rootkit, který upravuje I/O diskové operace pro jaro3

[jendislav]

Nenastavil mi to nikdo :) Pracuji v IT tak vim co delam, pred cistenim PC to tak nebylo... ale po provedeni posledniho kroku a restartu PC programem ComboFix to prestalo fungovat...

[Reklama]

[jaro3]

Zkus několikrát restartovat PC..

Vše OK , virama to asi nebude...

TDSSKiller--smaž z plochy a na C:\TDSSKiller

aswMBR---smaž

[jendislav]

Zkusim. diky moc.

[jendislav]

Po restartu uz programy spoustet jdou. Diky.

[jaro3]

No já doporučuji aby ses vrátil do tématu s MiliNessem , žádnou nákazu jsme nenašli..

Pokud nejsou jiné problémy , je to vše a můžeš dát vyřešeno , zelenou fajfku.

[MiliNess]

Já děkuji kolegům a ještě bych se zde na pár věcí podíval.

1) Pokud to tak nemáš, nastav si toto:
Počítač->Vlastnosti->Upřesnit nastavení systému->Upřesnit->Výkon->Nastavení->Upřesnit->Virtuální paměť - podívej se, zda máš povolen stránkovací soubor. Pokud ne, povol ho.
Počítač->Vlastnosti->Upřesnit nastavení systému->Upřesnit->Spuštění a zotavení systému->Nastavení->Zapsat ladící informace - nastav na Zkrácený výpis stavu paměti

2) Stáhni CrystalDiskInfo, v nabídce Úpravy zvol Kopírovat a obsah schránky sem vlož pomocí Ctrl+V

3) Spusť Verifier:

Spustit->napište "verifier"->OK->Vytvořit uživatelské nastavení->Vybrat individuální nastavení z úplného seznamu->mimo "Simulace nedostatku prostředků" zatrhněte vše->vybrat ovladače ze seznamu->vyberte vše, co není od Microsoftu->Dokončit->restartujte PC

Pokud verifier narazí na nějaký problém, objeví se BSOD a dojde k restartu počítače. Ve složce Windows\Minidump by se měl vytvořit nový výpis paměti, který mi upněte.
Pokud by k BSOD docházelo už při startu OS a nedařilo se i po několika restartech zavést systém,
spusťte nouzový režim (mačkání F8 při startu PC)
Tam spusťte Verifier a zvolte "Odstranit existující nastavení->Dokončit->restart PC.
Detekce chyby může trvat několik hodin i dní

[jendislav]

----------------------------------------------------------------------------
CrystalDiskInfo 4.1.3 (C) 2008-2011 hiyohiyo
Crystal Dew World : http://crystalmark.info/
----------------------------------------------------------------------------

OS : Windows 7 Home Premium Edition SP1 [6.1 Build 7601] (x64)
Date : 2012/03/20 22:36:34

-- Controller Map ----------------------------------------------------------
- ATA Channel 0 (0) [ATA]
- ATA Channel 1 (1) [ATA]
+ Intel(R) Desktop/Workstation/Server Express Chipset SATA AHCI Controller [ATA]
- ADATA SSD S510 120GB
- HL-DT-ST DVDRAM GH22NS70
- WDC WD7500AVVS-63E1B1
+ PCI Standardní dvoukanálový řadič IDE [ATA]
- ATA Channel 0 (0)
- ATA Channel 1 (1)
+ AQ0CLT4A IDE Controller [SCSI]
- PIRQ 3WX63OX2BW5A SCSI CdRom Device
- PIRQ 3WX63OX2BW5A SCSI CdRom Device

-- Disk List ---------------------------------------------------------------
(1) ADATA SSD S510 120GB : 120.0 GB [0-0-0, pd1] - sf
(2) WDC WD7500AVVS-63E1B1 : 750.1 GB [1-0-2, pd1]

----------------------------------------------------------------------------
(1) ADATA SSD S510 120GB
----------------------------------------------------------------------------
Model : ADATA SSD S510 120GB
Firmware : 320ABBF0
Serial Number : 22002871000000001883
Disk Size : 120.0 GB (8.4/120.0/120.0)
Buffer Size : Neznámy údaj
Queue Depth : 32
# of Sectors : 234441648
Rotation Rate : ---- (SSD)
Interface : Serial ATA
Major Version : ATA8-ACS
Minor Version : ACS-2 Revision 3
Transfer Mode : SATA/600
Power On Hours : 823 hod.
Power On Count : 328 krát
Host Reads : 1070 GB
Host Writes : 681 GB
Temparature : Neznámy údaj
Health Status : Dobrý (100 %)
Features : S.M.A.R.T., APM, 48bit LBA, NCQ, TRIM
APM Level : 00FEh [ON]
AAM Level : ----

-- S.M.A.R.T. --------------------------------------------------------------
ID Cur Wor Thr Raw Values (7) Attribute Name
01 120 120 _50 00000000000000 Raw Read Error Rate
05 100 100 __3 00000000000000 Retired Block Count
09 100 100 __0 00C55800000337 Power-on Hours
0C 100 100 __0 00000000000148 Power Cycle Count
AB __0 __0 __0 00000000000000 Program Fail Count
AC __0 __0 __0 00000000000000 Erase Fail Count
AE __0 __0 __0 0000000000001A Unexpected Power Loss Count
B1 __0 __0 __0 00000000000001 Wear Range Delta
B5 __0 __0 __0 00000000000000 Program Fail Count
B6 __0 __0 __0 00000000000000 Erase Fail Count
BB 100 100 __0 00000000000000 Reported Uncorrectable Errors
C2 128 129 __0 00007F00810080 Temperature
C3 100 100 __0 00000000000000 On‐the‐Fly ECC Uncorrectable Error Count
C4 100 100 __3 00000000000000 Reallocation Event Count
C9 100 100 __0 00000000000000 Uncorrectable Soft Read Error Rate
CC 100 100 __0 00000000000000 Soft ECC Correction Rate
E6 100 100 __0 00000000000064 Life Curve Status
E7 100 100 _10 00000000000000 SSD Life Left
E9 __0 __0 __0 000000000002EE Specifický pro výrobce
EA __0 __0 __0 000000000002A9 Specifický pro výrobce
F1 __0 __0 __0 000000000002A9 Lifetime Writes from Host
F2 __0 __0 __0 0000000000042E Lifetime Reads from Host

-- IDENTIFY_DEVICE ---------------------------------------------------------
+0 +1 +2 +3 +4 +5 +6 +7 +8 +9 +A +B +C +D +E +F
000: 0C 5A 3F FF C8 37 00 10 00 00 00 00 00 3F 00 00
010: 00 00 00 00 32 32 30 30 32 38 37 31 30 30 30 30
020: 30 30 30 30 31 38 38 33 00 00 00 00 00 04 33 32
030: 30 41 42 42 46 30 41 44 41 54 41 20 53 53 44 20
040: 53 35 31 30 20 31 32 30 47 42 20 20 20 20 20 20
050: 20 20 20 20 20 20 20 20 20 20 20 20 20 20 80 10
060: 40 00 2F 00 40 00 02 00 02 00 00 07 3F FF 00 10
070: 00 3F FC 10 00 FB 01 10 4B B0 0D F9 00 00 00 07
080: 00 03 00 78 00 78 00 78 00 78 4F 00 00 00 00 00
090: 00 00 00 00 00 00 00 1F C7 0E 00 06 00 4C 00 44
0A0: 01 FC 01 10 74 6B 74 69 61 63 74 29 B4 49 61 63
0B0: 40 7F 00 01 00 00 00 FE FF FE 00 00 00 00 00 00
0C0: 00 00 00 00 00 00 00 00 4B B0 0D F9 00 00 00 00
0D0: 00 00 00 01 40 00 00 00 00 00 00 00 00 00 00 00
0E0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 40 1E
0F0: 40 1C 00 00 00 00 00 00 00 00 00 00 00 00 00 00
100: 00 01 00 00 00 00 00 00 00 00 00 00 00 00 00 00
110: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
120: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
130: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
140: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
150: 00 00 00 01 00 00 00 00 00 00 00 00 00 00 00 00
160: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
170: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
180: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
190: 00 00 00 00 00 00 00 00 00 00 00 00 00 21 00 00
1A0: 00 00 40 00 00 00 00 00 01 00 00 00 00 00 00 00
1B0: 00 00 00 01 00 00 00 00 00 00 00 00 10 3F 00 00
1C0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
1D0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
1E0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
1F0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 77 A5

----------------------------------------------------------------------------
(2) WDC WD7500AVVS-63E1B1
----------------------------------------------------------------------------
Model : WDC WD7500AVVS-63E1B1
Firmware : 01.01A01
Serial Number : WD-WCAU49824982
Disk Size : 750.1 GB (8.4/137.4/750.1)
Buffer Size : 8192 KB
Queue Depth : 32
# of Sectors : 1465149168
Rotation Rate : Neznámy údaj
Interface : Serial ATA
Major Version : ATA8-ACS
Minor Version : ----
Transfer Mode : SATA/300
Power On Hours : 4016 hod.
Power On Count : 1580 krát
Temparature : 36 C (96 F)
Health Status : Dobrý
Features : S.M.A.R.T., AAM, 48bit LBA, NCQ
APM Level : ----
AAM Level : 8080h [ON]

-- S.M.A.R.T. --------------------------------------------------------------
ID Cur Wor Thr RawValues(6) Attribute Name
01 200 200 _51 000000000000 Počet chyb čtení
03 166 159 _21 000000001A13 Čas na roztočení ploten
04 _99 _99 __0 00000000065A Počet spuštění/zastavení
05 200 200 140 000000000000 Počet přemapovaných sektorů
07 200 200 __0 000000000000 Počet chybných hledání
09 _95 _95 __0 000000000FB0 Hodin v činnosti
0A 100 100 __0 000000000000 Počet opakovaných pokusů o roztočení ploten
0B 100 100 __0 000000000000 Počet pokusů o překalibrování
0C _99 _99 __0 00000000062C Počet cyklů zapnutí zařízení
C0 200 200 __0 00000000011E Počet vypnutí disku
C1 200 200 __0 00000000065A Počet cyklů načítání/vymazání
C2 114 107 __0 000000000024 Teplota
C4 200 200 __0 000000000000 Počet udalostí s číslem realokování sektorů
C5 200 200 __0 000000000000 Počet podezřelých sektorů
C6 100 253 __0 000000000000 Počet neopravitelných sektorů
C7 200 199 __0 00000000000D Počet chyb v kontrolním součtu UltraDMA
C8 100 253 __0 000000000000 Počet chyb při zápisu sektorů

-- IDENTIFY_DEVICE ---------------------------------------------------------
+0 +1 +2 +3 +4 +5 +6 +7 +8 +9 +A +B +C +D +E +F
000: 42 7A 3F FF C8 37 00 10 00 00 00 00 00 3F 00 00
010: 00 00 00 00 20 20 20 20 20 57 44 2D 57 43 41 55
020: 34 39 38 32 34 39 38 32 00 00 40 00 00 32 30 31
030: 2E 30 31 41 30 31 57 44 43 20 57 44 37 35 30 30
040: 41 56 56 53 2D 36 33 45 31 42 31 20 20 20 20 20
050: 20 20 20 20 20 20 20 20 20 20 20 20 20 20 80 10
060: 00 00 2F 00 40 01 00 00 00 00 00 07 3F FF 00 10
070: 00 3F FC 10 00 FB 01 10 FF FF 0F FF 00 00 00 07
080: 00 03 00 78 00 78 00 78 00 78 00 00 00 00 00 00
090: 00 00 00 00 00 00 00 1F 07 06 00 00 00 44 00 44
0A0: 01 FE 00 00 74 6B 7F 61 47 33 74 69 BE 41 47 23
0B0: 40 7F 00 5E 00 5E 00 00 FF FE 00 00 80 80 00 08
0C0: 00 00 00 00 86 A0 00 01 66 F0 57 54 00 00 00 00
0D0: 00 00 00 00 00 00 00 00 50 01 4E E1 57 15 A1 2C
0E0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 40 10
0F0: 40 10 00 00 00 00 00 00 00 00 00 00 00 00 00 00
100: 00 21 00 00 00 00 00 00 00 00 16 B1 00 00 00 00
110: 00 00 00 00 00 00 00 00 00 00 00 00 00 04 00 00
120: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
130: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
140: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
150: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
160: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
170: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
180: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
190: 00 00 00 00 00 00 00 00 00 00 00 00 30 3F 00 00
1A0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
1B0: 00 00 00 00 00 00 00 00 00 00 00 00 10 0E 00 00
1C0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
1D0: 00 00 00 00 00 01 10 00 00 00 00 00 00 00 00 00
1E0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
1F0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 E6 A5

[MiliNess]

Ten stránkovací soubor si nastav na ten pevný disk (ne na SSD)
Pak budeme čekat na Verifier a minidump.

[MiliNess]

Verifier zachytil problém v ovladači azvusb.sys (AzureWave). Řekl bych, že je to ovladač WiFi adaptéru.
Nejedná se sice o extra závažnou chybu, podíval bych se ale po novější verzi. Ovladač dokončí IRP paket od správce PnP, který by měl ale poslat dalším ovladačům ve stacku pod sebou. Těžko říci, jestli je zodpovědný za ty BSOD, chyba to ale je. Navíc se jedná o nějakou verzi určenou k ladění (debug verze) Časové razítko toho ovladače je Thu Aug 13 13:29:32 2009.
Pokud nenajdeš novou verzi, tak bych ten ovladač prozatím vyloučil ze sledování Verifierem a pokračoval v ověřování.

[jendislav]

Diky za radu. Strankovaci soubor jsem tedy presunul... Zadnou Wifi v PC nemam....

[MiliNess]

Tak ve složce Windows\System32\Drivers najdi soubor azvusb.sys a ve vlastnostech souboru se podívej na popis.
Měl by to být ovladač virtuálního USB rozbočovače.

[jendislav]

Pisou tam u toho - Virtual USB Hub, verze 1.0.0.12