Skocz do zawartości

Rootkit w BSODzie własnym


Rekomendowane odpowiedzi

Witam

 

Zaczęło się od BSOD 0x8E ze wskazaniem an ntfs.sys przy uruchomieniach w trybie normalnym, przy czym awaryjny chodził. Testy sprzętowe oczywiście ok, rzut oka w autostart i się przejaśniło trochę - jakaś infekcja jest (ja już tam odptaszałem co nieco). Podmieniłem gdzieś po drodze ntfs.sys i win32k.sys (a co będę sobie żałował) na czyste. Udało mi się raz uruchomić komputer w trybie normalnym po ustawieniu rozruchu diagnostycznego i drugi, gdzie tez były robione skany, po wyłączeniu SPTD (odinstalować się nie dało). Ostatnia ciekawostka to po skanach komputer nie potrafił mi pokazać internetu na żadnej z zainstalowanych przeglądarek (wcześniej ok), a po restarcie w awaryjny, z którego piszę, IE nie może być znaleziony (faktycznie, nie ma exe'ka).

Znarowiło się dziadostwo (rootkit i koledzy)... ale wy im pokarzecie :)

 

Ale najpierw ja pokarzę wam logi:

OTL.Txt

Extras.Txt

gmer.txt

 

pomożecie?

 

przy publikowaniu postu zauważyłem info ze użyłem 1,41MB z dostępnych dla mnie 1,93MB. Albo nie wiem na co patrzyłem, albo nie zmam mechanizmów załączania plików... albo się coś podczepiło?!?... mogło do textowego??

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

No bo ja właśnie już próbowałem ;p ale combofix nie robi nic, teraz sprobowałem zmienic mu nazwe zaraz po sciagnieciu z drugiego mirrora z bleeping, tez nic. Nic wygląda tak ze pojawia się w miejscu kursora myszki okienko z napisem ComboFix, i powinny być niebieskie kwadraty, ze niby jest jakis postęp, ale kwadratów nie ma i postępu też nie... moze go jakaś bootowalną płytką czyszczącą?

 

Wymysliłem ze spróbuje skasować conieco z poziomu recovery console, explorer.exe sie nie dał, ale aec.sys i pxueiurt.sys wyleciały... pewnie to i tak duzo nie pomoze, sprawdze czy combofix ruszy

 

...nie ruszył

Odnośnik do komentarza

Zainfekowanym sterownikiem jest tu także kluczowy NDIS.SYS. Konsola Odzyskiwania ma dość wąskie możliwości manipulacji i ograniczenia ścieżek. Skorzystaj z OTLPE, nie do tworzenia loga lecz do nawigacji po dysku. Przygotuj sobie także czyste wersje plików z CD XP do podstawienia (w wersji zgodnej ze stanem SP = czyli tutaj SP3), bo sterowniki systemowe muszą być zamienione a nie skasowane. Z poziomu płyty:

 

1. Wstaw czyste kopie plików w te zdublowane miejsca:

 

C:\WINDOWS\System32\drivers\aec.sys

C:\WINDOWS\System32\drivers\ndis.sys

C:\WINDOWS\System32\dllcache\aec.sys

C:\WINDOWS\System32\dllcache\ndis.sys

 

2. Skasuj z dysku te pliki / foldery:

 

C:\WINDOWS\system32\EXPLORER.EXE

C:\WINDOWS\System32\fjhdyfhsn.bat

C:\WINDOWS\System32\drivers\zoghct.sys

C:\WINDOWS\System32\drivers\kvtfiouz.sys

C:\WINDOWS\System32\drivers\pxueiurt.sys

C:\Documents and Settings\NetworkService\Dane aplikacji\mbsvil.dat

C:\Documents and Settings\PPPPPPPPPPPP\Dane aplikacji\mbsvil.dat

C:\Documents and Settings\PPPPPPPPPPPP\Dane aplikacji\avdrn.dat

C:\Documents and Settings\PPPPPPPPPPPP\¬0$

C:\Documents and Settings\PPPPPPPPPPPP\Menu Start\Programy\Autostart\wwwqxk32.exe

C:\Documents and Settings\PPPPPPPPPPPP\Ustawienia lokalne\Temp

 

+ z wszystkich dysków pliki autorun.inf oraz 12gn6id2.exe

 

Następnie restartujesz do Windows i wytwarzasz nową serię logów. Jeśli poprzednia akcja będzie pomyślna, można przejść do czyszczenia rejestru przez skrypt do OTL.

 

 

 

 

.

Odnośnik do komentarza

przyznam ze nawet nie sprawdziłem czy aec.sys to jest jakis potrzebny sterownik, myslałem ze wirus i tyle - grzech ignorancji. Wszystko sie dało usunąć, przy czym nie mogłem znaleźć C:\WINDOWS\System32\fjhdyfhsn.bat.

Trwa skan Gmera, Rzeczą złą i niepokojącą i złą i uciążliwą jest to że explorer exe i taskmgr dziela sie po połowie procesorem, reszta programów, w tym Gmer, walczą dzielnie o jakies ochłapy, czasem nawet 26% im sie dostaje. po restarcie systemu w normalnym trybie otworzyły mi sie okienka moje dokumenty i pulpit - łącznie dwa okienka, to wczesniej nie miało miejsca.

 

dokleje tu logi jak już będą...

gmer.txt

OTL.Txt

 

ndis.sys został przywrócony z instalacyjnego CD, aec.sys z innego komputera, bo go nie mogłem znaleźć na CD. Nie wiem jak działanie tego sterownika od dźwięku, bo NDIS.SYS mi coś popsół, wszystkie urządzenia w gałęzi urządzeń sieciowych mają żółte wykrzykniczki. Próbowałem przeinstalować sterownik LAN, ale nie pomogło. Zużycie procesora sie uspokoiło, otwieranie okien po załadowaniu pulpitu nie ma 100% powtarzalności.

Odnośnik do komentarza

Czy na pewno z poziomu OTLPE usunąłeś cały katalog "Temp"? W aktualnym OTL widać moduł ładowany stamtąd:

 

MOD - [2010-08-13 15:29:48 | 000,031,232 | ---- | M] () -- C:\Documents and Settings\PPPPPPPPPPPP\Ustawienia lokalne\Temp\VGod.DLL

 

Ogólnie: stan systemu znacznie się poprawił, w GMER ustąpiły wszystkie hooki, choć niepokoi nadal status sterownika ndis.sys, który ma stan "zatrzymany" i nie ma tu markera od Microsoftu. Pliki w obu lokalizacjach wykazują rozbieżność rozmiaru, ten w dllcache nie wygląda w ogóle na wymieniony.

 

DRV - [2008-04-15 20:00:00 | 000,090,313 | ---- | M] () [Kernel | Boot | Stopped] -- C:\WINDOWS\System32\drivers\ndis.sys -- (NDIS)

 

[2010-07-27 16:48:17 | 000,210,816 | ---- | M] () -- C:\WINDOWS\System32\dllcache\ndis.sys

 

Pozostał do sprzątnięcia rejestr, co m.in. wyzeruje efekt otwierania Moich dokumentów (za to odpowiadają wpisy pozostawione przez infekcję z USB, kierujące do explorer.exe) oraz kilka innych robótek.

 

1. Powtarzasz podmianę pliku ndis.sys po raz drugi równocześnie do obu lokalizacji.

 

2. W OTL w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
F:\AutoRun.inf
C:\Program Files\advantage
C:\Documents and Settings\PPPPPPPPPPPP\Dane aplikacji\advantage
C:\Program Files\Mozilla Firefox\components\AdVComponent.dll
 
:Reg
[-HKEY_CURRENT_USER\SOFTWARE\microsoft\windows\currentversion\explorer\mountpoints2]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AdVantage"=-
"EXPLORER.EXE"=-
"wsctf.exe"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"KernelFaultCheck"=-
 
:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\gdrv.sys -- (gdrv)
IE - HKU\S-1-5-21-1417001333-823518204-725345543-1004\..\URLSearchHook: {c2db4fe6-8409-45ce-8010-189a7b5cce86} - Reg Error: Key error. File not found
O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Documents and Settings\All Users\Dane aplikacji\Gadu-Gadu 10\_userdata\ggbho.2.dll File not found
O3 - HKU\S-1-5-21-1417001333-823518204-725345543-1004\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\S-1-5-21-1417001333-823518204-725345543-1004\..\Toolbar\WebBrowser: (no name) - {C2DB4FE6-8409-45CE-8010-189A7B5CCE86} - No CLSID value found.
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.)
 
:Commands
[emptyflash]
[emptytemp]

 

Uruchom przez Wykonaj skrypt. będzie restart.

 

3. Wykonaj roboty deinstalacyjne: szczątki nieprawidłowo usuniętego Symantec powinien zlikwidować Norton Removal Tool. W Dodaj/Usuń wywal śmiecia Softonic-Polska Toolbar.

 

4. W związku z typem zaistniałej tu infekcji z poziomu trybu normalnego (a nie awaryjnego, co może zmienić widoczność pewnych rzeczy) zweryfikuj widok Menedżera urządzeń raz jeszcze. Usuń wszystkie urządzenia z wykrzyknikiem, o ile takowe będą (prócz tych sieciowych, które punktujesz), restart systemu.

 

5. Do prezentacji: log powstały z czyszczenia OTL z punktu 2 oraz nowy zestaw logów z OTL + GMER zrobiony już po ostatnim zadaniu z punktu 4. Dorzuć także wyciąg z USBFix z opcji Listing, tworzony przy obecności podpiętego dysku przenośnego.

 

 

 

 

.

Odnośnik do komentarza

Przepraszam, bo o podmianie dllcache wogóle nie pamietałem. ... (nieme gesty rękoma, mające na celu coś wyjaśnić)... Zrobiłem wszystko jeszcze raz, podmiana plików w obydwu lokacjach, i sprawdzenie czy nie pojawiły się znów te co je usunąłem. Poprzełanczałem tez usługi wszystkie oprócz jednej na 'automatyczny' zeby moze nie były powodem niechodzenia sterowników sieciowych (jedna co sie włączyć nie chciała to ESET - problem przy komunikacji z jądrem - którego usunołem zupełnie). Podczas skanu Gmerem znów coś obciążyło system, tym razem sterownik HP. Wszystkie urządzenia sieciowe mają problem ze sterownikiem, ndis.sys z win xp home sp3, wiec powinno być ok.

Z tym VGod.dll to ciekawa sprawa, pojawiał sie po tym pierwszym czyszczeniu tu i tam, po dzisiajszym kasowaniu katalogu temp, jak okiem sprawdziłem, to nie było, a na skanie OTL jest... uparciuszek. Zresztą jakiś szkodliwy podobno.

 

logi:

08162010_151946.txt

gmer2.txt

OTL.Txt

UsbFix.txt

 

sproboje wrzucic na totalvirus tego VGod.dll (czy powinienem sie przejmować tym ze daty sygnatór wirusów w takich serwisach są z maja?)

Odnośnik do komentarza
Z tym VGod.dll to ciekawa sprawa, pojawiał sie po tym pierwszym czyszczeniu tu i tam, po dzisiajszym kasowaniu katalogu temp, jak okiem sprawdziłem, to nie było, a na skanie OTL jest... uparciuszek. Zresztą jakiś szkodliwy podobno.

 

To na pewno jest szkodliwy plik i nie było co do tego żadnych wątpliwości. Ale teraz po szukaniu na Google wychodzi na to, że może być znacznie gorzej niż przypuszczałam. Otóż ten plik jest wykrywany jako "Bacalid", a ta rodzina to wirusy infekujące wszystkie wykonywalne (KLIK / KLIK / KLIK). Czyli: możesz mieć na dysku zainfekowane pliki EXE / DLL systemu i programów.

 

Druga sprawa, status pliku NDIS.SYS nadal jest nieprawidłowy:

 

DRV - [2008-04-15 20:00:00 | 000,090,313 | ---- | M] () [Kernel | Boot | Stopped] -- C:\WINDOWS\System32\drivers\ndis.sys -- (NDIS)

 

Plik powinien mieć certyfikat MS a go nie ma, dlatego nadal OTL go listuje (a nie powinien przy filtrowaniu). Rozmiar pliku niewłaściwy, zupełnie inny niż w pakiecie SP3. Sterownik nie pracuje także w sposób prawidłowy, nadal status Zatrzymany. W związku z tym, że ekstraktujesz kopię pliku z nieznanego mi do końca źródła, wyekstraktowałam ręcznie plik z oryginalnego pobranego na dysk pakietu SP3. Plik ma certyfikat MS i jak widać inne parametry:

 

ndis.png

 

1. Do wykonania z poziomu OTLPE:

 

  • Podmień po raz kolejny plik NDIS.SYS moją kopią (KLIK), wstawiając oczywiście do dwóch lokalizacji na raz.
  • Opróżnij katalog C:\Documents and Settings\PPPPPPPPPPPP\Ustawienia lokalne\Temp, z którego startuje VGod.dll.

2. Przeskanuj ten system z zewnątrz przez którąś z boot płyt, np. Kaspersky Rescue Disk (KLIK).

 

3. Po wykonaniu zadań zgłaszasz się tutaj z: raportem ze skanowania Kasperskym oraz zestawem logów wykonanych już spod Windows.

 

 

 

 

.

Odnośnik do komentarza

(KLIK / KLIK / KLIK).

 

 

no właśnie tam czytałem...

 

NDIS.SYS pozyskałem zmieniając _ na S w pliku wzietym z \i386 z płytki instalacyjnej winxp home pl sp3... tylko jesli coś co rozstawia VGod.dll robi przy okazji kuku temu sterownikowi, to podmiany nie pomogą. Argument przeciw tej hipotezie jest taki ze nie było problemów z tym plikiem (w sensie statusu: Running) przed naszymi zabawami, a był jak najbardziej zainfekowany, wiec teraz co... zemsta wirusa? nie chcecie mnie to nie bedziecie miec sieci wcale? (o ile dobrze łącze Stopped tego sterownika z pogromem urządzeń sieciowych w kompie). A może co innego go teraz infekuje? Od 2 godzin chyba próboje zmusić jakis bootowalny antywirus do działania z aktualnymi szczepionkami, ale coś mi słabo idzie...

 

kolejny nie ruszył... nie wiem, niektóre iso miały podobno niezgodny rozmiar pliku z rozmiarem obrazu, ostatnio probowany f-secure nie pokazał tego problemu ale zato wieszał sie przy bootowaniu. zapiołem dysk do mojego kompa i mam wykryta infekcje Bacalid.B... tak sobie myslę ze przeskanuje go w tej pozycji do konca, nadpisze nowy ładny MBR i zrobie reinstalke, to i tak sie bedzie nalezało systemowi najprawdopodobniej. Powiesz coś zeby mnie powstrzymac? Ciekaw jestem skąd wyłaził ten Vgod.dll, i dlaczego nie było tego czegoś widać na skanach (czy może było?).

 

ESET znalazł takie rzeczy:

skan eset.txt

logi z pozostałych skanów

 

Extras.Txt

OTL.Txt

gmer.txt

 

z rzeczy dziwnych: jak proboje zmusić explorera do pokazania mi plików ukrytych i systemowych, to niby jakies tam zmiany wprowadza w widoku (odswierzenie widoku w oknie katalogu ktory ogladam i pulpitu) ale nadal nie moge tych plikow zobaczyc, a dodatkowo po wejsciu ponownym w konfiguracje kropka nadal jest przy 'Nie pokazuj...' Vgod.dll już nie ma, system chodzi, sterowniki niby też, ale nie sprawdze tego teraz bo znowu cos zjadło cały procesor... sprawdze po restarcie

Odnośnik do komentarza
NDIS.SYS pozyskałem zmieniając _ na S w pliku wzietym z \i386 z płytki instalacyjnej winxp home pl sp3...

 

Nic dziwnego, że sterownik nie działa i nie zgadza się nic. To błąd Twojej operacji. NDIS.SY_ to jest archiwum spakowane (format CAB) a nie plik docelowy! Nie można zmienić sobie tylko nazwy, plik musi być w pierwszej kolejności rozpakowany.

 

zapiołem dysk do mojego kompa i mam wykryta infekcje Bacalid.B... tak sobie myslę ze przeskanuje go w tej pozycji do konca, nadpisze nowy ładny MBR i zrobie reinstalke, to i tak sie bedzie nalezało systemowi najprawdopodobniej. Powiesz coś zeby mnie powstrzymac?

 

Nie widzę podstaw do reinstalacji, gdyż wyniki skanowania są "skromne", a poza tym i tak dotyczą większej ilości dysków niż jednego. Chorobą są dotknięte tylko niektóre programy i niekluczowe katalogi. Jeśli po leczeniu plików programy nie będą działać to wystarczy je przeinstalować.

Pytanie: skąd sugestie o nadpisaniu MBR?

 

Ciekaw jestem skąd wyłaził ten Vgod.dll, i dlaczego nie było tego czegoś widać na skanach (czy może było?).

 

Których skanach?

 

 

EDIT: Dodałeś logi. Zaraz będę sprawdzać.

 

 

 

.

Odnośnik do komentarza

a zdawało mi sie ze to kiedyś działało (zamienianie _ na ostatnią litere.

 

reinstalacja bo mam dosyć, ale faktycznie nie potrzebna ;p

 

a MBR tak dla pewnosci

 

W których skanach?, w którychkolwiek. ale z drugiej strony, jesli infekcja miała miejsce wiecej niz 30 dni temu, to głupie gg.exe uruchamiajac sie przy starcie robiło swoje, a przypuszczam ze OTL nie kontroluje czy nie był gg.exe modyfikowany i w jakiej jest wersji i jaki powinien miec rozmiar... Dlatego np. przy starcie do awaryjnego nie widziałem VGod.dll, dopiero później sie pojawiał (nie odtworzę teraz już dokładnie tego kiedy go widziałem a kiedy nie, ale mozna by to tak wyjaśnić)

 

a z ndis.sy_ to faktycznie dobre :) - czyli jednak expand od czegoś jest...

 

off topic:

jakbym na dysku z żywym (ledwo) win2000 dodał do uprawnionych do zaglądania do System Volume Information konto z winxp do którego podpiołem dysk z tym win2000, to czy dostęp natywnego win2000 sie popsuje? bo ja bym tylko chciał wyjąć z tamtąd coś.

Odnośnik do komentarza

Witam

 

Tym razem byłem odważny i działałem samodzielnie

stan początkowy:

w trybie normalnym BSOD 0x19, 0x24, czy 0x8f... były różne, juz nie pamietam

w awaryjnym kursor myszy bez załadowanego explorer.exe i nic wiecej, taskmgr tez sie nie uruchamiał

logi:

Extras.Txt

OTL.Txt

 

podmieniłem beep.sys i ndis.sys (obydwa ze złej wersji systemu, wiec sieci nie mam, i tego drugiego czegoś chyba też nie.. ogólnie windows jest tu jakiś przyprawiany/przerobiony, wyglada bardziej jak Vista, ale jakoś znajde te pliki..), coś tam jeszcze pousuwałem z OTLPE i skonstruowałem następujący skrypt:

script.txt

 

co miało taki skutek:

post_script.txt

 

a potem jeszcze drugi skrypt ze skutkiem takim:

post_script2.txt

 

stan koncowy systemu jest następujący:

OTL_koncowy.Txt

 

a z gmera mamy:

 

GMER 1.0.15.15281 - http://www.gmer.net

Rootkit scan 2010-08-18 18:04:16

Windows 5.1.2600 Dodatek Service Pack 2

Running: 2qp5vw54.exe; Driver: C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\pgldqpoc.sys

 

 

---- User code sections - GMER 1.0.15 ----

 

.text C:\WINDOWS\system32\svchost.exe[1408] ntdll.dll!NtResumeThread 7C90E45F 5 Bytes JMP 00402482

 

---- EOF - GMER 1.0.15 ----

 

co zrobiłem źle (oprócz wersji beep i ndis) i co jeszcze (oprócz czyszczenia) trzeba by było zrobić?

Pozdrówki

 

P.S. Pracowity dzień dzisiaj?

Odnośnik do komentarza

Duża zwłoka, bo akurat w sposób zupełnie nieplanowany miałam wyjazd wakacyjny i nie mogłam już pilotować tematu, a przez kilka dni byłam odcięta od sieci w sposób całkowity. Widzę, że mamy tu teraz do czynienia z dwoma różnymi systemami:

 

 

1.

 

Czy ten system lepiej się czuje, czy są jakieś widoczne defekty? W ostatniej serii logów ja już nic nie widzę z zakresu infekcji.

 

1. Do usunięcia mało znaczące ślady po niepełnej deinstalacji tego paska narzędziowego:

 

:OTL
IE - HKU\S-1-5-21-1417001333-823518204-725345543-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.conduit.com?SearchSource=10&ctid=CT2530240"
FF - prefs.js..browser.search.defaultthis.engineName: "Softonic-Polska Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2530240&SearchSource=3&q={searchTerms}"
FF - prefs.js..extensions.enabledItems: {c86eb8a9-ccc2-4b6c-b75d-73576ed591bf}:2.5.6.0
FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2530240&q="
[2010-03-14 17:36:17 | 000,000,000 | ---D | M] (Softonic-Polska Toolbar) -- C:\Documents and Settings\PPPPPPPPPPPP\Dane aplikacji\Mozilla\Firefox\Profiles\4ftv1rw2.default\extensions\{c86eb8a9-ccc2-4b6c-b75d-73576ed591bf}
[2010-02-09 18:25:50 | 000,000,933 | ---- | M] () -- C:\Documents and Settings\PPPPPPPPPPPP\Dane aplikacji\Mozilla\Firefox\Profiles\4ftv1rw2.default\searchplugins\conduit.xml

 

2. Standardowo należy pozbyć się kopii, czyli: Sprzątanie w OTL + czyszczenie folderów Przywracania systemu.

 

3. Brakujący exek Internet Explorer uzupełnisz instalując nowszą wersję Internet Explorer 8 , bo to i tak jest tu wymagane w kroku uszczelniającym. Poza tym, klasyczne rzeczy to aktualizacja wszelkiego oprogramowania wtyczkującego przeglądarki (np. Java).

 

 

a MBR tak dla pewnosci

 

Czy Ty aby się nie sugerujesz pewną stricte informacyjną linijką ze skanu ESET, która ma adnotację o tym obszarze? Tu nie ma podstaw dla przypuszczeń o infekcji w MBR, a jeśli chcesz to sprawdzać, to w przyklejonym jest do tego program MBRCheck.

 

W których skanach?, w którychkolwiek. ale z drugiej strony, jesli infekcja miała miejsce wiecej niz 30 dni temu, to głupie gg.exe uruchamiajac sie przy starcie robiło swoje, a przypuszczam ze OTL nie kontroluje czy nie był gg.exe modyfikowany i w jakiej jest wersji i jaki powinien miec rozmiar... Dlatego np. przy starcie do awaryjnego nie widziałem VGod.dll, dopiero później sie pojawiał (nie odtworzę teraz już dokładnie tego kiedy go widziałem a kiedy nie, ale mozna by to tak wyjaśnić)

 

W skanach (również w GMER) od początku widać było VGod.dll, tylko nie zostało przeze mnie sprawdzone na Google czy on aby nie jest związany z czymś specyficznym. OTL może tylko wyliczyć to co ma planowane: wyciągnąć atrybuty czy w ciągu ostatnich 30 dni plik był tworzony na nowo / modyfikowany i podać aktualny rozmiar pliku (o ile jest wpis, w którym to może się pokazać). Lista jest więc tylko częściowo miarodajna, oparta o czasokres wyliczania modyfikacji (choć tym można w OTL sterować komendą, ale to jest celowanie na oko i pobożne zakładanie czasu, w którym nastąpiła infekcja). Zważ też na to, że OTL w ogóle nie zajmuje się oceną innych dysków niż systemowy i on nie jest dobrym narzędziem do sprawdzania modyfikacji w wykonywalnych, która to modyfikacja może dotyczyć całego dysku (a nie tylko partycji systemowej).

 

off topic:

jakbym na dysku z żywym (ledwo) win2000 dodał do uprawnionych do zaglądania do System Volume Information konto z winxp do którego podpiołem dysk z tym win2000, to czy dostęp natywnego win2000 sie popsuje? bo ja bym tylko chciał wyjąć z tamtąd coś.

 

Sformułowałeś pytanie w niejasny sposób. Jeśli masz na myśli coś takiego: zastartować na ten (ledwo żyjący) Windows 2000 i z jego poziomu tymczasowo wyasygnować konto z którego jesteś zalogowany na Windows 2000 dla katalogu System Volume Information innego systemu XP, to nie widzę nic "zdrożnego" w tej akcji. Po prostu po wyciągnięciu z katalogi SVI tego co potrzebujesz wystarczy zrekonstruować pierwotny układ zabezpieczeń, usuwając dodane konto.

Jeśli zaś masz całkiem co innego na myśli, to wyjaśnij, bo nie widzę tu żadnych innych sensownych operacji.

 

 

 

2.

 

1. Ze skryptami poleciałeś za daleko. To nie miało kwalifikacji do usuwania:

 

:OTL

DRV - File not found [Kernel | On_Demand] -- -- (WDICA)

DRV - File not found [Kernel | On_Demand] -- -- (PDRFRAME)

DRV - File not found [Kernel | On_Demand] -- -- (PDRELI)

DRV - File not found [Kernel | On_Demand] -- -- (PDFRAME)

DRV - File not found [Kernel | On_Demand] -- -- (PDCOMP)

DRV - File not found [Kernel | System] -- -- (PCIDump)

DRV - File not found [Kernel | System] -- -- (lbrtfdc)

DRV - File not found [Kernel | System] -- -- (i2omgmt)

DRV - File not found [Kernel | System] -- -- (Changer)

 

FF - prefs.js..extensions.enabledItems: {3f963a5b-e555-4543-90e2-c3908898db71}:9.0.0.825

FF - prefs.js..extensions.enabledItems: {0545b830-f0aa-4d7e-8820-50a4629a56fe}:4.6.1

FF - prefs.js..extensions.enabledItems: {B13721C7-F507-4982-B2E5-502A71474FED}:2.2.0.102

 

O4 - HKLM..\Run: [CnxDslTaskBar] File not found

O4 - HKLM..\Run: [LanguageShortcut] C:\Program Files\CyberLink\PowerDVD\Language\Language.exe ()

O4 - HKU\.DEFAULT..\RunOnce: [nltide_2] File not found

O4 - HKU\LocalService_ON_C..\RunOnce: [nltide_2] File not found

O4 - HKU\NetworkService_ON_C..\RunOnce: [nltide_2] File not found

O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\ati2evxx.dll ()

O32 - AutoRun File - [2007/08/27 21:15:12 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ FAT32 ]

O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]

O34 - HKLM BootExecute: (autocheck autochk *) - File not found

 

:Files

C:\Documents and Settings\Administrator\Dane aplikacji\InterTrust

C:\Documents and Settings\Administrator\Dane aplikacji\foobar2000

 

  • Pierwsza grupa z "not found" to standard prawie każdego XP (instalator montuje bezplikowe usługi). OTL uruchomiony z poziomu Windows to filtruje i nie pokazuje tego, za to OTLPE to ujawnia = wyniki się po prostu ignoruje. Nic się jednak nie stało, że nastąpiła likwidacja.
  • Z preferencji Firefox zniszczyłeś rozszerzenia (po kolei wg numerów klasy): AVG, ColorfulTabs, Skype.
  • Żaden z wpisów O4 nie jest szkodliwy (a "not found" niekoniecznie jest takim w każdym z przypadków) + zapiski typu nltide_2 to świadectwo posiadania XP pochodzącego z procesu nLite.
  • O20 to od sterowników ATI (ale przeczytaj jeszcze komentarz niżej).
  • O32 z autorun.inf = patrz uważnie jaki stoi system plików obok, to plik na CD a nie dysku twardym czy USB. Tego żadnym sposobem nie usuniesz z płyty "tylko do odczytu" przy udziale skryptu i nie ma tu w ogóle takich kwalifikacji.
  • O32 z autoexec.bat = to plik systemowy i tu nie należało podejmować żadnych działań.
  • O34 jest prawidłowym wpisem i zawsze wygląda tak samo na każdym systemie w stanie domyślnym, tego wpisu nie należy ruszać. Nie tak dawno o tym pisałam: KLIK.
  • W sekcji Files wyleciały foldery prawidłowych aplikacji. Foobar to jest odtwarzacz muzyczny i był zainstalowany w tym systemie (więc skąd samobójcze usuwanie jego folderu):

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"foobar2000" = foobar2000 v0.9.5

 

W drugim skrypcie:

 

========== FILES ==========

C:\FOUND.004 folder moved successfully.

C:\FOUND.003 folder moved successfully.

C:\FOUND.002 folder moved successfully.

C:\WINDOWS\System32\ATIDEMGR.dll moved successfully.

C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job moved successfully.

C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job moved successfully.

C:\_BLOCK.WB4 moved successfully.

C:\WINDOWS\System32\ammppg.dll moved successfully.

.

 

  • Google w Harmonogramie jest naprawdę Googlem, choć nic się nie stało, po prostu usunięcie można ująć jako kwestię "kosmetyczną". Podobnie z folderami FOUND.00X, czyli szczątkami po naprawach checkdiska.
  • ATIDEMGR.dll wg nazwy to pochodna sterowników ATI (ale patrz jeszcze na mój komentarz niżej).
  • _BLOCK.WB4 pochodzi od instalacji upiększacza WindowBlinds. To się zgadza z Twoim dalszym mamrotaniem o "wyglądzie Vista-podobnym". Aczkolwiek brak takiej pozycji w zainstalowanych programach, choć to nie jest wiążące. OTL nie listuje programów, które mają zapis w innych miejsch niż określone klucze rejestru. Przykładowo dla porównania: Alcohola nie wylistuje, mimo że program zainstalowany w całości (a deinstalator siedzi w menu Start).
  • Ostatni z plików, wyglądający tak "podejrzanie" i w pierwszym wyniku na Google (PrevX) krzyczący hasłem "trojan", został utworzony w grupie wykazującej wspólne pochodzenie (patrz na datę i czas):

[2008/11/14 17:05:09 | 000,336,896 | ---- | C] () -- C:\WINDOWS\System32\ammppg.dll

[2008/11/14 17:05:09 | 000,233,472 | ---- | C] () -- C:\WINDOWS\System32\lame_enc.dll

[2008/11/14 17:05:09 | 000,073,728 | ---- | C] () -- C:\WINDOWS\System32\a1.dll

[2008/11/14 17:05:08 | 000,303,104 | ---- | C] () -- C:\WINDOWS\System32\qscl.dll

[2008/11/14 17:05:08 | 000,212,992 | ---- | C] () -- C:\WINDOWS\System32\amrdec.dll

[2008/11/14 17:05:08 | 000,081,920 | ---- | C] () -- C:\WINDOWS\System32\qcpsdk.dll

[2008/11/14 17:05:06 | 012,332,032 | ---- | C] () -- C:\WINDOWS\System32\v2vcovt_r.dll

 

Ta grupa powoduje właśnie odwrotne podejrzenie, że plik nie jest szkodliwy, bo całość wygląda jak instalacja kodeków. Popatrzyłam na listę zainstalowanych programów, czy aby nie ma czegoś pasującego. Moim pierwszym typem od razu był MP3 To Ringtone Gold 7.28. Zainstalowałam to w wirtualnej maszynie i cyk, mam te same pliki:

 

ringtone.th.png

 

Dodatkowo: ShopperReports i Zango wywaliłeś nie do końca elegancką metodą, z pozostawieniem wpisów w Dodaj/Usuń. Należało rozpocząć od prostej deinstalacji tych adware (co usuwa więcej niż OTL pokazuje) i dopiero po deinstalacji weryfikacja ile w OTL pozostało i na tej podstawie dobranie skryptu.

 

Po trzecie: jest tu ewidentnie zamontowany pakiet sterowników ATI (dlatego usuwanie wpisu O20 to błąd), aczkolwiek pliki ATI występowały tu w nieokreślonym kontekście "świeżego utworzenia" (a pozbawione markera producenta) i być może ich usunięcie było słuszne, ale nie do końca prawidłowe, bo pliki należało nadpisać czystą wersją.

 

[color=#E56717]========== Files/Folders - Created Within 30 Days ==========[/color]

 

[2007/08/29 21:41:44 | 000,135,168 | R--- | C] ( ) -- C:\WINDOWS\System32\ATIDEMGR.dll

 

[color=#E56717]========== Files Created - No Company Name ==========[/color]

 

[2004/08/03 23:14:30 | 000,211,072 | ---- | C] () -- C:\WINDOWS\System32\drivers\ndis.sys

[2004/08/03 22:59:44 | 000,040,960 | ---- | C] () -- C:\WINDOWS\System32\drivers\AtapiDrv.sys

[2004/08/03 15:35:14 | 000,086,016 | ---- | C] () -- C:\WINDOWS\System32\ati2evxx.dll

[2004/07/17 11:36:38 | 000,027,440 | ---- | C] () -- C:\WINDOWS\System32\drivers\secdrv.sys

[2001/08/17 23:47:36 | 000,040,960 | ---- | C] () -- C:\WINDOWS\System32\drivers\beep.sys

 

Zważ też na to, że podanie w sekcji OTL wpisu do usuwania niszczy także plik figurujący w tym zapisie, więc nie ma potrzeby powtarzać się w sekcji Files, oraz nie jest to dobry sposób na eliminację wpisów, które są nieszkodliwe i mają być tylko wyłączone bez niszczenia pliku (piję tu do wpisu PowerDVD, którego plik niestety został usunięty).

 

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\LanguageShortcut deleted successfully.

C:\Program Files\CyberLink\PowerDVD\Language\Language.exe moved successfully.

 

 

2. W kwestii:

 

podmieniłem beep.sys i ndis.sys (obydwa ze złej wersji systemu, wiec sieci nie mam, i tego drugiego czegoś chyba też nie.. ogólnie windows jest tu jakiś przyprawiany/przerobiony, wyglada bardziej jak Vista, ale jakoś znajde te pliki..)

 

Zamiast brać pliki z niepasującego Windows wystarczy przecież pobrać paczkę instalatora SPx, odpowiednio to rozpakować wg dwóch stopni i masz komplet plików do podmiany. Zmieniony wygląd systemu nie powinien mieć tu nic do rzeczy, te dwa pliki nie biorą udziału w tych modyfikacjach. Aczkolwiek tu ten system i tak czeka obowiązkowa aktualizacja do stanu SP3, co powinno podmienić kluczowy plik ndis.sys. Toteż ręczne sztukowanie pliku można sobie darować.

 

 

3. Oceniając wynikowy obraz z ostatniego układu logów nadal do usunięcia są pewne rzeczy, prócz odpadków po niedokładnym usuwaniu adware i bezplikowych już zapisów w Shell i Taskman, są nadal na dysku dwa pliki trojanów AtapiDrv.sys i SystemHelper.exe (ma dla zmyłki marker MS, ale to nie jest plik Microsoftu). AtapiDrv.sys to trojan kojarzony z kradzieżami haseł (KLIK / KLIK).

 

 

***************************************************

 

Zbierając to wszystko do kupy:

 

1. Do wykonania skrypt o następującej zawartości:

 

:Reg

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Taskman"=-

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Shell"=-

[-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ShoppingReport]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZangoSA]

 

:Files

C:\WINDOWS\System32\drivers\AtapiDrv.sys

C:\WINDOWS\System32\SystemHelper.exe

C:\Documents and Settings\All Users\Dane aplikacji\ZangoSA

C:\Documents and Settings\All Users\Dane aplikacji\2ACA5CC3-0F83-453D-A079-1076FE1A8B65

C:\Documents and Settings\Administrator\Dane aplikacji\WeatherDPA

 

 

2. Uzupełnianie zaistniałych braków: Przeinstaluj ATI Catalyst z nowego instalatora pobranego wprost od producenta. Podobnie postąp z Foobar2000. O ile się nie pośpieszyłeś za bardzo i nie uruchomiłeś w OTL funkcji Sprzątanie, da się z kwarantanny C:\_OTL wyciągnąć także plik PowerDVD i wstawić na miejsce: C:\Program Files\CyberLink\PowerDVD\Language\Language.exe. Podobnie z autoexec.bat.

 

3. Przeskanuj system przy udziale Malwarebytes' Anti-Malware. Przypuszczalnie on jeszcze poznajduje elementy adware.

 

4. Wykonaj czyszczenie obszarów tymczasowych przez TFC - Temp Cleaner oraz czyszczenie folderów Przywracania systemu.

 

5. Dodatkowo, w związku z opisami tyczącymi grup z AtapiDrv.sys, po usuwaniu dla pewności pozmieniaj wszystkie hasła.

 

6. Nałóż zabezpieczenia Service Pack 3 + Internet Explorer 8. Instalacja przeglądarki niezależnie od tego czy jest ona w ogóle uruchamiana.

 

 

 

 

.

Odnośnik do komentarza

Ok, dzieki za pomoc, bo sprawa jest juz przedawniona... Temat do zamknięcia. Ale bede do niego wracał i postaram sie działąć rozważniej... choc czas jest zawsze czynnikiem, niestety, dość ważnym.

 

PS. a to co kombinowałęm z win2000 wygladalo tak: wyjmuje dysk z kompa w którym normalnie pracuje i podpinam na powiedzmy interface usb do innego (winxp) i dorzucam uprawnienia do dostepu dla konta z tego xp (przypuszczam ze jakies livecd by rzecz załatwilo, ale akurat wieszało sie przy bootowaniu). w tej pozycji zrobiłem scandisc i zabezpieczyłem troche danych, system potem wstał w orginalnym kompie wiec grzebanie SVI nie było potrzebne (i znów czas gonił). Wiem - google, doczytać na temat tego jak w tablicy NTFS lub w rejestrach stoją uprawnienia i w czym zaszłaby zmiana pernamentna i czy by sie cos nadpisało... przepraszam za zawracanie głowy ;p To był taki... impuls...

Edytowane przez picasso
Jak rozumiem, temat mogę zamknąć ... //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...