Jump to content


 


Register a free account to unlock additional features at BleepingComputer.com
Welcome to BleepingComputer, a free community where people like yourself come together to discuss and learn how to use their computers. Using the site is easy and fun. As a guest, you can browse and view the various discussions in the forums, but can not create a new topic or reply to an existing one unless you are logged in. Other benefits of registering an account are subscribing to topics and forums, creating a blog, and having no ads shown anywhere on the site.


Click here to Register a free account now! or read our Welcome Guide to learn how to use this site.

Photo

IRP Hook


  • Please log in to reply
No replies to this topic

#1 dragoneo

dragoneo

  • Members
  • 1 posts
  • OFFLINE
  •  
  • Local time:08:35 AM

Posted 29 September 2013 - 12:54 PM

During on of my routine scans of AVG it detect several infections of IRP Hook. Because i'm a beginner in this things i decided to check the forums and foud it to be a rootkit. It basically targeted on file spvw.sys, and when i used rkill, tdsskiller, malwarebytes anti-rootkit, trojan remover and malwarebytes anti-malware, only the last one accused several threats (along with AVG).

 

Because a lot of regedit files where infected, along with several system32 files i'm not sure what i can do to remove the vírus (specially because i might end upo deleting the wrong ones....). 

 

Also some sites mentioned that restoring the system would not work. Can anyone help me remove the vírus (please keep in mind i don't know a lot about computers...)?

 

thanks

 

I'm also posting the logs of AVG and Malwarebytes

 

Analisar todo o computador                           Prioridade média;"44";"0";"44"                         Pastas selecionadas:;"Analisar todo o computador"                       Início:;"29-09-2013, 18:28:58"                           Fim:;"29-09-2013, 18:31:16"                           Total de objetos analisados:;"5846"                         Utilizador que iniciou a análise:;"dragoneo"                                                       Estado;"Prioridade";"Nome";"Descrição";"Resultado"                     Infetados;"Médio";"IRP hook, \Driver\atapi IRP_MJ_POWER -> spmq.sys +0x413C4";"C:\Windows\System32\Drivers\spmq.sys";"Infetados"     Infetados;"Médio";"IRP hook, \FileSystem\Ntfs IRP_MJ_SET_QUOTA -> spmq.sys +0x3FB68";"C:\Windows\System32\Drivers\spmq.sys";"Infetados"   Infetados;"Médio";"IRP hook, \FileSystem\Ntfs IRP_MJ_CREATE -> spmq.sys +0x3FB68";"C:\Windows\System32\Drivers\spmq.sys";"Infetados"     Infetados;"Médio";"IRP hook, \Driver\volmgr IRP_MJ_CLEANUP -> spmq.sys +0x40B00";"C:\Windows\System32\Drivers\spmq.sys";"Infetados"     Infetados;"Médio";"IRP hook, \Driver\volmgr IRP_MJ_WRITE -> spmq.sys +0x40B00";"C:\Windows\System32\Drivers\spmq.sys";"Infetados"     Infetados;"Médio";"IRP hook, \FileSystem\Ntfs IRP_MJ_SET_INFORMATION -> spmq.sys +0x3FB68";"C:\Windows\System32\Drivers\spmq.sys";"Infetados"   Infetados;"Médio";"IRP hook, \FileSystem\Ntfs IRP_MJ_DIRECTORY_CONTROL -> spmq.sys +0x3FB68";"C:\Windows\System32\Drivers\spmq.sys";"Infetados" Infetados;"Médio";"IRP hook, \Driver\atapi IRP_MJ_INTERNAL_DEVICE_CONTROL -> spmq.sys +0x413C4";"C:\Windows\System32\Drivers\spmq.sys";"Infetados" Infetados;"Médio";"atapi.sys, importação hooked ataport.SYS AtaPortReadPortUchar -> spmq.sys +0x2D224";"C:\Windows\System32\Drivers\spmq.sys";"Infetados" Infetados;"Médio";"atapi.sys, importação hooked ataport.SYS AtaPortWritePortBufferUshort -> spmq.sys +0x2DBA0";"C:\Windows\System32\Drivers\spmq.sys";"Infetados" Infetados;"Médio";"IRP hook, \FileSystem\Ntfs IRP_MJ_QUERY_INFORMATION -> spmq.sys +0x3FB68";"C:\Windows\System32\Drivers\spmq.sys";"Infetados" Infetados;"Médio";"IRP hook, \Driver\atapi IRP_MJ_SYSTEM_CONTROL -> spmq.sys +0x413C4";"C:\Windows\System32\Drivers\spmq.sys";"Infetados"   Infetados;"Médio";"IRP hook, \Driver\volmgr IRP_MJ_PNP -> spmq.sys +0x40B00";"C:\Windows\System32\Drivers\spmq.sys";"Infetados"     Infetados;"Médio";"IRP hook, \Driver\volmgr IRP_MJ_FLUSH_BUFFERS -> spmq.sys +0x40B00";"C:\Windows\System32\Drivers\spmq.sys";"Infetados"   Infetados;"Médio";"IRP hook, \FileSystem\Ntfs IRP_MJ_SET_EA -> spmq.sys +0x3FB68";"C:\Windows\System32\Drivers\spmq.sys";"Infetados"     Infetados;"Médio";"IRP hook, \Driver\atapi IRP_MJ_PNP -> spmq.sys +0x413C4";"C:\Windows\System32\Drivers\spmq.sys";"Infetados"     Infetados;"Médio";"IRP hook, \FileSystem\Ntfs IRP_MJ_WRITE -> spmq.sys +0x3FB68";"C:\Windows\System32\Drivers\spmq.sys";"Infetados"     Infetados;"Médio";"IRP hook, \FileSystem\Ntfs IRP_MJ_QUERY_EA -> spmq.sys +0x3FB68";"C:\Windows\System32\Drivers\spmq.sys";"Infetados"   Infetados;"Médio";"IRP hook, \Driver\volmgr IRP_MJ_SHUTDOWN -> spmq.sys +0x40B00";"C:\Windows\System32\Drivers\spmq.sys";"Infetados"   Infetados;"Médio";"IRP hook, \Driver\atapi IRP_MJ_DEVICE_CONTROL -> spmq.sys +0x413C4";"C:\Windows\System32\Drivers\spmq.sys";"Infetados"   Infetados;"Médio";"IRP hook, \Driver\atapi IRP_MJ_CLOSE -> spmq.sys +0x413C4";"C:\Windows\System32\Drivers\spmq.sys";"Infetados"     Infetados;"Médio";"IRP hook, \FileSystem\Ntfs IRP_MJ_CLOSE -> spmq.sys +0x3FB68";"C:\Windows\System32\Drivers\spmq.sys";"Infetados"     Infetados;"Médio";"IRP hook, \FileSystem\Ntfs IRP_MJ_SHUTDOWN -> spmq.sys +0x3FB68";"C:\Windows\System32\Drivers\spmq.sys";"Infetados"   Infetados;"Médio";"IRP hook, \FileSystem\Ntfs IRP_MJ_SET_SECURITY -> spmq.sys +0x3FB68";"C:\Windows\System32\Drivers\spmq.sys";"Infetados"   Infetados;"Médio";"IRP hook, \FileSystem\Ntfs IRP_MJ_QUERY_SECURITY -> spmq.sys +0x3FB68";"C:\Windows\System32\Drivers\spmq.sys";"Infetados"   Infetados;"Médio";"IRP hook, \Driver\volmgr IRP_MJ_SYSTEM_CONTROL -> spmq.sys +0x40B00";"C:\Windows\System32\Drivers\spmq.sys";"Infetados"   Infetados;"Médio";"IRP hook, \FileSystem\Ntfs IRP_MJ_DEVICE_CONTROL -> spmq.sys +0x3FB68";"C:\Windows\System32\Drivers\spmq.sys";"Infetados"   Infetados;"Médio";"IRP hook, \FileSystem\Ntfs IRP_MJ_LOCK_CONTROL -> spmq.sys +0x3FB68";"C:\Windows\System32\Drivers\spmq.sys";"Infetados"   Infetados;"Médio";"atapi.sys, importação hooked ataport.SYS AtaPortReadPortBufferUshort -> spmq.sys +0x2D35C";"C:\Windows\System32\Drivers\spmq.sys";"Infetados" Infetados;"Médio";"IRP hook, \Driver\volmgr IRP_MJ_INTERNAL_DEVICE_CONTROL -> spmq.sys +0x40B00";"C:\Windows\System32\Drivers\spmq.sys";"Infetados" Infetados;"Médio";"IRP hook, \Driver\volmgr IRP_MJ_READ -> spmq.sys +0x40B00";"C:\Windows\System32\Drivers\spmq.sys";"Infetados"     Infetados;"Médio";"IRP hook, \Driver\volmgr IRP_MJ_CREATE -> spmq.sys +0x40B00";"C:\Windows\System32\Drivers\spmq.sys";"Infetados"     Infetados;"Médio";"pci.sys, importação hooked ntoskrnl.exe IoAttachDeviceToDeviceStack -> spmq.sys +0x62650";"C:\Windows\System32\Drivers\spmq.sys";"Infetados" Infetados;"Médio";"IRP hook, \FileSystem\Ntfs IRP_MJ_CLEANUP -> spmq.sys +0x3FB68";"C:\Windows\System32\Drivers\spmq.sys";"Infetados"     Infetados;"Médio";"IRP hook, \FileSystem\Ntfs IRP_MJ_READ -> spmq.sys +0x3FB68";"C:\Windows\System32\Drivers\spmq.sys";"Infetados"     Infetados;"Médio";"Inline hook ataport.SYS DllUnload -> spmq.sys +0x5E360";"C:\Windows\System32\Drivers\spmq.sys";"Infetados"       Infetados;"Médio";"atapi.sys, importação hooked ataport.SYS AtaPortWritePortUchar -> spmq.sys +0x2DA24";"C:\Windows\System32\Drivers\spmq.sys";"Infetados" Infetados;"Médio";"IRP hook, \Driver\volmgr IRP_MJ_POWER -> spmq.sys +0x40B00";"C:\Windows\System32\Drivers\spmq.sys";"Infetados"     Infetados;"Médio";"pci.sys, importação hooked ntoskrnl.exe IoDetachDevice -> spmq.sys +0x625DC";"C:\Windows\System32\Drivers\spmq.sys";"Infetados" Infetados;"Médio";"IRP hook, \FileSystem\Ntfs IRP_MJ_QUERY_QUOTA -> spmq.sys +0x3FB68";"C:\Windows\System32\Drivers\spmq.sys";"Infetados"   Infetados;"Médio";"IRP hook, \FileSystem\Ntfs IRP_MJ_PNP -> spmq.sys +0x3FB68";"C:\Windows\System32\Drivers\spmq.sys";"Infetados"     Infetados;"Médio";"IRP hook, \Driver\atapi IRP_MJ_CREATE -> spmq.sys +0x413C4";"C:\Windows\System32\Drivers\spmq.sys";"Infetados"     Infetados;"Médio";"IRP hook, \FileSystem\Ntfs IRP_MJ_SET_VOLUME_INFORMATION -> spmq.sys +0x3FB68";"C:\Windows\System32\Drivers\spmq.sys";"Infetados"

Infetados;"Médio";"IRP hook, \FileSystem\Ntfs IRP_MJ_FILE_SYSTEM_CONTROL -> spmq.sys +0x3FB68";"C:\Windows\System32\Drivers\spmq.sys";"Infetados"

 

Malwarebytes Anti-Malware (Período de Avaliação) 1.75.0.1300
www.malwarebytes.org

Versão da base de dados: v2013.09.29.05

Windows 7 Service Pack 1 x64 NTFS (Modo de Segurança com Rede)
Internet Explorer 10.0.9200.16686

Protecção: Desactivada

29-09-2013 18:03:32
MBAM-log-2013-09-29 (18-09-43).txt

Tipo de pesquisa: Rápida
Opções de pesquisa activadas: Memoria | Arranque | Registo | Sistema de Ficheiros | Heurísticos/Extra | Heurísticos/Shuriken | PPI | MPI
Opções de pesquisa desactivadas: P2P
Objectos verificados: 224896
Tempo decorrido: 4 minuto(s), 42 segundo(s)

Processos de memória Detectados: 0
(Nenhum item malicioso detectado)

Módulos de Memória Detectados: 0
(Nenhum item malicioso detectado)

Chaves do Registo Detectadas: 22
HKCR\CLSID\{d77aa852-def3-43cb-a3f5-bd679de72f32} (PUP.Optional.LuckyLeap.A) -> Nenhuma acção tomada.
HKCR\TypeLib\{9fcb30ec-af27-4a0d-9b0a-a43294cf71ed} (PUP.Optional.LuckyLeap.A) -> Nenhuma acção tomada.
HKCR\Interface\{7F66829F-F442-431F-AF59-E4474505A67A} (PUP.Optional.LuckyLeap.A) -> Nenhuma acção tomada.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D77AA852-DEF3-43CB-A3F5-BD679DE72F32} (PUP.Optional.LuckyLeap.A) -> Nenhuma acção tomada.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{D77AA852-DEF3-43CB-A3F5-BD679DE72F32} (PUP.Optional.LuckyLeap.A) -> Nenhuma acção tomada.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{D77AA852-DEF3-43CB-A3F5-BD679DE72F32} (PUP.Optional.LuckyLeap.A) -> Nenhuma acção tomada.
HKCR\AppID\{C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3} (PUP.Optional.Delta.A) -> Nenhuma acção tomada.
HKCR\CLSID\{1AA60054-57D9-4F99-9A55-D0FBFBE7ECD3} (PUP.Optional.BrowseFox.A) -> Nenhuma acção tomada.
HKCR\CLSID\{4AA46D49-459F-4358-B4D1-169048547C23} (PUP.Optional.BrowseFox.A) -> Nenhuma acção tomada.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{348C2DF3-1191-4C3E-92A6-B3A89A9D9C85} (PUP.Optional.Delta.A) -> Nenhuma acção tomada.
HKLM\SYSTEM\CurrentControlSet\Services\Update lucky leap (PUP.Optional.LuckyLeap.A) -> Nenhuma acção tomada.
HKCU\SOFTWARE\DataMngr_Toolbar (PUP.Optional.DataMngr.A) -> Nenhuma acção tomada.
HKCU\SOFTWARE\DELTA\DELTA (PUP.Optional.Delta.A) -> Nenhuma acção tomada.
HKCU\Software\1ClickDownload (PUP.Optional.1ClickDownload.A) -> Nenhuma acção tomada.
HKCU\Software\DataMngr (PUP.Optional.DataMngr.A) -> Nenhuma acção tomada.
HKCU\Software\delta LTD (PUP.Optional.Delta.A) -> Nenhuma acção tomada.
HKCU\Software\Conduit\FF (PUP.Optional.Conduit.A) -> Nenhuma acção tomada.
HKCU\SOFTWARE\INSTALLCORE (PUP.Optional.InstallCore.A) -> Nenhuma acção tomada.
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\bProtectSettings (PUP.Optional.BProtector.A) -> Nenhuma acção tomada.
HKCU\SOFTWARE\SWEETIM (PUP.Optional.SweetIM.A) -> Nenhuma acção tomada.
HKCU\SOFTWARE\LUCKY LEAP (PUP.Optional.LuckyLeap.A) -> Nenhuma acção tomada.
HKLM\SOFTWARE\Google\Chrome\Extensions\eooncjejnppfjjklapaamhcdmjbilmde (PUP.Optional.Delta.A) -> Nenhuma acção tomada.

Valores do Registo Detectados: 7
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{82E1477C-B154-48D3-9891-33D83C26BCD3} (PUP.Optional.Delta.A) -> Dados:  -> Nenhuma acção tomada.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar|{82E1477C-B154-48D3-9891-33D83C26BCD3} (PUP.Optional.Delta.A) -> Dados: Delta Toolbar -> Nenhuma acção tomada.
HKCU\SOFTWARE\Delta\Delta|tlbrSrchUrl (PUP.Optional.Delta.A) -> Dados:  -> Nenhuma acção tomada.
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes|bProtectorDefaultScope (PUP.BProtector) -> Dados: {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} -> Nenhuma acção tomada.
HKCU\Software\InstallCore|tb (PUP.Optional.InstallCore.A) -> Dados: 0S1S1T0E1J1L1H1R -> Nenhuma acção tomada.
HKCU\Software\SweetIM|simapp_id (PUP.Optional.SweetIM.A) -> Dados: 11111111 -> Nenhuma acção tomada.
HKCU\Software\lucky leap|iid (PUP.Optional.LuckyLeap.A) -> Dados: def_luckyleap -> Nenhuma acção tomada.

Itens de dados do Registo Detectados: 0
(Nenhum item malicioso detectado)

Pastas Detectadas: 10
C:\Users\dragoneo\AppData\Roaming\Babylon (PUP.Optional.Babylon.A) -> Nenhuma acção tomada.
C:\Program Files (x86)\lucky leap (PUP.Optional.LuckyLeap.A) -> Nenhuma acção tomada.
C:\ProgramData\Tarma Installer (PUP.Optional.Tarma.A) -> Nenhuma acção tomada.
C:\ProgramData\Tarma Installer\{361E80BE-388B-4270-BF54-A10C2B756504} (PUP.Optional.Tarma.A) -> Nenhuma acção tomada.
C:\ProgramData\Tarma Installer\{361E80BE-388B-4270-BF54-A10C2B756504}\Cache (PUP.Optional.Tarma.A) -> Nenhuma acção tomada.
C:\Users\dragoneo\AppData\Roaming\OpenCandy (PUP.Optional.OpenCandy) -> Nenhuma acção tomada.
C:\Users\dragoneo\AppData\Roaming\OpenCandy\C35ADC2B860E4DDD980EA6F92275B28F (PUP.Optional.OpenCandy) -> Nenhuma acção tomada.
C:\Users\dragoneo\AppData\Roaming\OpenCandy\C57B79D538DB466CB09D0B08BC971E2C (PUP.Optional.OpenCandy) -> Nenhuma acção tomada.
C:\Users\dragoneo\AppData\Roaming\OpenCandy\OpenCandy_C35ADC2B860E4DDD980EA6F92275B28F (PUP.Optional.OpenCandy) -> Nenhuma acção tomada.
C:\Users\dragoneo\AppData\Roaming\OpenCandy\OpenCandy_C57B79D538DB466CB09D0B08BC971E2C (PUP.Optional.OpenCandy) -> Nenhuma acção tomada.

Ficheiros Detectados: 17
C:\Program Files (x86)\lucky leap\luckyleapBHO.dll (PUP.Optional.LuckyLeap.A) -> Nenhuma acção tomada.
C:\ProgramData\Tarma Installer\{361E80BE-388B-4270-BF54-A10C2B756504}\Setup.exe (PUP.Optional.Tarma.A) -> Nenhuma acção tomada.
C:\Users\dragoneo\Downloads\VeohWebPlayerSetup_eng.exe (PUP.Optional.OpenCandy) -> Nenhuma acção tomada.
C:\Users\dragoneo\AppData\Local\Conduit\CT2851643\uTorrentBar_PTAutoUpdateHelper.exe (PUP.Optional.Conduit.A) -> Nenhuma acção tomada.
C:\Users\dragoneo\AppData\Roaming\Babylon\log_file.txt (PUP.Optional.Babylon.A) -> Nenhuma acção tomada.
C:\Program Files (x86)\lucky leap\updateluckyleap.InstallState (PUP.Optional.LuckyLeap.A) -> Nenhuma acção tomada.
C:\Program Files (x86)\lucky leap\luckyleap.Common.dll (PUP.Optional.LuckyLeap.A) -> Nenhuma acção tomada.
C:\Program Files (x86)\lucky leap\luckyleap.ico (PUP.Optional.LuckyLeap.A) -> Nenhuma acção tomada.
C:\Program Files (x86)\lucky leap\luckyleapUninstall.exe (PUP.Optional.LuckyLeap.A) -> Nenhuma acção tomada.
C:\Program Files (x86)\lucky leap\Microsoft.Win32.TaskScheduler.dll (PUP.Optional.LuckyLeap.A) -> Nenhuma acção tomada.
C:\Program Files (x86)\lucky leap\updateluckyleap.exe (PUP.Optional.LuckyLeap.A) -> Nenhuma acção tomada.
C:\ProgramData\Tarma Installer\{361E80BE-388B-4270-BF54-A10C2B756504}\Setup.dat (PUP.Optional.Tarma.A) -> Nenhuma acção tomada.
C:\ProgramData\Tarma Installer\{361E80BE-388B-4270-BF54-A10C2B756504}\Setup.ico (PUP.Optional.Tarma.A) -> Nenhuma acção tomada.
C:\ProgramData\Tarma Installer\{361E80BE-388B-4270-BF54-A10C2B756504}\_Setup.dll (PUP.Optional.Tarma.A) -> Nenhuma acção tomada.
C:\ProgramData\Tarma Installer\{361E80BE-388B-4270-BF54-A10C2B756504}\_Setupx.dll (PUP.Optional.Tarma.A) -> Nenhuma acção tomada.
C:\Users\dragoneo\AppData\Roaming\OpenCandy\C35ADC2B860E4DDD980EA6F92275B28F\driverscanner (42).exe (PUP.Optional.OpenCandy) -> Nenhuma acção tomada.
C:\Users\dragoneo\AppData\Roaming\OpenCandy\C57B79D538DB466CB09D0B08BC971E2C\driverscannerROE.exe (PUP.Optional.OpenCandy) -> Nenhuma acção tomada.

(fim)

 


Edited by hamluis, 29 September 2013 - 01:44 PM.
Mvoed from Win 7 to Am I Infected - Hamluis.


BC AdBot (Login to Remove)

 





0 user(s) are reading this topic

0 members, 0 guests, 0 anonymous users