Rootkit, wyłączony antywirus i inne zabezpieczenia

[xennon]

Witam drogich specjalistów.

 

Przedstawiam dolegliwości kompa:

 

ESET NOD32 jest wyłączony i raportuje, że ma uszkodzony moduł i żeby przeinstalować go. Wykrywa też rootkita w pamięci. Przy próbie naprawy antywirusa wyskakuje błąd systemowy i nie idzie naprawić. Wszelkie zabezpieczenia systemowe i aktualizacje są wyłączone. Załączam wymagane logi. Przy uruchomieniu gmera wyskoczył dodatkowo błąd, stąd załączam zrzut błędu. Kolejny zrzut już z wynikiem pokazuje opcje, które mogłem zaptaszkować dla pełnego skanu (nie dało się wszystkich).

 

Pozdrawiam!

gmer_log.txt

gmer_log_quick.txt

OTL.Txt

Extras.Txt

[picasso]

Siedzi tu rootkit Necurs, którego jedna z ról to blokada oprogramowania zabezpieczającego.

 

1. Uruchom ESET Necurs Remover. Zresetuj system.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
SRV - [2013-01-24 20:33:09 | 000,057,344 | ---- | M] () [Auto | Stopped] -- C:\Documents and Settings\Kozakiewicz\Ustawienia lokalne\temp\DAT1318.tmp.exe -- (jmsmxofeftaqfvj)
SRV - [2013-01-24 20:33:01 | 000,061,440 | ---- | M] () [Auto | Running] -- C:\WINDOWS\Installer\{A9A1DCF2-B263-0A66-5B7C-844D3B4A108B}\syshost.exe -- (syshost32)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\VBoxNetFlt.sys -- (VBoxNetFlt)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\tifm21.sys -- (tifm21)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\KOZAKI~1\USTAWI~1\Temp\catchme.sys -- (catchme)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\t -- (aksusb)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\akshhl.sys -- (akshhl)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\akshasp.sys -- (akshasp)
O3 - HKU\S-1-5-21-3859823971-3261552694-948437020-1006\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.
O3 - HKU\S-1-5-21-3859823971-3261552694-948437020-1006\..\Toolbar\WebBrowser: (no name) - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No CLSID value found.
O4 - HKU\S-1-5-21-3859823971-3261552694-948437020-1006..\Run: [AML] C:\Documents and Settings\All Users\Dane aplikacji\c0a378\AMc0a_2121.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-21-3859823971-3261552694-948437020-1006\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-21-3859823971-3261552694-948437020-1006\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} "http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB" (Reg Error: Key error.)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab" (Reg Error: Key error.)
 
:Files
C:\WINDOWS\System32\drivers\qstr.sys
C:\WINDOWS\Installer\{A9A1DCF2-B263-0A66-5B7C-844D3B4A108B}
C:\Documents and Settings\All Users\Dane aplikacji\c0a378
c:\Documents and Settings\Kozakiewicz\Ustawienia lokalne\temp
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

3. Odinstaluj stare Ad-Aware.

 

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras) oraz log z GMER, ale po usunięciu DAEMON Tools i okropnie archaicznych jego sterowników:

 

DRV - [2003-12-27 20:42:12 | 000,137,216 | ---- | M] ( ) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\d344bus.sys -- (d344bus)
DRV - [2003-12-27 02:38:10 | 000,005,248 | ---- | M] ( ) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\d344prt.sys -- (d344prt)

 

Dołącz log z usuwania OTL powstały w punkcie 2.

 

 

.

[xennon]

Załączam nowe logi. Tym razem GMER już miał wszystko zaptaszkowane. ESET wykrywa mi jeszcze trojany w system restore (rozumiem, że mam usunąć punkty przywracania systemu?) oraz w system startup (inne trojany).

OTL - 02232013_171829.txt

OTL.Txt

gmer2.txt

[picasso]

Tym razem GMER już miał wszystko zaptaszkowane.

 

Ustały czynności Necurs, dlatego.

 

 

ESET wykrywa mi jeszcze trojany w system restore (rozumiem, że mam usunąć punkty przywracania systemu?) oraz w system startup (inne trojany).

 

Czyszczenie folderów Przywracania systemu na końcu, tu jeszcze odbywają się akcje. Natomiast nie jest dla mnie jasne o co chodzi z "w system startup" = przeklej te wyniki.

 

Sterownik Necurs pomyślnie wyłączony, teraz można go usunąć.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
DRV - [2013-01-24 20:34:05 | 000,059,776 | ---- | M] () [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\drivers\328283668ce358b1.sys -- (328283668ce358b1)
[2012-11-25 16:01:15 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\tmp
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt.

 

2. Przedstaw do oceny tylko log z usuwania, nowy skan OTL nie jest potrzebny.

 

 

.

[xennon]

Załączam log z OTL i wyeksportowany events log z NOD32. Chodzilo mi pewnie o to, że to "startup scanner" wykrył tego trojana (pierwsza pozycja). Chyba już jest ok, bo dzisiaj jak uruchamiam już to żadnych ostrzeżeń.

Przeklejam fragment loga z NODa:

 

<ESET>
- <LOG>
- <RECORD>
- <COLUMN NAME="Time">
 <DATE>2013-02-23</DATE>
 <TIME>23:48:41</TIME>
 </COLUMN>
 <COLUMN NAME="Scanner">Startup scanner</COLUMN>
 <COLUMN NAME="Object">file</COLUMN>
 <COLUMN NAME="Name">C:\WINDOWS\System32\Drivers\328283668ce358b1.sys</COLUMN>
 <COLUMN NAME="Threat">a variant of Win32/Rootkit.Kryptik.SO trojan</COLUMN>
 <COLUMN NAME="Action">cleaned by deleting - quarantined</COLUMN>
 <COLUMN NAME="User" />
 <COLUMN NAME="Information" />
 </RECORD>
- <RECORD>
- <COLUMN NAME="Time">
 <DATE>2013-02-23</DATE>
 <TIME>18:30:41</TIME>
 </COLUMN>
 <COLUMN NAME="Scanner">Real-time file system protection</COLUMN>
 <COLUMN NAME="Object">file</COLUMN>
 <COLUMN NAME="Name">C:\System Volume Information\_restore{38427997-5773-4E21-8FD7-5F2325D63EF5}\RP447\A0142986.exe</COLUMN>
 <COLUMN NAME="Threat">a variant of Win32/Kryptik.ATEG trojan</COLUMN>
 <COLUMN NAME="Action">cleaned by deleting - quarantined</COLUMN>
 <COLUMN NAME="User">ZARZĄDZANIE NT\SYSTEM</COLUMN>
 <COLUMN NAME="Information">Event occurred on a file modified by the application: C:\WINDOWS\system32\svchost.exe.</COLUMN>
 </RECORD>

OTL-02242013_153114.txt

[picasso]

Chodzilo mi pewnie o to, że to "startup scanner" wykrył tego trojana (pierwsza pozycja). Chyba już jest ok, bo dzisiaj jak uruchamiam już to żadnych ostrzeżeń.

 

I dlatego skrypt OTL nie przetworzył sterownika Necurs (oznaczony jako nieistniejący). Między skanem OTL a wykonaniem skryptu wszedł w paradę ESET i usunął sterownik. Rychło w czas, jak już co innego go zdeaktywowało. Możemy przejść do finalizacji:

 

1. Porządki po narzędziach: w OTL uruchom Sprzątanie, usuń ESET Necurs Remover.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Ważne aktualizacje. Do usunięcia wszystkie stare wersje Adobe / Java / Macromedia / Firefox, aktualizacja Opery, Skype i Office 2010 (instalacja SP1): KLIK. Wg raportu masz oprogramowanie z lukami, niektóre wersje tak stare, że szok:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0456ebd7-5f67-4ab6-852e-63781e3f389c}" = Macromedia Flash Player
"{26A24AE4-039D-4CA4-87B4-2F83216023FF}" = Java™ 6 Update 23
"{3248F0A8-6813-11D6-A77B-00B0D0150000}" = J2SE Runtime Environment 5.0
"{AC76BA86-7AD7-1033-7B44-A81300000003}" = Adobe Reader 8.1.5
"{E633D396-5188-4E9D-8F6B-BFB8BF3467E8}" = Skype™ 5.1
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)
"Mozilla Firefox (3.0.19)" = Mozilla Firefox (3.0.19)
"Office14.PROPLUS" = Microsoft Office Professional Plus 2010
"Opera 11.61.1250" = Opera 11.61

 

Uwaga dodatkowa: para Gadu-Gadu 7.7 (stare, słabo zabezpieczone, niezdolne obsłużyć własną sieć) + Tlen.pl (program nierozwijany i porzucony przez firmę). Zainteresuj się nowoczesną alternatywą WTW: KLIK.

 

4. Prewencyjnie wymień hasła logowania w serwisach.

 

 

 

.

[xennon]

Dziękuję bardzo

Zaupdate'uję w wolnej chwili soft. Lapek jest bardzo stary, używany tylko do przeglądania sieci oraz office'a przez laika, stąd trochę zaniedbany. Powinienem go raz na jakiś czas wziąć, poinstalować łatki itp

 

Pozdrawiam i życzę milego dnia!