Just nu i M3-nätverket
Gå till innehåll

avencer.sys


Szandor

Rekommendera Poster

Det har, tyvärr, blivit något problem med att bifoga filer för en del personer.

Du kan ladda upp bilden på t ex http://pici.se/ och så klistra in länken till den här.

Länk till kommentar
Dela på andra webbplatser

  • Svars 61
  • Skapad
  • Senaste svar

Ok jag gör så, det är några bilder.

När jag körde rootkiten så blev det blåskärm igen då den var färdig, har inte hunnit köra en gång till men ska göra det snart.

 

Jag har sökt igenom registret också efter avencer.sys och hittade en del jag tog skärmdumpar även av det, en del ser likadana ut men det är dom inte utan ligger på olika platser.

Länk till kommentar
Dela på andra webbplatser

Enligt bilderna så har Sophos flyttat filer till en karantän, men det kanske inte har skett ändå. Det mesta den har hittat är filer i mappen HP Games som är packade på ett okänt sätt, eftersom det borde vara sådant som kom med datorn skulle jag tro att det är falsklarm.

 

Det var ju tråkigt att det inte står något om i vilken fil och mapp Spectorsoft, Mal/Generic-A och Mal/KeyGen-A hittades.

 

Är de här produkterna något du känner igen?

http://www.easybits.com/sv/

För framför allt Magic Desktop skulle jag kunna tänka mig lägger in filer som är lite udda.

 

Har du säkerhetskopior på alla viktiga filer om något skulle hända?

Har du tillgång till en till en annan dator om något skulle hända?

Om inte så gör inte resten.

 

Ta bort den ComboFix du har och ladda ner en ny.

 

Kopiera alla rader i rutan

[KOD]

Driver::

avencer

 

File::

c:\windows\System32\drivers\avencer.sys

C:\Windows\System32\subaxsel32.dll

c:\windows\system32\exebibin.dll

c:\windows\system32\extuvhex.dll

c:\windows\system32\madokvoc.dll

Folder::

c:\windows\system32\libupuri

[/KOD]

och klistra in i Anteckningar.

Spara filen på Skrivbordet med namnet CFScript.

 

Förbered datorn på samma sätt som tidigare för ComboFix.

Dra CFScript med musen och släpp den ovanpå ComboFix-ikonen på Skrivbordet så startar programmet på ett särskilt sätt.

Klistra in loggen som kommer ut.

Länk till kommentar
Dela på andra webbplatser

Enligt bilderna så har Sophos flyttat filer till en karantän, men det kanske inte har skett ändå. Det mesta den har hittat är filer i mappen HP Games som är packade på ett okänt sätt, eftersom det borde vara sådant som kom med datorn skulle jag tro att det är falsklarm.

 

Det var ju tråkigt att det inte står något om i vilken fil och mapp Spectorsoft, Mal/Generic-A och Mal/KeyGen-A hittades.

 

Är de här produkterna något du känner igen?

http://www.easybits.com/sv/

För framför allt Magic Desktop skulle jag kunna tänka mig lägger in filer som är lite udda.

 

Har du säkerhetskopior på alla viktiga filer om något skulle hända?

Har du tillgång till en till en annan dator om något skulle hända?

Om inte så gör inte resten.

 

Ta bort den ComboFix du har och ladda ner en ny.

 

Kopiera alla rader i rutan

[KOD]

Driver::

avencer

 

File::

c:\windows\System32\drivers\avencer.sys

C:\Windows\System32\subaxsel32.dll

c:\windows\system32\exebibin.dll

c:\windows\system32\extuvhex.dll

c:\windows\system32\madokvoc.dll

Folder::

c:\windows\system32\libupuri

[/KOD]

och klistra in i Anteckningar.

Spara filen på Skrivbordet med namnet CFScript.

 

Förbered datorn på samma sätt som tidigare för ComboFix.

Dra CFScript med musen och släpp den ovanpå ComboFix-ikonen på Skrivbordet så startar programmet på ett särskilt sätt.

Klistra in loggen som kommer ut.

 

Magic desktop ???

Aldrig hört talas om, finns det i min dator?

 

Vad är det som händer när jag gör det som du skrev med Combo-fix ?

Länk till kommentar
Dela på andra webbplatser

Det behöver inte vara Magic Desktop nödvändigtvis utan kan vara något annat av Easybits program som jag ser i loggarna.

 

Avencer-drivrutinen kommer att tas bort, liksom de andra filerna som är uppräknade. Jag tror att det är ett skript som fungerar utan att uppstarten av Windows slutar fungera men jag är inte helt säker. Om Windows inte går att starta så går det att från en Vista-skiva, eller en nedladdad reparationsskiva för Vista, göra en systemåterställning och/eller en startreparation för att få igång datorn.

Länk till kommentar
Dela på andra webbplatser

Jo jag tror att man vid uppstarten har tre alternativ för att återställa datorn.

 

1. Återställa till en tidigare punkt

2. Återställa en del filer

3. Ren återställning (Den här gjordes sist)

 

Men jag provar att klistra in allt mellan [KOD] taggarna och så kör vi på.

 

Vi märker om det blir ett inlägg senare ikväll eller imorgon, det senare inlägget beror mest i så fall på en ren installation :)

Länk till kommentar
Dela på andra webbplatser

Jag håller tummarna :thumbsup:

 

Men innan du tar till ren installation så pröva de andra två, återställa till en tidigare punkt borde gå bra. Du kan ju se till att spara en nu så vet du ju att det finns en:

Start - Program - Tillbehör - Systemverktyg - Systemåterställning

Länk till kommentar
Dela på andra webbplatser

Suck och stön!!!!!!

 

ComboFix startade och gjorde som du sa, den startade om datorn och det såg bra ut allting sedan när den skulle förbereda loggen kom det....

 

*Trumvirvel*

Blåskärm!

 

Men den här gången var det mbr.sys som orsakade det hela, inte avencer.sys!

 

Hittade dock en länk ang. mbr.sys möjligtvis kanske den hjälper till ???

 

MBR Länk

 

 

Funderade på en sak kanske kan man i "Recovery Console" köra fixmbr ???

Länk till kommentar
Dela på andra webbplatser

Har du försökt starta en gång till?

 

Man brukar se i ComboFix-loggen om mbr.sys är infekterad och det syntes inget sådant nu.

Länk till kommentar
Dela på andra webbplatser

Jag har kört Gmer en gång till nu och tänkte ge dej loggen för den.

MEN sedan jag gjorde det där som du sa sedan så får jag blåskärm efter blåskärm.

Nu räcker det att jag ska logga in på MSN eller nått så simpelt som att öppna webläsaren eller till och med bara sätta i ett minneskort/nätverkskabeln.

 

Tror att avencer.sys eller det programmet som styrde den filen blev lite sur när den togs bort.

just mbr.sys verkar ha försvunnit från datorn, jag kan inte hitta den alls när jag söker efter den och det gjorde inte Gmer heller, är det en fil man måste ha i datorn?

 

[log]GMER 1.0.15.15281 - http://www.gmer.netRootkit scan 2010-01-28 19:20:11Windows 6.0.6002 Service Pack 2Running: byltgcx1.exe; Driver: C:\Users\Lisa\AppData\Local\Temp\kgldrpow.sys---- Kernel code sections - GMER 1.0.15 ----.text C:\Windows\system32\DRIVERS\atksgt.sys section is writeable [0xAFCE0300, 0x3B638, 0xE8000020].text C:\Windows\system32\DRIVERS\lirsgt.sys section is writeable [0xAFD23300, 0x1BEE, 0xE8000020]? C:\Users\Lisa\AppData\Local\Temp\mbr.sys Det går inte att hitta filen. !---- Devices - GMER 1.0.15 ----AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 Wdf01000.sys (WDF Dynamic/Microsoft Corporation)AttachedDevice \Driver\kbdclass \Device\KeyboardClass1 Wdf01000.sys (WDF Dynamic/Microsoft Corporation)---- Registry - GMER 1.0.15 ----Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\00247e7f7ca7 Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\00247e7f7ca7@0025cf8c039c 0x86 0xD7 0xD7 0x73 ...Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0xD4 0xC3 0x97 0x02 ...Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x62 0x9E 0x87 0x75 ...Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\00247e7f7ca7 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\00247e7f7ca7@0025cf8c039c 0x86 0xD7 0xD7 0x73 ...Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0xD4 0xC3 0x97 0x02 ...Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x62 0x9E 0x87 0x75 ...---- EOF - GMER 1.0.15 ----[/log]

 

Länk till kommentar
Dela på andra webbplatser

Det ska ha skapats en logg av ComboFix när du fixade med det programmet, den bör finnas som C:\ComboFix.txt.

 

Kan du klistra in Gmer-loggen utan kod-taggar/knapp för det blir så svårläst ;)

Länk till kommentar
Dela på andra webbplatser

Arkiverat

Det här ämnet är nu arkiverat och är stängt för ytterligare svar.

×
×
  • Skapa nytt...