שאני נכנס ל-Disk Management, אני לא רואה אף אחד מהמחיצות שלי

ה-HD עצמו מזוהה על המחשב, ואני משתמש במחשב כרגיל, מותקן עליו XP SP2, ואני רואה את המחיצות ויכול להשתמש בהם כרגיל ב"מחשב שלי", אבל למה הם לא מופיעות ב-Disk Management ? אני רואה שם פשוט רשימה ריקהה ..

בדקתי אם התהליכים שאחראיים על זה פועלים - ואין איתם שום בעיה. מה אפשר לעשות ?

מפרט:

Lenovo N500

XP SP2

טוב קיימות כמה סיבות אפשריות ממה שהעלתי מגיגול מהיר ..

1. זה קוד זדוני מתקדם

2. היה לך איזשהו קוד זדוני במערכת וכאשר ניקית / הרצת תוכנת ניקוי רג'סטרי כלשהי היא הסירה גם מפתח שלא היה צריך להיות מוסר

בכל אופן מצאתי את התיעוד הבא לבעיה זהה על פניו

הבעיה :

Drives are working and show in the Disk Manager and the desktop

but no longer showing in the Disk Management.

No hardware changed made, it just happened, backed out all the last MS

updates and did scans for Viruses and Malware.

XP SP3 Home.

הפיתרון :

All Fixed it was a RootKit

None of the Malware/Spyware detected it also Panda and Sophos rootkit remover

did not find it..

Rootkit Revealer (Sysinternals) showed up some funny entries, one I could

not find in the registry using the registry editor.

Part of the list that was suspicious.

HKLM\SYSTEM\ControlSet001\Services\851dcc22 Hidden from Windows API.

.

HKLM\SYSTEM\ControlSet001\Services\ovfsthwswwxvnrjlnkpagqostypawvbrfaicbq 0

bytes Hidden from Windows API.

HKLM\SYSTEM\ControlSet002\Services\851dcc22 Hidden from Windows API.

HKLM\SYSTEM\ControlSet002\Services\ovfsthwswwxvnrjlnkpagqostypawvbrfaicbq 0

bytes Hidden from Windows API.

The 851dcc22 key I could remove, but not the

ovfsthwswwxvnrjlnkpagqostypawvbrfaicbq ones as they were totally hidden

After pissing around some more ended removing it all with UnHackme, it even

showed all the files related to the ovfsthwswwxvnrjlnkpagqostypawvbrfaicbq

Key.

But I had to retry and reboot 3 times to get a Zero result.

Also 3 other thing were affected, Could not see USB stick my Zipdrive yes

still have on would show this when I tried to read the disk

(the maximum number of secrets that may be stored in a single system has been

exceeded)

This is due to the Encrypted files used by the Rootkit

Plus this on bootup and when running some other programs

Application popup: Windows - No Disk : Exception Processing Message c0000013

Parameters 75b6bf7c 4 75b6bf7c 75b6bf7c

I was coming to the conclusion that it was a rootkit, and I was right..

Here is part of the UnHackme Log , I don't know what Rootkit it is but the

list does refer to ImagePath as a Name.

Start checking at 18/04/2009 time:9:46:57 p.m.

UnHackMe Engine Version:5.0

Key:ovfsthwswwxvnrjlnkpagqostypawvbrfaicbq

Source:\SYSTEM\CurrentControlSet\Services

Info about key:ovfsthwswwxvnrjlnkpagqostypawvbrfaicbq

Key:\SYSTEM\CurrentControlSet\Services

Service/Driver Additional Information

Name:ImagePath

Value:\systemroot\system32\drivers\ovfsthibimpqjpyabrnvxuxqdvttnfukfmndbb.sys

Type:REG_SZ

Name:Start

Value:1

Type:REG_DWORD

Rootkit is detected using Partizan driver.

Rootkit is detected using CompareKeys (hidden registry keys).

HijackThis did not show any thing wrong..

אם לפשט את הפיתרון הוא השתמש בתוכנה בשם UNHACKME

מפה

http://greatis.com/unhackme/download.htm

מה שיש למעלה זה תיאור מקיף למדי שכל מה שהוא ניסה ועשה

מה שלא תעשה , תעשה SYSTEM RESTORE לפני .