Wylęgarnia rootkitów i komputer w agonalnym stanie

[bpm]

Dobry wieczór,

 

komputer, ze tak powiem jest w stanie agonalnym i temat moim zdaniem zahacza o kilka działów dlatego będzie dość dużo opisane przeze mnie. System zainstalowany to Windows Vista.

 

Zacznę od samego momentu uruchomienia. Pierwsza zauważona nieprawidłowość jest taka, że nie chce startować z płyty, mimo że w BIOS wszystko jest ustawione prawidłowo- Uwaga - dzieje się tak tylko wtedy kiedy do płyty głównej podpięty jest dysk twardy. Zaraz po teście POST przed pojawieniem się ekranu bootowania jest info:

 

Veryfing DMI Pool Data

 

i po kilku sekundach uruchamia się dalej. Kiedy odepnę dysk, startuje normalnie z płyty tak jak jest to ustawione w BIOS.

 

Druga rzecz jest taka, że ktoś próbował zainstalować system od nowa ale mu się nie udało, ponieważ do wyboru jest Instalator oraz Windows Vista. Ten pierwszy uruchamiał się najpierw, by po chwili wyświetlić BSOD. Nawet wybierając opcje uruchomienia Visty, nie było szansy uruchomić systemu, ponieważ po kilku sekundach od wyświetlenia ekranu logowania następował restart. Z tym sobie poradziłem rozwiązaniem ze strony Microsoft.

 

Kolejna zauważona rzecz, na początku kilka razy podczas uruchomienia, a teraz już za każdym razem (przed ekranem bootowania) wyświetla się dziwne okno "Karty przywracania" z informacją:

 

"W buforze pozostało mniej niż 10% wolnej przestrzeni. Zaleca się przywrócenie danych lub zapisanie zmian."

 

Następna sprawa jest taka, że system staruje bardzo długo, tzn po ekranie bootowania mija jakieś 10 min zanim pojawi się ekran logowania. W międzyczasie jeden jedyny raz po uruchomieniu pojawił się BSOD 0x00008610

 

System uruchomiony, działa bardzo bardzo wolno, na zwykłe podświetlenie ikony trzeba czekać najmniej 30 s. Skany jakie przeprowadziłem to standardowo MBAM, który nic nie wykazał oraz TDSSKiller, który wyświetlił ponad 300 infekcji. To samo pokazuje Gmer już podczas uruchamiania, na czerwono infekcje jednak skanu nie udało mi się przeprowadzić z powodu braku czasu (skan trwał około 4 godzin i nie zakończył się). Jeżeli potrzeba wykonam skan Gmer-em w dniu jutrzejszym.

 

Tymczasem bardzo proszę o analizę logów:

 

OTL

Extras

TDSSKiller

[diox]

Ja tylko skomentuję sprawę hardware:

958,83 Mb Total Physical Memory | 88,54 Mb Available Physical Memory | 9,23% Memory free

2,13 Gb Paging File | 1,08 Gb Available in Paging File | 50,54% Paging File free

1 GB dla Vista to zdecydowanie za mało. Pomyśl o rozszerzeniu pamięci RAM o przynajmniej 2 GB.

A co do GMER-a: zrób z niego log, on może skanować i kilkanaście godzin, jeśli log się powiększa to narzędzie pracuje, daj mu skończyć.

[bpm]

No to mamy problem, bo dziś po pół godzinie skanu pojawił się BSOD: 0x00000050 z info, że plik pxldqpow.sys (na moje oko infekcja) powoduje problem. Skanuję go od nowa tym razem w awaryjnym. Jeżeli przeskanuje się normalnie wkleję log.

 

A co do RAM'u w sumie 1GB to minimalne wymagania dla Visty, więc powinno chodzić jako tako. Przekażę Twoją sugestię i właściciel zdecyduje co z tym zrobić oraz czekam na dalsze porady i info

 

EDIT: O dziwo w awaryjnym skan już się zakończył, pewnie dlatego, że w awaryjnym nie wszystko jest uruchamiane Oto log, do pobrania ponieważ rozmiar jest zbyt duży i na wklej.org nie dało się do wrzucić.

 

GMER

[diox]

Teoretycznie 1 GB to minimum, ale:

88,54 Mb Available Physical Memory

Zostaje mniej niż 10 % wolnej pamięci. Dla Visty do normalnej pracy minimum to 2GB .

 

Co do błędu: to sterownik GMER-a, spróbuj wykonać log w trybie awaryjnym, a jak dalej będzie się wywalać, odznacz opcję IAT/EAT w ustawieniach GMER.

[picasso]

Natomiast moim zdaniem skany wyglądają na sfałszowane. Przecież praktycznie wszystkie sterowniki systemu są jako "Forged", a w GMER prawidłowe usługi jako "rootkit", co jest bardzo nieprawdopodobne. Taki skan może występować także wtedy, gdy są problemy innego rodzaju np. sprzętowe, a system ma nikłą responsywność. Tu bardziej zwracają uwagę inne rzeczy:

 

- W Dzienniku zdarzeń występują błędy uszkodzeń struktury plików:

 

Error - 2013-02-24 05:43:12 | Computer Name = K0X | Source = Ntfs | ID = 262199
Description = Struktura systemu plików na dysku jest uszkodzona i nie do użytku.
Uruchom
 narzędzie chkdsk na woluminie D:.
 
Error - 2013-02-24 05:43:12 | Computer Name = K0X | Source = Ntfs | ID = 262199
Description = Struktura systemu plików na dysku jest uszkodzona i nie do użytku.
Uruchom
 narzędzie chkdsk na woluminie DDD.

 

- Mieszanka komponentów. W logu widać niespójność, część komponentów startuje z C (C:\Windows, C:\Program files, C:\Users), a część z D (D:\Users), która prawdopodobnie jest konsekwencją nieudanej próby instalacji systemu:

 

Druga rzecz jest taka, że ktoś próbował zainstalować system od nowa ale mu się nie udało, ponieważ do wyboru jest Instalator oraz Windows Vista. Ten pierwszy uruchamiał się najpierw, by po chwili wyświetlić BSOD. Nawet wybierając opcje uruchomienia Visty, nie było szansy uruchomić systemu, ponieważ po kilku sekundach od wyświetlenia ekranu logowania następował restart. Z tym sobie poradziłem rozwiązaniem ze strony Microsoft.

 

Moim zdaniem tu się rysuje format dysku + czysta instalacja systemu. Wypnij ten dysk twardy i obrób go z poziomu innego komputera: sprawdź skan powierzchni, usuń z niego wszystkie partycje, załóż nowe, spróbuj ten dysk wpiąć z powrotem w celu zainstalowania systemu.

 

 

 

 

.

[bpm]

Natomiast moim zdaniem skany wyglądają na sfałszowane.

 

Powiem tak, ja jak zobaczyłem ten komputer pierwszy raz i co pokazuje np TDSSKiller, byłem bardzo zdziwiony. Z drugiej strony nie ma się co dziwić, że coś jest nie tak kiedy użytkowników jest co najmniej 50, bo to komputer ze szkolnej biblioteki.

 

Moim zdaniem tu się rysuje format dysku + czysta instalacja systemu. Wypnij ten dysk twardy i obrób go z poziomu innego komputera: sprawdź skan powierzchni, usuń z niego wszystkie partycje, załóż nowe, spróbuj ten dysk wpiąć z powrotem w celu zainstalowania systemu.

 

Sprawdzałem już dysk za pomocą MHDD. Nie pisałem o tym, ale uruchomiłem go sposobem, najpierw odpiąłem taśmę sygnałową dysku, następnie wystartowałem z płyty Hiren's Boot CD, podpiąłem taśmę sygnałową i uruchomiłem skan MHDD, który nie znalazł błędów. Co do instalowania systemu, trzeba sprawdzić czy mają oryginalny nośnik do tego, naklejkę jakiś mądry zdarł do połowy.

 

EDIT: Wracam do tematu. Stała się rzecz dla mnie mało zrozumiała. Poszukałem, poczytałem i za wszystko odpowiedzialna jest karta przywracania - m.in. za to, że mimo ustawienia w BIOS startu z płyty, karta i tak wymusza start z partycji C:\. Natomiast podczas startu wybrałem opcję przywracania z karty przywracania i komputer po 2 minutach uruchomił się normalnie. Na ten moment wygląda tak jakby działał normalnie, nie wiesza się, nie muli, włącza się i wyłącza normalnie.

 

Pytanie za 100 punktów - do którego momentu karta przywracania przywróciła system? Nie mam zielonego pojęcia, bo niby wszystko to co było to jest. Jednak dla mnie ta karta, to pic na wodę - czytałem instrukcję do niej gdzie pisze, że nie można zainstalować SP1, nie można zainstalować aktualizacji, kontrola konta jest wyłączona.

 

Dalej. Po uruchomieniu zrobiłem skan za pomocą TDSSKiller, który o dziwo tym razem nie pokazał nic. Gmer po uruchomieniu wyświetlił 1 info, że system był modyfikowany dlatego wykonam za chwilę skan raz jeszcze, może tym razem wyniki nie będą sfałszowane. Oto nowe logi:

 

Gmer

OTL

Extras

 

Co do samego dysku to testowałem go na innym kompie, działa prawidłowo, nie ma żadnych błędów.

 

Jeżeli natomiast system ma być od nowa stawiany/przywracany dlatego że:

 

część komponentów startuje z C (C:\Windows, C:\Program files, C:\Users), a część z D (D:\Users), która prawdopodobnie jest konsekwencją nieudanej próby instalacji systemu

 

mam kilka pytań, które nadają się już do innego działu. Tak jak pisałem wyżej, ten komputer jest używany w szkolnej bibliotece. Naklejka z licencją jest do połowy zdarta jednak klucz jest.

[picasso]

EDIT: Wracam do tematu. Stała się rzecz dla mnie mało zrozumiała. Poszukałem, poczytałem i za wszystko odpowiedzialna jest karta przywracania - m.in. za to, że mimo ustawienia w BIOS startu z płyty, karta i tak wymusza start z partycji C:\. Natomiast podczas startu wybrałem opcję przywracania z karty przywracania i komputer po 2 minutach uruchomił się normalnie. Na ten moment wygląda tak jakby działał normalnie, nie wiesza się, nie muli, włącza się i wyłącza normalnie.

 

Pytanie za 100 punktów - do którego momentu karta przywracania przywróciła system? Nie mam zielonego pojęcia, bo niby wszystko to co było to jest. Jednak dla mnie ta karta, to pic na wodę - czytałem instrukcję do niej gdzie pisze, że nie można zainstalować SP1, nie można zainstalować aktualizacji, kontrola konta jest wyłączona.

 

Nie wiem o jakiej Ty "karcie" mówisz, bo są tu dziwne treści. EDIT: W związku z następnym postem treść od czapy chowam do spoilera.

 

 

 

Wg nazwy funkcji zdaje się, że widziałeś to: KLIK

 

- "Karta": Karta to tylko dostęp graficzny do funkcji Przywracanie systemu. Nie ma związku ze sprawą, funkcja wywołana stamtąd owszem.

- "Wymusza start z C": Nie, dyski w oknie nie mają nic wspólnego z sekwencją rozruchu, a już zwłaszcza z BIOS. Dysk C to jest dysk objęty Ochroną systemu, tzn. jest monitorowany pod kątem tworzenia punktów Przywracania systemu dla tego dysku. Domyślne ustawienie wszystkich Windows od Vista w górę.

- "Niezrozumiałe": Cofnąłeś cały system wstecz, zrzucając poprzednią postać rejestru + plików na dysku. Cały Windows został cofnięty w czasie. Jak działa Przywracanie systemu w systemach Vista w górę (w odróżnieniu od cherlawego XP): zrzucany jest cień woluminu, czyli mógł się naprawić i obszar rozruchowy Windows oraz błędy struktury plików.

- "Do którego momentu": To tylko Ty możesz wiedzieć, bo Ty to przywracałeś. Tylko tyle wiadomo:

- SP1: cofnąłeś system do punktu sprzed instalacji SP i innych łat (to normalne = Przywracanie degraduje wszystko co zainstalowane po punkcie przywracania do którego wybrano cofanie), dlatego go teraz nie ma, a "pic na wodę" to w XP a nie Vista w górę. Problemy instalacji aktualizacji to zupełnie inny temat, a do diagnostyki tego potrzebne są inne dane (zestaw błędów aktualizacji + raporty nagrane w C:\Windows\Logs\CBS).

 

 

 

 

Jedna uwaga: jest tu zainstalowany program rodzicielski Opiekun, który m.in. ingeruje w łańcuch sieciowy Winsock (filtrowanie komunikacji). To może być problem przykładowo przy aktualizacji z Windows Update (problemy już na etapie pobierania).

 

 

Oto nowe logi:

 

W logach nic ciekawego. Są tylko drobne szczątki, ale to tak mikre, że nie ma żadnego znaczenia dla rozwiązania głównych problemów i usuwanie jest jedynie "kosmetyką widoku". Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKU\S-1-5-21-237548459-4144426783-4178481243-500\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "http://isearch.avg.com/search?cid={3E1EED8C-1DF2-4C65-B039-D87D10EF9E93}&mid=c6fc3ec1351d47d0859ed1530b178c8c-9b397cef63be8df86ae16951eb750ea71dc7ac37&lang=pl&ds=xn011&pr=sa&d=2012-09-20 11:36:59&v=14.2.0.1&pid=avg&sg=&sap=dsp&q={searchTerms}"
O3 - HKU\S-1-5-21-237548459-4144426783-4178481243-500\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\S-1-5-21-237548459-4144426783-4178481243-500\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found.
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt. Po tym Sprzątanie. I tyle.

 

 

Gmer po uruchomieniu wyświetlił 1 info, że system był modyfikowany dlatego wykonam za chwilę skan raz jeszcze, może tym razem wyniki nie będą sfałszowane. Oto nowe logi:

 

To raczej żaden rootkit. Na forum były tematy, a tu przykład: KLIK, detekcji przez GMER takich obiektów na zupełnie nieaktualizowanych Vista, a objawy ustąpiły po instalacji wszystkich Service Packów. U Ciebie ten sam stan fatalnej "aktualizacji":

 

Windows Vista Business Edition  (Version = 6.0.6000) - Type = NTWorkstation
Internet Explorer (Version = 7.0.6000.16546)

 

Owszem, Przywracanie systemu zdegradowało status SP, było wcześniej:

 

Windows Vista Business Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstation
Internet Explorer (Version = 7.0.6001.18000)[

 

... co i tak było za mało (dla Vista najwyższy SP2 + kupa łat po).

 

 

.

[bpm]

Nie wiem o jakiej Ty "karcie" mówisz, bo są tu dziwne treści.

 

Mówię o takiej karcie przywracania wpiętej w slot PCI:

 

Karta przywracania

 

Uruchamiała się zaraz po teście POST i Veryfing DMI Pool Data. A jak to wyglądało proszę bardzo:

 

 

 

po czym nic nie robiąc system startował dalej, bardzo wolno, był zamulony i pokazywał fałszywe wyniki. Dziś natomiast po przeczytaniu info wybrałem opcję przywracania czyli nr 9. Jestem zdziwiony bo pierwszy raz z takim czymś miałem do czynienia.

 

Efekt opisałem wyżej, po 2 minutach system wystartował, "odmulił" się i tak jak pisałem nie mam pojęcia do którego momentu się przywrócił. To było zrobione z tej Karty przywracania, nie z normalnego Punktu przywracania systemu, przywracanie systemu jest wyłączone.

 

Zacytuję teraz kilka istotnych kwestii z info jakie dostałem, napisane przez Pana z firmy Koncept:

 

"Na wszystkich komputerach należy zablokować automatyczne aktualizacje"

 

"Sugerujemy na razie nie instalować SP1 dla Visty, ponieważ pojawiają się kłopoty z systemem operacyjnym."

 

"Ustawienie Kontrola konta użytkownika jest wyłączone i tak ma zostać, alerty zabezpieczeń systemu Windows będą nam sugerować włączenie tej opcji, ale wtedy zarówno przeglądanie pulpitów czytelników przez użytkownika, jak również korzystanie z profili skanowania, nie będzie działać zgodnie z oczekiwaniami."

 

"W naszej konfiguracji jest to osobna Karta Przywracania umieszczona w slocie PCI, która współpracuje ze sterownikiem zainstalowanym w systemie Windows. Jeżeli jednak dojdzie do tego, że ktoś postanowił wyjąć ją ze slotu PCI, to powinno się to poprzedzić jej programowym odinstalowaniem."

 

"Jeżeli nie można wystartować komputera z samouruchamiających się CD/DVD. Domyślne ustawienia Karty Przywracania wymuszają stan, w którym komputer startuje tylko z dysku C:, niezależnie od wcześniejszych ustawień w BIOS-ie"

 

"Jak sobie skutecznie zaszkodzić? Wyjąć Kartę Przywracania ze slotu PCI bez jej uprzedniego odinstalowania. Ten element jest głęboko wbudowany w system obsługi plików - programowao i sprzętowo, wyjęcie karty ze slotu rozbija system."

 

I tak to właśnie wygląda. Dla mnie ta cała Karta Przywracania to jedna wilka kicha. Nic nie można zrobić i system jest niezabezpieczony, więc nie dziwota że coś się dzieje.

[picasso]

Nigdy nie widziałam takiego dostosowanego systemu przywracania na karcie sprzętowej. Nie jestem w stanie nic powiedzieć na ten temat. Ale to mi wyjaśnia rolę tego sterownika, bo zastanawiałam się co on robi:

 

DRV - [2007-10-28 09:43:18 | 000,014,848 | ---- | M] () [Kernel | Boot | Running] -- C:\Windows\System32\drivers\DiskPws.SYS -- (diskpws)

 

Oraz skutki w systemie. System miał zainstalowany SP1, czyli pewnie konflikt ze sterownikiem karty i te wszystkie "rootkity" + inne felery to pochodna. To rzeczywiście lipa:

 

"Sugerujemy na razie nie instalować SP1 dla Visty, ponieważ pojawiają się kłopoty z systemem operacyjnym."

 

Tu się kończy moja interwencja.

 

 

PS. A temat przenoszę do działu Vista.

 

 

.

[bpm]

Nigdy nie widziałam takiego dostosowanego systemu przywracania na karcie sprzętowej. Nie jestem w stanie nic powiedzieć na ten temat.

 

Ja właśnie też, dlatego byłem bardzo zdziwiony kiedy zobaczyłem okno Karty Przywracania i samą kartę. A jak dostałem "instrukcję" i zacząłem czytać, to byłem w lekkim szoku.

 

Oczywiście zasugeruję pozbycie się tego. Mam jeszcze pytanko, co sugerujesz w jednym i drugim przypadku, tzn po wyjęciu tej karty i bez jej wyjmowania? Wykonanie skryptu w OTL + instalację SP, czy może lepiej jest instalować system od nowa? Dodam tylko, że taki komputer jest jeszcze jeden, ale tamten w ogóle już nie startuje.

[picasso]

Skłaniam się do postawienia systemu od zera.

- Nie mam pojęcia co to za punkty przywracania z karty i jaki stan faktyczny przywracają (system teraz działa, ale...). Wynikowe logi sugerują, że to coś nie zrzuca obrazu systemu tylko cofa stan podobnie do systemowego Przywracania.

- System wykazuje archaiczne cechy: stare sterowniki, stare programy, brak aktualizacji.

Szybciej + porządniej pójdzie od zera...

 

 

.

[bpm]

Też byłbym za tym, ale jeszcze jedno pytanko. Jak to jest z instalacją z płyty: Windows Vista Business Recovery Media 32bit version? Można instalować czy nie bardzo?

 

Niby jest opcja instalacji po starcie z płyty ale na płycie jest info:

 

"Oprogramowanie na tym DVD-ROM zostało uprzednio zainstalowane przez producenta na Twoim twardym dysku i nadaje się do użycia tylko w celu zapewnienia bezpieczeństwa i odnowienia systemu zakupionego w ACTION S.A."

[picasso]

Nie jestem pewna, ale opis płyty raczej potwierdza, że jest to pełny instalator. Dla porównania: mam laptop Della firmowo wyposażony w Vista Ultimate, z partycją Recovery na dysku twardym, ale otrzymałam też nośnik instalacyjny pod nazwą "Reinstallation DVD", opisany podobną manierą "The software is already installed on your computer. Only use this DVD to reinstall the operating system on a Dell PC" i jest to pełny instalator systemu, co więcej nie ma zintegrowanych programów dodatkowych Della.

 

Wejdź na płycie do katalogu Sources, czy jest tam kilkugigowy plik install.wim? Jeśli tak = pełna instalacja.

 

 

.

[bpm]

Jest taki plik. Czyli instalować można? Chcę mieć 100% pewności, że jest to w pełni legalne

[picasso]

Jeśli to płyta dołączona do tego komputera, to nie widzę podstaw do rozważań o legalności.

[bpm]

Ok, super. Zastanawiam się jeszcze nad antywirusem, w pierwszym logu widzę, że był (Eset Nod32), natomiast w drugim już go nie ma. Skoro wszystko jest legalne pewnie maja gdzieś tą licencję, a jeśli nie to chyba pozostanie skontaktować się z producentem.

Tymczasem dziękuję za pomoc oraz info, jak widać nie jedno potrafi nas zaskoczyć Myślę, żeby nie zamykać tego tematu jeszcze, będę na bieżąco informować o postępach.

 

EDIT: System został zainstalowany na czterech identycznych komputerach, wszystko chodzi. Były co prawda problemy z automatyczną instalacją SP1 z Windows Update, ale problem rozwiązała poprawka KB947821 i ręczna instalacja SP1.

 

EDIT2: Chciałbym wrócić do tematu ponieważ mam jeszcze jedno pytanie. Komputery używane są w szkolnej bibliotece, program opiekun ucznia stracił licencję, natomiast Kontroli Rodzicielskie w Windows Vista Business brak. Szukałem sporo na ten temat jednak mam wątpliwości, jedni piszą że można ja doinstalować gdzie indziej pisze, że nie można.

 

W związku z tym jak to jest naprawdę, można doinstalować ją do systemu czy jedynie istnieje możliwość skorzystania z programu Bezpieczeństwo rodzinne Windows Live 2011?

 

Po tym temat jest do zamknięcia.