Stránka 2 z 2
Re: trojský kůň rootkit-agent.EF
Napsal: stř 17. úno 2010, 19:58
od jan.svoboda
Tak se nám šmejd nějak drží
Tak trošku jinak...
Dle tohoto návodu
http://www.viry.cz/forum/viewtopic.php?t=19832 stáhni a spusť Avenger, a do něj zkopíruj následující skript (bez Kód):
Kód: Vybrat vše
Begin copying here:
Files to move:
c:\windows\system32\dllcache\atapi.sys | c:\windows\system32\drivers\atapi.sys
Files to delete:
C:\WINDOWS\system32\spool\prtprocs\w32x86\31.tmp
C:\WINDOWS\system32\spool\prtprocs\w32x86\52.tmp
Potvrď a postupuj zase dle návodu. Hlavně potřebuji vidět log, který to vypíše.
Re: trojský kůň rootkit-agent.EF
Napsal: čtv 18. úno 2010, 18:47
od drahovzalka
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
Error: file "c:\windows\system32\dllcache\atapi.sys" not found!
File move operation "c:\windows\system32\dllcache\atapi.sys|c:\windows\system32\drivers\atapi.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "C:\WINDOWS\system32\spool\prtprocs\w32x86\31.tmp" not found!
Deletion of file "C:\WINDOWS\system32\spool\prtprocs\w32x86\31.tmp" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "C:\WINDOWS\system32\spool\prtprocs\w32x86\52.tmp" not found!
Deletion of file "C:\WINDOWS\system32\spool\prtprocs\w32x86\52.tmp" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Completed script processing.
*******************
Finished! Terminate.
Re: trojský kůň rootkit-agent.EF
Napsal: čtv 18. úno 2010, 19:16
od jan.svoboda
OK, atapi.sys se ještě neobnovil, protože v ddlcache nebyl. Zkusíme ho ještě vytáhnout z jiné složky, případně to vyřešíme jinou metodou, žádný strach
Nyní tedy udělej to samé s Avengerem, ale s tímto skriptem:
Kód: Vybrat vše
Files to move:
c:\windows\ServicePackFiles\i386\atapi.sys | c:\windows\system32\drivers\atapi.sys
Re: trojský kůň rootkit-agent.EF
Napsal: čtv 18. úno 2010, 20:15
od drahovzalka
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
Error: could not open file "c:\windows\ServicePackFiles\i386\atapi.sys" for move operation
File move operation "c:\windows\ServicePackFiles\i386\atapi.sys|c:\windows\system32\drivers\atapi.sys" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist
Completed script processing.
*******************
Finished! Terminate.
Re: trojský kůň rootkit-agent.EF
Napsal: pon 22. úno 2010, 19:50
od jan.svoboda
Stahni si SystemLook
http://jpshortstuff.247fixes.com/SystemLook.exe na plochu.
- spust
- do textoveho pole programu zkopiruj cely obsah z bileho policka:
- klik na tlacitko Look, po ukonceni hledani se otevre log, pripadne ho najdes na plose SystemLook.txt
alternativni odkaz
http://images.malwareremoval.com/jpshor ... emLook.exe
Dle nalezu, uvazuji o kompletni nahrazeni sys souboru z instal cd.
Re: trojský kůň rootkit-agent.EF
Napsal: pon 22. úno 2010, 21:10
od drahovzalka
SystemLook v1.0 by jpshortstuff (11.01.10)
Log created at 21:08 on 22/02/2010 by uživatel (Administrator - Elevation successful)
========== filefind ==========
Searching for "atapi.sys"
C:\WINDOWS\system32\drivers\atapi.sys --a--- 96512 bytes [12:00 14/04/2008] [12:00 14/04/2008] C66357849B1371C22D7F60AC6B11C638
-=End Of File=-
Re: trojský kůň rootkit-agent.EF
Napsal: úte 23. úno 2010, 15:50
od jan.svoboda
OK, jinde záloha napadeného atapi.sys není, máš tedy instalační CD k Windowsům?
Dle nalezu, uvazuji o kompletni nahrazeni sys souboru z instal cd.
Re: trojský kůň rootkit-agent.EF
Napsal: úte 23. úno 2010, 19:18
od drahovzalka
U sebe ne. Mam jen starou 95. Je to nutné, nebo se to dá sehnat i jinak. Nejdřív se k němu totiž dostanu o víkendu.
Re: trojský kůň rootkit-agent.EF
Napsal: úte 23. úno 2010, 19:22
od jan.svoboda
No je tu řešení, sice na netu nejde nikde stáhnout, ale koukám, že přesná verze OS tvého je: Windows XP SP3 (WinNT 5.01.2600). Já ho stáhnu ze svého instalačního CD a někam ho uploaduju, a pak ho nahradíme
Re: trojský kůň rootkit-agent.EF
Napsal: úte 23. úno 2010, 19:24
od drahovzalka
Tak to je bezva. Díky moc
Re: trojský kůň rootkit-agent.EF
Napsal: stř 24. úno 2010, 00:04
od jan.svoboda
Promiň, úplně jsem na tebe zapoměl. Ale než se do toho dáme, předem upozorňuji, neručím za to, že to bude fungovat, i když ten soubor je ze stejné verze Windowsů, jako máš ty. Je možné, že se to nepovede, může se stát cokoliv, tedy nyní děláš všchno na svoje nebezpečí a doporučuji zálohovat nejnutnější data. Avšak při dodržení postupu by se nemělo nic stát.
Tady je tedy nahraný ten soubor:
Kód: Vybrat vše
http://rapidshare.com/files/354897031/atapi.rar
Stáhni jej a rozbal pouze do C:/. Poté použij tento skript pro Avenger se stejným postupem (při kopírování skriptu do Avengeru si ověř, zda-li nejsou na koncích řádků mezery, pokud by byly, smaž je, Avenger to bere jako znak a soubor pro něj nebude existovat):
Kód: Vybrat vše
Files to move:
c:\atapi.sys | c:\windows\system32\drivers\atapi.sys
A vlož sem log z Avengeru. Pokud by po přesunutí souboru a následném restartu díky Avengeru nechtěl PC najet, mačkej při startu klávesu F8 a zvol "Poslední známá funkční konfigurace".
Re: trojský kůň rootkit-agent.EF
Napsal: sob 24. črc 2010, 19:29
od jan.svoboda
Soubor byl smazán pro nestažení. Pokud ho budeš potřebovat, napiš mi, uploaduji ho znovu.