Skocz do zawartości

Gen:Variant.Tdss.24


Rekomendowane odpowiedzi

Problem jest chyba kilkuwarstwowy, a wszystko zaczęło się od sytuacji opisanej w innym wątku na forum, a dotyczącej skonfliktowania Office 2000, 2007 i pakietu do konwersji dokumentów między tymi programami ( tu https://www.fixitpc.pl/topic/513-office-2000-i-2007-brak-mozliwosci-przeinstalowania/). Od tamtego zdarzenia udało mi się zwalczyć temat, niemniej użycie żadnego rozwiązania nie dało ostatecznych i rozstrzygających wyników - ani odinstalowanie w trybie awaryjnym, ani edycja wpisów w rejestrze, ani usuwanie niektórych innych, ani narzędzie Remove Office 2007, ani Windows Install Clean Up...to samo dotyczy oficjalnych porad na stronach Microsoftu. Wszystkie chyba możliwe warianty były zastosowane w "kombinacjach iście alpejskich" i w końcu ostatnim problemem, jaki się pojawił był błąd instalacji Office2000 wynikający z niewłaściwej litry dysku - i tu już byłem w domu, bo możliwości z nazwami poszczególnych dysków nie było tak wiele...w końcu instalacja po zmianie nazw liter dysków powiodła się.

I na tym powinno się właściwie wszystko zakończyć, ale przy tym całym zamieszaniu dotyczącym Offica i szukania usług czy komponentów do wyłączenia, zwróciłem uwagę na dziwne zachowanie procesu Explorer.exe, który w dokładnie 2-sekundowych odstępach zwiększa i zmniejsza użycie HDD między 5 K/s a 1250 K/s. Tak to wygląda na screenie. Nie spotkałem się z czymś takim wcześniej na żadnym innym komputerze, który mam w domu lub który przez dłuższy czas użytkowałem.

Następna sprawa to infekcja, która wykrył i zneutralizował BullGuard (chyba, bo tak program pokazuje) - chodzi o Gen:Variant.Tdss.24 wykryty C:\System Volume Information - możliwe, że coś po tym zagrożeniu zostało i stąd skokowe zużycie zasobów.

Do tego dochodzi ostatni problem, który wyszedł przy instalacji BullGuarda, ale ponieważ nie przeszkadzało to w pracy pakietu, nie zajmowałem się tym aż do teraz - przy instalacji program wykrył jako zainstalowane 4 softy zabezpieczające: MSE, Panda, AVG I F-Secure...ale te programy już na tym komputerze nie istnieją i nie działają. Po każdej deinstalacji takiego typu softu sprawdzam i usuwam ewentualnie wpisy w rejestrze, wyszukuję pliki po nazwie, sprawdzam Autoruns czy nie ładują się po nich jakieś pozostałości i wydaje się, że nic, co może się skojarzyć z programem nie powinno w systemie być. Niestety jest i to chyba nawet więcej, bo przy analizie OTL wyszły nazwy następnych softów, które gdzieś tam głęboko się ukryły - przy czym żadnego z nich już nie ma. Poniżej załączam logi

Proszę o jakąś pomoc, wskazówki, co o ty myśleć i jak to ewentualnie naprawić.

Gmer.txt

OTL.Txt

Extras.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Bez wątpienia, masz tu infekcję rootkitem TDL w najnowszej wersji (losowy sterownik infekowany + wirtualny patch w pamięci sterownika kontrolerów) w stanie czynnym:

 

---- Kernel code sections - GMER 1.0.15 ----

 

.rsrc C:\WINDOWS\system32\DRIVERS\ipsec.sys entry point in ".rsrc" section [0xAFC50614]

 

---- Devices - GMER 1.0.15 ----

 

Device -> \Driver\atapi \Device\Harddisk0\DR0 83F81EC5

 

---- Files - GMER 1.0.15 ----

 

File C:\WINDOWS\system32\DRIVERS\ipsec.sys suspicious modification

File C:\WINDOWS\system32\drivers\atapi.sys suspicious modification

 

+ patchowana pamięć procesów systemowych w sekcji User code sections

 

 

1. Infekcję w tej wersji z dublem sterownikowym z automatu mogą leczyć dwa narzędzia: TDSSKiller (jest zaktualizowany pod kątem tego wariantu) + ComboFix (jeśli on nie zrobi tego z auto, jest pod to specjalizowana komenda do skryptu zadaniowego). Rozpocznij od Kasperskiego, jako metody mniej inwazyjnej. ComboFix nie używaj do tego jeszcze.

 

2. Jeśli to zawiedzie, idzie podmiana czystą kopią sterownika ipsec.sys (atapi to tylko wirtualna modyfikacja, ten plik nie jest zainfekowany) ze środowiska zewnętrznego i tu masz opisy czym to można przeprowadzić: KLIK. Oczywiście mogą w grę wchodzić dowolne edycje LiveCD wytworzone samodzielnie. W temacie są rozpracowane wątki tzw. "gotowców".

 

3. Po przeprowadzeniu zadań zgłaszasz się tu z zestawem: raport z działań Kasperskiego (pre i post boot) + nowy zestaw wytworzony już po próbie dezynfekcji GMER i OTL. Jeśli rootkit TDL zostanie pomyślnie zdjęty i znikną wszelkie hooki doń relatywne, przejdziemy do dalszych, już kosmetycznych, działań.

 

EDIT: Widzę, że usunąłeś załącznik obrazkowy. Logów proszę nie usuwaj po finalizacji tematu, gdyż to czyni temat bezużytecznym. Nad rozszerzeniem przestrzeni Załączników "na łeb" pomyślę, przeliczę koszty.

 

 

 

.

Odnośnik do komentarza

No właśnie...zacząłem wgrywać załączniki, ale miałem komunikat, że przekraczam przydzielone 500 KB...usunąłem screena, a potem musiałem przerwać pisanie. Zaczynam więc od nowa i to z nowego komputera...wycięło mi połączenie przez przeglądarkę, a BullGuard równeż nie może się połaczyć z serwerem aktualizacji. Co najdziwniejsze sieć jest wykryta, a połączenie "znakomite". Ale od początku:

- skorzystałem ze zaktualizowanej wersji SARDU i narzędzi, które tam mam w nowych wersjach m.in. PuppyLinux, AOSS PCToolsów i Kaspersky RD...Kaspersky załadował się do pewnego momentu, a potem wykrzaczył.

- w PuupyLinux załadowałem dyski i próbowałem wywalić zainfekowany plik, a potem wgrać z nowej lokalizacji (wcześniej skopiowany na inny dysk ze świeżo ściągniętej wersji SP3)...przy wychodzeniu linux zaczął pytać o zapisanie zmian, potem o sposób zapisu, przy tym jakiś wybór między FAT, NTFS...potem wielkości klastrów...spanikowałem, bo nie chciałem nabruździć i popsuć jeszcze więcej i nie wiem, czy w ogóle coś tym sposobem zrobiłem

- AOSS PCToolsów też ma menadżera plików i w nim również próbowałem wykasować ipsec.sys z macierzystego katalogu, a potem wgrać kopię ipsec.sy_ Niby się wgrało, ale po restarcie pliku nie było tam, gdzie się go spodziewałem...w ogóle właściwie nie było

- próbowałem też na żywym systemie wywalić ipsec.sys, ale momentalnie uruchamiała się jego kopia i plik odradzał się w tym samym miejscu...

- teraz jest tak, że połowa procesów stałych się nie ładuje, żaden program nie może połączyć się z internetem...wtedy Explorer.exe nie wariuje już...po którymś restarcie i po strasznie zamulonym załadowaniu się wszystkich w końcu programów znów zaczynają się skoki zużycia , jak poprzednio - ale nie ma połaczenia przez istniejące łącze

- przywracam system z systemowego ostatniego punktu...i robię skany TDSSKileer, OTL i Gmer. Za chwile je załączę

-----------------

edit:

Chwila trwała 2 godziny, bo tyle trwał ku mojemu zaskoczeniu skan Gmerem...ale w końcu jest, więc załączam komplet. Jakby co...to nic się nie zmieniło niestety. Aha...załączam również screen sprzed kilku minut w zamian za tamten usunięty...przepraszam.

OTL.Txt

Extras.Txt

TDSSKiller.2.3.2.0_13.06.2010_18.40.37_log.txt

Gmer_log.txt

post-335-12764475354692_thumb.jpg

Odnośnik do komentarza

Trochę to pokomplikowałeś.

 

- skorzystałem ze zaktualizowanej wersji SARDU i narzędzi, które tam mam w nowych wersjach m.in. PuppyLinux, AOSS PCToolsów i Kaspersky RD...Kaspersky załadował się do pewnego momentu, a potem wykrzaczył.

 

Czy któryś skaner coś "wyrzucał"?

 

- AOSS PCToolsów też ma menadżera plików i w nim również próbowałem wykasować ipsec.sys z macierzystego katalogu, a potem wgrać kopię ipsec.sy_ Niby się wgrało, ale po restarcie pliku nie było tam, gdzie się go spodziewałem...w ogóle właściwie nie było

 

Czy rozpakowałeś archiwum ipsec.sy_? Widzę tu błędy operacji odnotowane w raporcie OTL:

 

[2010-06-13 16:59:47 | 000,039,956 | ---- | C] () -- C:\WINDOWS\System32\drivers\ipfltdrv.sys

[2010-06-13 15:49:46 | 000,039,956 | ---- | C] () -- C:\WINDOWS\System32\ipsec.sys

[2010-06-13 15:21:20 | 000,039,956 | ---- | C] () -- C:\WINDOWS\System32\drivers\ipsec.sy_

 

Czyli plik w postaci nierozpakowanej w drivers (to nie jest plik docelowy) oraz niby rozpakowana kopia w złym katalogu (system32 a nie system32\drivers). Wszystkie pliki mają ten sam rozmiar...

 

- próbowałem też na żywym systemie wywalić ipsec.sys, ale momentalnie uruchamiała się jego kopia i plik odradzał się w tym samym miejscu...

 

Na żywym systemie podmiany z palca nie przejdą, bo działa zarówno Ochrona plików Windows (system sam roluje wsteczną wersję = musiałbyś adresować miejsca cache także) jak i rootkit.

 

- teraz jest tak, że połowa procesów stałych się nie ładuje, żaden program nie może połączyć się z internetem...wtedy Explorer.exe nie wariuje już...po którymś restarcie i po strasznie zamulonym załadowaniu się wszystkich w końcu programów znów zaczynają się skoki zużycia , jak poprzednio - ale nie ma połaczenia przez istniejące łącze

 

To by wskazywało na podanie złej wersji pliku, o ile jakaś kopia tu się wymieniła. Nie wiem jak rozumieć ten ustęp w połączeniu z tym:

 

- przywracam system z systemowego ostatniego punktu...i robię skany TDSSKileer, OTL i Gmer. Za chwile je załączę

 

Czy nadal jest problem z cytatu wyżej? Coś tu musiało być wykonane z zamianą pliku, albo zaszły okoliczności dodatkowe, ponieważ TDSSKiller nic nie widzi, potwierdza to i GMER (ustąpiły wszystkie zapisy związane z rootkitem). Za to jest nowość w skanie OTL, nie było tego wcześniej, a teraz wyskoczył jako nowo modyfikowany, co sugeruje że z tym plikiem coś było / jest nie w porządku / jakaś nowa dodatkowa operacja tu wystąpiła:

 

DRV - [2010-06-13 16:59:47 | 000,039,956 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ipfltdrv.sys -- (IpFilterDriver)

 

[2010-06-13 16:59:47 | 000,039,956 | ---- | M] () -- C:\WINDOWS\System32\drivers\ipfltdrv.sys

 

Wg mnie to wygląda jakby problem był już rozwiązany z ipsec, bo detektory tej infekcji nic nie widzą (aczkolwiek są przypadki, że GMER może kompletnie tego nie widzieć, ale tu pokazywał wcześniej). Uruchom jeszcze ComboFix zgodnie z wytycznymi i przedstaw raport z jego pracy. Zobaczymy co on widzi pod tym kątem.

 

No właśnie...zacząłem wgrywać załączniki, ale miałem komunikat, że przekraczam przydzielone 500 KB...usunąłem screena, a potem musiałem przerwać pisanie.

 

Wczoraj podniosłam limit na Załączniki. Poza tym, wiele z tych logów możesz wklejać bezpośrednio w poście. Wejdą.

 

 

 

.

Odnośnik do komentarza

Dzięki Picasso za dotychczasową pomoc i wyjaśnienia...dziś tylko krótko się odezwę, bo dopiero niedawno wróciłem, a wczoraj prze laptokiem żony i swoim spędziłem niemal 16 godzin z krótkimi przerwami na kawę, papierosy i obiad :) Nie mam siły już po prostu zaczynać ponownych analiz i koniecznych działań.

Ale tylko krótko...masz rację, że mogłem coś skopać przy kopiowaniu w trakcie pracy z SARDU i jego modułami..."chyba może na pewno" nie rozpakowałem tego pliku i zresztą jego wielkość była inna, niż macierzystego, co teraz sobie przypominam.

Nie wiem, skąd jakieś akcje na ipfltdrv.sys...pliku nie ruszałem, bo to plik systemowy...chyba, że coś skopałem przy kopiowaniu, bo menadżery zadań w tych narzędziach są mało poręczne, a ipsec.sys jest jakoś dziwnie blisko z nazwy przy tym nowym.

Przywracanie postanowiłem zrobić z ostatniej dobrej kopii...czyli po pomyślnym zainstalowaniu na powrót Office 2000. Pisałem, że system przedziwnie się zachowywał i trochę inaczej po każdym niemal restarcie, a najgorsze było, że czasem "przymrażał" i właściwie nie miałem dostępu do sieci. Już miałem po prostu dość i wróciłem do stanu wyjściowego...choć jak mówisz, nic tam groźnego chyba nie ma.

Za Combofix wezmę się już jutro i spróbuję jeszcze raz podmiany...o ile to coś da.

Odnośnik do komentarza
Nie wiem, skąd jakieś akcje na ipfltdrv.sys...pliku nie ruszałem, bo to plik systemowy...chyba, że coś skopałem przy kopiowaniu, bo menadżery zadań w tych narzędziach są mało poręczne, a ipsec.sys jest jakoś dziwnie blisko z nazwy przy tym nowym.

 

Wg OTL to wygląda jakbyś przekopiował nierozpakowane archiwum ipsec.sy_ do pliku o nazwie ipfltdrv.sys. Te wszystkie pliki mają tę samą wagę i powstawały w ciągu (pierwszym było archiwum). Jeszcze raz popatrz na to:

 

[2010-06-13 16:59:47 | 000,039,956 | ---- | C] () -- C:\WINDOWS\System32\drivers\ipfltdrv.sys

[2010-06-13 15:49:46 | 000,039,956 | ---- | C] () -- C:\WINDOWS\System32\ipsec.sys

[2010-06-13 15:21:20 | 000,039,956 | ---- | C] () -- C:\WINDOWS\System32\drivers\ipsec.sy_

 

Czekam jeszcze na wiadomy raport i będę na pewno odkręcać status pliku ipfltdrv.sys. Plik ipsec.sys wygląda na wymieniony jakimś sposobem, bo inaczej jest dziwne, że ustąpiły ślady rootkita w narzędziach.

 

 

.

Odnośnik do komentarza

Przeczulony nieco po wciąż nierozwiązanej infekcji na drugim laptoku, postanowiłem zrobić profilaktycznie szybki skan MBAM na swoim ,którego używam na co dzień. Wynik mnie zaskoczył (poniżej załączam log skanowania), bo pojawiły się na liście 4 pliki, które zostały zakwalifikowane jako Malware.Trace i wszystkie w nazwie mają iruni. Wszystkie zlokalizowane są w głównym katalogu Windows:

C:\WINDOWS\irunin.bmp

C:\WINDOWS\irunin.dat

C:\WINDOWS\irunin.ini

C:\WINDOWS\irunin.lng

W sieci poczytałem i wszędzie jest napisane, że to infekcja i trzeba się tego pozbyć, a z drugiej strony piszą coś o tym w kontekście potrzebnych sterowników dyskowych...no i jednak nie podjąłem żadnej akcji, bo skoro jest plik o rozszerzeniu *bmp to znaczy się jest to "obrazek", który postanowiłem najpierw podejrzeć...no i przejrzałem w XnView. Okazało się, że to obrazek wyglądający jak "splah-screen" pojawiający się przy ładowaniu jakiegoś dyskowego programu narzędziowego - skojarzyło mi się to z Macrium Reflect, którego już nie mam. Nie wiem jak z resztą, ale sprawdziłem je na Virus Total, a wyniki poniżej:

http://www.virustotal.com/analisis/3973d354045be781eabf9114772fe2e5e96d1e557793de10c914d901b16e8c09-1274805711

http://www.virustotal.com/analisis/4e8ba4fc21820d05922446aceac69d7d06cf10804e3659e5a3024204a1177d4d-1274805710

http://www.virustotal.com/analisis/f69dab63132cff0316818d92cb4b9cd3fbb48c1d08481c07a0a5c804c850f7b5-1276581550

http://www.virustotal.com/analisis/de4baa540b128b303c3bd6f33e1f7ee7b840143fbdaa3f931519a36d6e9063bc-1274805717

 

Log z MBAM

mbam-log-2010-06-15 (07-49-50).txt

Odnośnik do komentarza

Dzięki za wyjaśnienia...jestem właśnie po skanowaniu ComboFixem...wygląda na to, że chyba się w końcu uspokoiło - w każdym razie Explorer.exe już nie szaleje ze zużyciem zasobów...widać to na wykresie i kolumnie "czas pracy" - płasko przez ponad 25 minut i wciąż tak jest (załączam screen). W ogóle zacznę od tego, że mimo wcześniejszego przywrócenia systemu znów pojawiły się te dziwne, opisywane wcześniej objawy z opóźnionym ładowaniem systemu, procesów i brakiem połączenia internetowego. Sprawdziłem w katalogu C:\WINDOWS\system32\drivers i znów nie było tam ipsec.sys. Zgłupiałem zupełnie i "na żywca" skopiowałem plik ze zdrowej lokalizacji. Potem restart...wszystko wróciło do normy, to znaczy Explorer.exe szalał, jak poprzednio, ale miałem połączenie i wszystko się poprawnie załadowało.

Przyszedł czas na ComboFix, ale zanim to zrobiłem sporo poczytałem i nieco zaniepokoiłem się możliwością nie-postawienia systemu po jego użyciu...więc szybka decyzja i instalacja Paragon Drive Backup. Program mam na swoim laptoku, samostartujący dysk USB ratunkowy do Paragona też, więc problemu nie było...wiedziałem, że jakby coś, to skorzystam z obrazu dysku i postawię system na nowo. Na szczęście obyło się bez takich problemów :)

ComboFix zaraz na początku pokazał komunikat, że działają wciąż programy: Bullguard, AVG-AV, MSE i ClamAV...tych trzech ostatnich nie mam. Wyłączyłem przedtem wszystko (w polecanych instrukcjach nie było nic o Bullguardzie ani o Prevx SafeOnline) jak tylko potrafiłem, korzystając z możliwości które dawały te programy oraz wyłączenia tych procesów (nawet z autostartu), które wyłączyć się dało. Mam tylko nadzieję, że ComboFix stworzył w tej sytuacji prawidłowy log.

Reszta poszła gładko i szybko...nie trwało więcej, niż może 15 minut łącznie ze stworzeniem loga. Pojawił się jeden plik usunięty i jeden restart tylko...reszta w logu.

--------------------------------

edit:

Jak to mówią starożytni Rosjanie - nie chwal dnia przed zachodem słońca. Sprawdziłem, co się dzieje i mniej więcej od 15 minut Explorer.exe zaczął od nowa swoje "zabawy" (następny screen z dopiskiem 2)...czyli było spokojnie jakieś trzy kwadranse. Normalnie ręce i nogi opadają...to ja już chyba sobie pójdę do domu...

ComboFix.txt

post-335-12766304609995_thumb.jpg

post-335-12766320572819_thumb.jpg

Odnośnik do komentarza
ComboFix zaraz na początku pokazał komunikat, że działają wciąż programy: Bullguard, AVG-AV, MSE i ClamAV...tych trzech ostatnich nie mam.

 

To jest pierdułka i od początku wiem gdzie tego szukać = Repozytorium WMI (w ComboFix to widać ładnie w nagłówku i w moim opisie ComboFix w sekcji Problemów jest wzmianka). Reset Repozytorium miał iść na końcu, po usunięciu rootkita. I to zostawiam na koniec.

 

Sprawdziłem w katalogu C:\WINDOWS\system32\drivers i znów nie było tam ipsec.sys. Zgłupiałem zupełnie i "na żywca" skopiowałem plik ze zdrowej lokalizacji. Potem restart...wszystko wróciło do normy, to znaczy Explorer.exe szalał, jak poprzednio, ale miałem połączenie i wszystko się poprawnie załadowało.

 

Skąd brałeś ten plik? Jeszcze została sprawa z ipfltdrv.sys, który wygląda tu na kopię archiwum ipsec.sys i będę to zamieniać. Ale najpierw:

 

Jak to mówią starożytni Rosjanie - nie chwal dnia przed zachodem słońca. Sprawdziłem, co się dzieje i mniej więcej od 15 minut Explorer.exe zaczął od nowa swoje "zabawy"

 

Od początku: nowy log z GMER.

 

 

 

.

Odnośnik do komentarza

OK...to dobrze, że te śmieci po starych softach nie są problemem :) Ipsec.sys skopiowałem z takiej lokalizacji

C:\WINDOWS\SoftwareDistribution\Download\dd64aa87403cfac627c6c8f37d245aa4

wydawała mi się na tyle "egzotyczna", że bezpieczna...ale możesz mieć inne zdanie :) Odnośnie zachowania komputera...jest bez zmian, bo też nic z nim nie robiłem. Poniżej log z Gmera...zastanawia mnie tylko jedno - raz skan trwa jakieś pół godziny, raz dwie...skąd takie rozbieżności na tym samym systemie? Poza tym stało się coś dziwnego,bo przy pierwszym dzisiejszym skanowaniu komputer "zamroził się" po czym wywaliło błękitny ekran...chyba mignęło coś o zrzucaniu pamięci...dopiero po restarcie wróciło do normy i następny skan poszedł normalnie.

Gmer_log.txt

Odnośnik do komentarza

Ponieważ nie bardzo wiedziałem, co robić, postanowiłem iść "po całości" i zrobić coś na własną rękę...czy było to prawidłowe - nie wiem, ale faktem jest, że zniknęły objawy w postaci skokowego zużycia zasobów przez Explorer.exe...pozostaje ono teraz niezmiennie na poziomie 3-5 K/s. Wczoraj zaktualizowałem pandraka z SARDU o moduł VirusBlokAda - kiedyś tylko ten AV wyleczył mnie z infekcji na moim laptoku - i zapuściłem skan. Pokazał kilkanaście wpisów na czerwono, część z nich wyleczył, część nie...raportu nie załączę, bo nie umiem go zlokalizować. Po tym komputer "poszedł spać"...rano obudził się znów ze starymi objawami.

Postanowiłem nie dać za wygraną i zacząłem jeszcze raz procedurę...

TDSSKileer nie wykrył infekcji - log w załączeniu

podmiana pliku ipsec.sys - tym razem zrobiłem na pendraku kopie tego pliku ze swojego systemu i za pomocą "normalnego" wreszcie menadżera plików Midnight Commander od VBA32 wywaliłem obie wersje pliku z systemu zarażonego (obydwie lokalizacje: drvers i ddlcache), potem skopiowałem go ze zdrowej lokalizacji - najpierw do dllcache, potem do drivers

Na koniec skan skanowanie OTL i Gmer - logi w załączeniu

W tzw. "międzyczasie" odinstalowałem Prevx Online Scanner - nie wiem, ale miałem nieodparte wrażenie, choć żadnych dowodów, że to on może mieć coś wspólnego z tym zamieszaniem. Cudem chyba jakimś po którymś już restarcie "zabawy" Explorer.exe ustały. Oczywiście poszedłem za ciosem...najpierw półgodzinna kwarantanna, czy przypadkiem znów coś się nie pochrzani...potem czyszczenie systemu ze śmieci, czyszczenie rejestru...kolejne restarty i wciąż spokojnie od prawie 5 godzin.

Na koniec zapuściłem jeszcze kilka skanerów - ESET Win32/Olmarik fixer, Sophos Anti-rootkit, VBA32 Antirootkit, NormanTDSS Cleaner - wszystkie wyniki negatywne...znaczy się bez znalezionych infekcji.

Pozostałyby więc...jeśli po sprawdzeniu logi okażą się OK...porządki z Repozytorium WMI. Chyba, że z logów wyjdzie, że urodziło się coś nowego.

TDSSKiller.2.3.2.0_19.06.2010_07.59.21_log.txt

OTL.Txt

Extras.Txt

GMER.txt

Odnośnik do komentarza

Odpowiadam z dużym poślizgiem, bo miałam inne rzeczy na głowie. Cała sprawa przedstawia się w taki sposób jakby ten rootkit już dawno był usunięty zaraz po cofaniu stanu systemu.

 

Na koniec zapuściłem jeszcze kilka skanerów - ESET Win32/Olmarik fixer, Sophos Anti-rootkit, VBA32 Antirootkit, NormanTDSS Cleaner - wszystkie wyniki negatywne...znaczy się bez znalezionych infekcji.

 

Komentarz poboczny: część z tego nie ma aktualizacji na najnowszy wariant rootkita.

 

podmiana pliku ipsec.sys - tym razem zrobiłem na pendraku kopie tego pliku ze swojego systemu i za pomocą "normalnego" wreszcie menadżera plików Midnight Commander od VBA32 wywaliłem obie wersje pliku z systemu zarażonego (obydwie lokalizacje: drvers i ddlcache), potem skopiowałem go ze zdrowej lokalizacji - najpierw do dllcache, potem do drivers

 

Moim zdaniem ten plik był wymieniony już wcześniej. Nadal został ten:

 

DRV - [2010-06-13 16:59:47 | 000,039,956 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ipfltdrv.sys -- (IpFilterDriver)

 

A w zasadzie dwa pliki (patrz na rozmiar = to jest równe rozmiarowi nie rozpakowanego archiwum ipsec.sy_):

 

[2010-06-13 21:10:21 | 000,039,956 | ---- | C] () -- C:\WINDOWS\System32\drivers\irbus.sys

[2010-06-13 16:59:47 | 000,039,956 | ---- | C] () -- C:\WINDOWS\System32\drivers\ipfltdrv.sys

 

Sterownik irbus.sys powinien być w sp3.cab w Twoim systemie i to wykorzystam. Ale plik ipfltdrv.sys nie jest tam obecny i pobierz go ode mnie (ekstraktowany z obrazu XP Mode SP3): KLIK. Ułoż go bezpośrednio na C:\, taką ścieżkę daję w skrypcie.

 

********************************************************

 

Od razu będzie tu usuwanie też martwych usług oraz szczątków po narzędziach.

 

1. Uruchom OTL i w sekcji Custom Scans/Fixes wklej:

 

:Files
C:\WINDOWS\Driver Cache\i386\sp3.cab:irbus.sys /e
C:\WINDOWS\system32\drivers\irbus.sys|c:\irbus.sys /replace
C:\WINDOWS\system32\drivers\ipfltdrv.sys|c:\ipfltdrv.sys /replace
 
:OTL
SRV - File not found [On_Demand | Stopped] --  -- (ose)
SRV - File not found [Disabled | Stopped] --  -- (odserv)
SRV - File not found [Auto | Stopped] --  -- (NanoServiceMain)
SRV - File not found [On_Demand | Stopped] --  -- (Harmonogram automatycznej usługi LiveUpdate)
SRV - File not found [On_Demand | Stopped] --  -- (0177991269482521mcinstcleanup)
SRV - File not found [On_Demand | Stopped] --  -- (0123231261332943mcinstcleanup)
DRV - File not found [Kernel | On_Demand | Running] --  -- (MEMSWEEP2)
DRV - [2010-06-19 07:42:37 | 000,052,736 | ---- | M] (eSage Lab) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\rk_remover.sys -- (rk_remover-boot)
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} Reg Error: Value error. (Reg Error: Key error.)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab" (Reg Error: Key error.)
 
:Commands
[emptyflash]
[emptytemp]

 

Uruchom proces przez Run Fix. Po restarcie otrzymasz log z tego. Zachowaj go do oceny.

 

2. Czas na reset Repozytorium. Otwórz Notatnik i wklej w nim:

 

net stop winmgmt

RD /S /Q C:\WINDOWS\system32\wbem\Repository

net start winmgmt

pause

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT > Uruchom ten plik

 

3. Wytwarzasz nowy log z OTL. Dołączasz ten z punktu 1.

 

 

 

 

 

.

Odnośnik do komentarza

Usunąłem irbus.sys i ipfltdrv.sys z katalogu C:\WINDOWS\System32\drivers\ i wgrałem ponownie oba pliki do lokalizacji, którą dla nich wskazałaś...wszystko spod Midnight Commandera. Potem odpaliłem OTL i wkleiłem skrypt - następnie restart i wygenerował się log (w załączeniu). Niestety tu możecoś nie tak, ponieważ nie odznaczyłem przed skanowaniem jednej z opcji - Extra Registry zostało na "Non" zamiast na "Use SafeList". Mam nadzieję jednak, że nie zafałszuje to za bardzo wyników....przy drugim te opcje były prawidłowo zaznaczone. Potem uruchomiłem zapisany na pulpicie plik FIX.BAT, następne skanowanie OTL i kolejne logi.

--------------

Dziwna rzecz...kiedy próbowałem załączyć pierwszy raport (rozszerzenie *.log) dostałem komunikat, że nie mam uprawnień do załączania takiego pliku...zmieniłem rozszerzenie na *.txt i poszło :)

OTL_06222010_051048.txt

OTL.Txt

Odnośnik do komentarza

Raport wygląda w porządku. Pytaniem jest czy po resecie Repozytorium nadal masz zgłoszenia od fantomów, czego typowy znak to widok Centrum zabezpieczeń i statusu aplikacji tam wykrytych?

 

1. Zostały więc porządki końcowe:

 

  • W Start > Uruchom > wklej polecenie "C:\Documents and Settings\Administrator\Pulpit\ComboFix.exe" /uninstall. To usunie komponenty ComboFix oraz wyzeruje cache Przywracania systemu.
  • W OTL wywołaj funkcję CleanUp. To usunie OTL i jego folder kwarantanny.

Obie te akcje ingerują także w widokowe opcje plików ukrytych, więc będąc niezadowolonym z wyników dopasuj je ponownie już ręcznie.

 

2. Aktualizacja Internet Explorer, niezależnie od faktu czy w ogóle go uruchamiasz ręką. Komponent zintegrowany, biblioteki są współdzielone z innymi obszarami renderowania Windows, za dużo luk.

 

Usunąłem irbus.sys i ipfltdrv.sys z katalogu C:\WINDOWS\System32\drivers\ i wgrałem ponownie oba pliki do lokalizacji, którą dla nich wskazałaś......wszystko spod Midnight Commandera. Potem odpaliłem OTL i wkleiłem skrypt

 

Bez sensu. Następnym razem proszę trzymaj się instrukcji 1:1, tak jak proszę w ogłoszeniu, by uniknąć np. historii z pierwszego posta i wszelkich konsekwencji tego wydarzenia (ja już dawno bym temat zakończyła). Daję skrypt, a Ty robisz znów ręczne operacje, przy czym ... wykonujesz skrypt z dublem! OTL i tak Twoją robotę wymazał:

 

========== FILES ==========

irbus.sys extracted to C:\

File C:\WINDOWS\system32\drivers\irbus.sys successfully replaced with c:\irbus.sys

File C:\WINDOWS\system32\drivers\ipfltdrv.sys successfully replaced with c:\ipfltdrv.sys

 

Przecież wyraźnie sugerowałam, że dam podmianę z automatu, a parametr /replace w skrypcie mówi sam za siebie.

 

Dziwna rzecz...kiedy próbowałem załączyć pierwszy raport (rozszerzenie *.log) dostałem komunikat, że nie mam uprawnień do załączania takiego pliku...zmieniłem rozszerzenie na *.txt i poszło

 

Pierwszy post powitalny w sekcji Serwis ma to wyszczególnione. Dopuszczam tylko i wyłącznie rozszerzenie TXT oraz wybrane graficzne formaty (omijając niekompresowane).

 

 

 

.

Odnośnik do komentarza

Raport wygląda w porządku. Pytaniem jest czy po resecie Repozytorium nadal masz zgłoszenia od fantomów, czego typowy znak to widok Centrum zabezpieczeń i statusu aplikacji tam wykrytych?

Po uruchomieniu komputera pokazała mi się w trayu ikona centrum zabezpieczeń z komunikatem, że mam niechroniony system...po wejściu w Centrum zabezpieczeń dałem opcję, że mam inna zaporę. Po restarcie związanym z instalacją IE8 centrum wskazuje, że mam zainstalowanego BullGuarda i wszystko wygląda OK. Natomiast w Panelu terowania nieustannie tkwi ikonka Pandy i po wszystkich zabiegach do tej pory ma się chyba tam bardzo dobrze. Nie powiem jest to wkurzające :)

Bez sensu. Następnym razem proszę trzymaj się instrukcji 1:1, tak jak proszę w ogłoszeniu, by uniknąć np. historii z pierwszego posta i wszelkich konsekwencji tego wydarzenia (ja już dawno bym temat zakończyła). Daję skrypt, a Ty robisz znów ręczne operacje, przy czym ... wykonujesz skrypt z dublem! OTL i tak Twoją robotę wymazał:

Położyłem oba pliki w lokalizacji, którą wskazałaś...

- po pierwsze nie sądziłem, że OTL sam zmieni lokalizację, ale że tylko "przyklepie" i zastosuje te zmiany w systemie

- po drugie nie wiedziałem, czy skopiowanie ich w stare lokalizacje nie wywoła dziwnych skutków...w końcu poprzednio udało się to tylko tymczasowo...tym bardziej, że napisałaś "Ułóż go bezpośrednio na C:\, taką ścieżkę daję w skrypcie.". Skoro więc miałem tam położyć ipfltdrv.sys, to czemu nie irbus.sys jeśli miał w skrypcie tę samą lokalizację na C:\

Oba pliki są na C:\ więc nie wiem, czy z tym jest już w porządku, czy nie.

Czyszczenie po OTL i ComboFIX zrobiłem - wygląda na to, że udało się usunąć wszystko. To chyba koniec wątku, więc chcę bardzo Ci podziękować...bez Ciebie nie poradziłbym sobie, a tak mam zdrowy system i nareszcie jego kopię do ewentualnego przywrócenia :)

Odnośnik do komentarza
Natomiast w Panelu terowania nieustannie tkwi ikonka Pandy i po wszystkich zabiegach do tej pory ma się chyba tam bardzo dobrze.

 

W Panelu sterowania obiekt może być zapisany na dwa sposoby:

 

1. W postaci pliku *.CPL. Wyszukaj na dysku wszystkie pliki o takim rozszerzeniu, może wśród nich będzie jakiś oczywisty, który wystarczy skasować.

 

2. Jako obiekt obszaru nazwy. Start > Uruchom > regedit i wyeksportuj mi tu do wglądu całe klucze:

 

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ControlPanel\NameSpace

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ControlPanel\NameSpace

 

Przeglądniemy {klasy}, która może pasować do Panda.

 

Skoro więc miałem tam położyć ipfltdrv.sys, to czemu nie irbus.sys jeśli miał w skrypcie tę samą lokalizację na C:\

 

vs.

 

Sterownik irbus.sys powinien być w sp3.cab w Twoim systemie i to wykorzystam. Ale plik ipfltdrv.sys nie jest tam obecny

 

Ta komenda sama plik ekstraktuje i zawsze w root:

 

C:\WINDOWS\Driver Cache\i386\sp3.cab:irbus.sys /e

 

Dlatego nie było potrzeby tego pliku układać na C:\. To się samoistnie wykonało.

 

 

.

Odnośnik do komentarza

- Plików z rozszerzeniem *.CPL jest całe mnóstwo, ale żaden z nazwy nie pasował wprost do Pandy

- W tej drugiej lokalizacji HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ nie mam dalej klucza ControlPanel

- Za to przypadkiem znalazłem HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring gdzie znalazłem nazwy programów zabezpieczających m.in. Pandy (zrobiłem import tego klucza)

HKEY_L_M_NameSpace.txt

HKEY_L_M_Security CenterMonitoring.txt

Odnośnik do komentarza
- Za to przypadkiem znalazłem HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring gdzie znalazłem nazwy programów zabezpieczających m.in. Pandy (zrobiłem import tego klucza)

 

Bez znaczenia. Ten klucz jest nawet na systemach, które nie widziały Pandy na oczy.

 

- Plików z rozszerzeniem *.CPL jest całe mnóstwo, ale żaden z nazwy nie pasował wprost do Pandy

 

W których lokalizacjach wyszukiwałeś? Wzięłam do testów pierwszą z brzegu edycję Panda (goły antywirus). Panda tworzy rozszerzenie w Panelu za pomocą pliku CPL, konkretniej:

 

1. Plik C:\WINDOWS\system32\pavcpl.cpl.

2. Są także dwa klucze rejestru, w których są wartości punktujące ten plik:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\Cpls

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\Extended Properties\{305CA226-D286-468e-B848-2B2E8E697B74}

 

pavcpln.th.png

 

 

.

Odnośnik do komentarza

No cóż...nie do końca się chyba udało. Usunąłem wskazane "końcówki" kluczy...a pliku, który wskazałaś nie znalazłem. Panda wciąż bezczelnie uśmiecha się w Panelu sterowania...i jak patrzę na te ikonkę, to już mi się tylko śmiać chce...jest cholera skuteczna w maskowaniu się :) Pomyślałem, że wylistuję wszystkie pliki *.CPL - może tobie coś przyjdzie do głowy, co mnie umknęło.

pliki CPL.txt

Odnośnik do komentarza

OK...jest w porządku...faktycznie robiłem to nad ranem (niemal w nocy) i chyba mnie coś przyćmiło, bo wywaliłem na początku nie to,.co powinienem. Na szczęście nic się widocznego nie wywróciło, a poza tym miałem kopię rejestru na ten cel i na dodatek punkt przywracania. Potem jak się nieco wystraszyłem wszystko przywróciłem. Wspomnianej wartości klucza nie było, był natomiast plik PSUNCpl.cpl który usunąłem - Panda już się nie pojawiła. BullGuard, który wcześniej krzyczał przy instalacji o innych programach, teraz przy próbie reinstalacji niczego nie pokazał. Wygląda na to, chyba po problemie...ale...jak już drążyć temat to do końca :) Przy tym całym zamieszaniu pojawił się na dysku C katalog C:\cmdcons z wieloma plikami systemowymi...wcześniej go z pewnością nie było, dopiero przy jakiś próbach się stworzył patrząc na datę utworzenia. Załączam listę plików w tym katalogu - będę wdzięczny za odpowiedź, czy mogę ten katalog razem z plikami usunąć.

lista_cmdcons.txt

Odnośnik do komentarza
Przy tym całym zamieszaniu pojawił się na dysku C katalog C:\cmdcons z wieloma plikami systemowymi...wcześniej go z pewnością nie było, dopiero przy jakiś próbach się stworzył patrząc na datę utworzenia. Załączam listę plików w tym katalogu - będę wdzięczny za odpowiedź, czy mogę ten katalog razem z plikami usunąć.

 

To jest Konsola Odzyskiwania zainstalowana przez ComboFix, czyli menu wyboru systemów zgłaszające się teraz przy starcie systemu. Można to usuwać i jest to zlokalizowane w opisie Konsoli (KLIK). Drobna uwaga: ComboFix "zapobiega" kasacji katalogu CMDCONS. Będziesz miał "Odmowę dostępu". Wystarczy z PPM pobrać Właściwości katalogu > karta Zabezpieczenia > dla grupy Wszyscy figuruje Odmów, co należy przestawić na Pełna kontrola. Po tej operacji odblokujesz katalog.

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...