Registrace  •  FAQ  •  Pravidla fóra  •  Uživatelské blogy  •  PCTuning.cz  •  Hledat  • Přihlášení
 • Funkce report, slouží pro upozornění na porušení pravidel, ne vzkazy moderátorům.

Právě je pá 26. únor 2021, 22:59

Zobrazit příspěvky bez odpovědiZobrazit aktivní témata



Čas je uváděn v UTC + 1 hodina


Odpovědět na téma  [ 32 příspěvků ]  Přejít na stránku předchozí  1, 2
Autor Zpráva
 Předmět: Re: trojský kůň rootkit-agent.EF
PříspěvekZaslal v: st 17. únor 2010, 19:58 
Středně pokročilý
Středně pokročilý

Založen: 25. prosinec 2009
Bydliště: Chrudim
Nahoru
Tak se nám šmejd nějak drží :-D
Tak trošku jinak...

Dle tohoto návodu http://www.viry.cz/forum/viewtopic.php?t=19832 stáhni a spusť Avenger, a do něj zkopíruj následující skript (bez Kód):

Kód:
Begin copying here:
Files to move:
c:\windows\system32\dllcache\atapi.sys | c:\windows\system32\drivers\atapi.sys

Files to delete:
C:\WINDOWS\system32\spool\prtprocs\w32x86\31.tmp
C:\WINDOWS\system32\spool\prtprocs\w32x86\52.tmp

Potvrď a postupuj zase dle návodu. Hlavně potřebuji vidět log, který to vypíše.

_________________
Zde na foru již nejsem aktivní, vyskytuji se na Google+ (http://gplus.to/JanSvoboda), kde aktivně píšu nejen o IT.


 Profil  
 Předmět: Re: trojský kůň rootkit-agent.EF
PříspěvekZaslal v: čt 18. únor 2010, 18:47 
Nováček
Nováček

Založen: 13. únor 2010
Nahoru
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: file "c:\windows\system32\dllcache\atapi.sys" not found!
File move operation "c:\windows\system32\dllcache\atapi.sys|c:\windows\system32\drivers\atapi.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\system32\spool\prtprocs\w32x86\31.tmp" not found!
Deletion of file "C:\WINDOWS\system32\spool\prtprocs\w32x86\31.tmp" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\system32\spool\prtprocs\w32x86\52.tmp" not found!
Deletion of file "C:\WINDOWS\system32\spool\prtprocs\w32x86\52.tmp" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.


 Profil  
 Předmět: Re: trojský kůň rootkit-agent.EF
PříspěvekZaslal v: čt 18. únor 2010, 19:16 
Středně pokročilý
Středně pokročilý

Založen: 25. prosinec 2009
Bydliště: Chrudim
Nahoru
OK, atapi.sys se ještě neobnovil, protože v ddlcache nebyl. Zkusíme ho ještě vytáhnout z jiné složky, případně to vyřešíme jinou metodou, žádný strach :-) Nyní tedy udělej to samé s Avengerem, ale s tímto skriptem:

Kód:
Files to move:
c:\windows\ServicePackFiles\i386\atapi.sys | c:\windows\system32\drivers\atapi.sys

_________________
Zde na foru již nejsem aktivní, vyskytuji se na Google+ (http://gplus.to/JanSvoboda), kde aktivně píšu nejen o IT.


 Profil  
 Předmět: Re: trojský kůň rootkit-agent.EF
PříspěvekZaslal v: čt 18. únor 2010, 20:15 
Nováček
Nováček

Založen: 13. únor 2010
Nahoru
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: could not open file "c:\windows\ServicePackFiles\i386\atapi.sys" for move operation
File move operation "c:\windows\ServicePackFiles\i386\atapi.sys|c:\windows\system32\drivers\atapi.sys" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist


Completed script processing.

*******************

Finished! Terminate.


 Profil  
 Předmět: Re: trojský kůň rootkit-agent.EF
PříspěvekZaslal v: po 22. únor 2010, 19:50 
Středně pokročilý
Středně pokročilý

Založen: 25. prosinec 2009
Bydliště: Chrudim
Nahoru
:arrow: Stahni si SystemLook http://jpshortstuff.247fixes.com/SystemLook.exe na plochu.
- spust
- do textoveho pole programu zkopiruj cely obsah z bileho policka:

Kód:
:filefind
atapi.sys


- klik na tlacitko Look, po ukonceni hledani se otevre log, pripadne ho najdes na plose SystemLook.txt
alternativni odkaz http://images.malwareremoval.com/jpshor ... emLook.exe

Dle nalezu, uvazuji o kompletni nahrazeni sys souboru z instal cd.

_________________
Zde na foru již nejsem aktivní, vyskytuji se na Google+ (http://gplus.to/JanSvoboda), kde aktivně píšu nejen o IT.


 Profil  
 Předmět: Re: trojský kůň rootkit-agent.EF
PříspěvekZaslal v: po 22. únor 2010, 21:10 
Nováček
Nováček

Založen: 13. únor 2010
Nahoru
SystemLook v1.0 by jpshortstuff (11.01.10)
Log created at 21:08 on 22/02/2010 by uživatel (Administrator - Elevation successful)

========== filefind ==========

Searching for "atapi.sys"
C:\WINDOWS\system32\drivers\atapi.sys --a--- 96512 bytes [12:00 14/04/2008] [12:00 14/04/2008] C66357849B1371C22D7F60AC6B11C638

-=End Of File=-


 Profil  
 Předmět: Re: trojský kůň rootkit-agent.EF
PříspěvekZaslal v: út 23. únor 2010, 15:50 
Středně pokročilý
Středně pokročilý

Založen: 25. prosinec 2009
Bydliště: Chrudim
Nahoru
OK, jinde záloha napadeného atapi.sys není, máš tedy instalační CD k Windowsům?
Citace:
Dle nalezu, uvazuji o kompletni nahrazeni sys souboru z instal cd.

_________________
Zde na foru již nejsem aktivní, vyskytuji se na Google+ (http://gplus.to/JanSvoboda), kde aktivně píšu nejen o IT.


 Profil  
 Předmět: Re: trojský kůň rootkit-agent.EF
PříspěvekZaslal v: út 23. únor 2010, 19:18 
Nováček
Nováček

Založen: 13. únor 2010
Nahoru
U sebe ne. Mam jen starou 95. Je to nutné, nebo se to dá sehnat i jinak. Nejdřív se k němu totiž dostanu o víkendu.


 Profil  
 Předmět: Re: trojský kůň rootkit-agent.EF
PříspěvekZaslal v: út 23. únor 2010, 19:22 
Středně pokročilý
Středně pokročilý

Založen: 25. prosinec 2009
Bydliště: Chrudim
Nahoru
No je tu řešení, sice na netu nejde nikde stáhnout, ale koukám, že přesná verze OS tvého je: Windows XP SP3 (WinNT 5.01.2600). Já ho stáhnu ze svého instalačního CD a někam ho uploaduju, a pak ho nahradíme :-)

_________________
Zde na foru již nejsem aktivní, vyskytuji se na Google+ (http://gplus.to/JanSvoboda), kde aktivně píšu nejen o IT.


Naposledy upravil jan.svoboda dne st 24. únor 2010, 00:04, celkem upraveno 2x.

 Profil  
 Předmět: Re: trojský kůň rootkit-agent.EF
PříspěvekZaslal v: út 23. únor 2010, 19:24 
Nováček
Nováček

Založen: 13. únor 2010
Nahoru
Tak to je bezva. Díky moc


 Profil  
 Předmět: Re: trojský kůň rootkit-agent.EF
PříspěvekZaslal v: st 24. únor 2010, 00:04 
Středně pokročilý
Středně pokročilý

Založen: 25. prosinec 2009
Bydliště: Chrudim
Nahoru
Promiň, úplně jsem na tebe zapoměl. Ale než se do toho dáme, předem upozorňuji, neručím za to, že to bude fungovat, i když ten soubor je ze stejné verze Windowsů, jako máš ty. Je možné, že se to nepovede, může se stát cokoliv, tedy nyní děláš všchno na svoje nebezpečí a doporučuji zálohovat nejnutnější data. Avšak při dodržení postupu by se nemělo nic stát.

Tady je tedy nahraný ten soubor:
Kód:
http://rapidshare.com/files/354897031/atapi.rar

Stáhni jej a rozbal pouze do C:/. Poté použij tento skript pro Avenger se stejným postupem (při kopírování skriptu do Avengeru si ověř, zda-li nejsou na koncích řádků mezery, pokud by byly, smaž je, Avenger to bere jako znak a soubor pro něj nebude existovat):

Kód:
Files to move:
c:\atapi.sys | c:\windows\system32\drivers\atapi.sys

A vlož sem log z Avengeru. Pokud by po přesunutí souboru a následném restartu díky Avengeru nechtěl PC najet, mačkej při startu klávesu F8 a zvol "Poslední známá funkční konfigurace".

_________________
Zde na foru již nejsem aktivní, vyskytuji se na Google+ (http://gplus.to/JanSvoboda), kde aktivně píšu nejen o IT.


 Profil  
 Předmět: Re: trojský kůň rootkit-agent.EF
PříspěvekZaslal v: so 24. červenec 2010, 18:29 
Středně pokročilý
Středně pokročilý

Založen: 25. prosinec 2009
Bydliště: Chrudim
Nahoru
Soubor byl smazán pro nestažení. Pokud ho budeš potřebovat, napiš mi, uploaduji ho znovu.

_________________
Zde na foru již nejsem aktivní, vyskytuji se na Google+ (http://gplus.to/JanSvoboda), kde aktivně píšu nejen o IT.
Naposledy aktualizoval jan.svoboda dne so 24. červenec 2010, 18:29.

 Profil  
Zobrazit příspěvky za poslední:  Řadit podle  
Odpovědět na téma  [ 32 příspěvků ]  Přejít na stránku předchozí  1, 2


Čas je uváděn v UTC + 1 hodina


Přejít do sekce:
  

Kdo je přihlášený

Uživatelé procházející si tuto sekci: Žádní registrovaní uživatelé a 2 anonymních


Nemůžete zakládat nová témata v této sekci
Nemůžete odpovídat na příspěvky v této sekci
Nemůžete upravovat své příspěvky v této sekci
Nemůžete mazat své příspěvky v této sekci
Nemůžete připojit přílohy v této sekci

 
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Český překlad - PCT fórum, Zásady ochrany osobních údajů.