End: B85E4000

Hidden: Yes

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Пробвай да отстраниш единствено Module Name: \SystemRoot\System32\Drivers\aabjhab8.SYS

Другите две констатации са в резултат на свръхчувствителност - и при мен ги намира това индийско чудо.Те са и защитени. Поздрави

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Имаш ли инсталиран Daemon Tools или пък поне имал ли си го? Такива от сорта на aabjhab8.SYS се срещат при DT.

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Добавете отговор

Можете да публикувате отговор сега и да се регистрирате по-късно. Ако имате регистрация, влезте в профила си за да публикувате от него.

Гост
Напишете отговор в тази тема...

×   Вмъкнахте текст, който съдържа форматиране.   Премахни форматирането на текста

  Разрешени са само 75 емотикони.

×   Съдържанието от линка беше вградено автоматично.   Премахни съдържанието и покажи само линк

×   Съдържанието, което сте написали преди беше възстановено..   Изтрий всичко

×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Добави ново...