Wykryty rootkit i phishing

[TANGO]

Witam wszystkich na forum, ostatniego czasu miałem kilka dziwnych incydentów w systemie, a mowa o Windows 7 64bit. Malwarebytes kilkanaście dni temu wykrył rootkita, ale rzekomo go usunął, niestety nie potrafię podać jego nazwy. Wczoraj wszedłem na stronę

hxxp://www.muzeum.torun.pl

po czym po odblokowaniu NoScripta w firefoxie uruchomiła się java na chwilę i system się zawiesił, pomógł tylko restart(wtedy miałem jeszcze numerek przed najnowszą 6 update 22, po tym incydencie od razu zaktualizowałem do 22). Na XP identyczna sytuacja, ta sama strona zawiesiła komputer. Pod linuksem nic takiego nie miało miejsca, komputer działał normalnie. Po restarcie chciałem wejść na

http://www.gmail.com/

i KIS 2010 ostrzegł mnie, że to phishing, więc jak na razie się wstrzymałem z logowaniem. Będę wdzięczny za pomoc, dziękuję.

 

 

OTL

Extras

 

Wczoraj założyłem też temat na innym forum

http://forum.dobreprogramy.pl/wykryty-rootkit-phishing-t418419.html

 

Dodaję też raport z Kaspersky Virus Removal Tool

raport Kaspersky Virus Removal Tool.txt

[picasso]

1. W podanych raportach nie widzę żadnych znaków infekcji. Kosmetycznie, do usunięcia kwalifikuje się drobniutki szczątek po Ask Toolbar, zapis "not found" oraz pozostałości po Daemon Tools i Sophos Anti-rootkit:

 

O3 - HKLM\..\Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O4 - HKU\S-1-5-21-4064584008-1034617689-3381956415-1000..\Run: []  File not found
DRV:64bit: - File not found [Kernel | Disabled | Stopped] -- C:\Windows\SysNative\Drivers\sptd.sys -- (sptd)
DRV:64bit: - [2010-05-26 10:39:08 | 000,006,144 | ---- | M] (Sophos Plc) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\AF83.tmp -- (MEMSWEEP2)

Te odpadki możesz sobie usunąć np. w programie AutoRuns (odpowiednio karty: Internet Explorer, Logon, Drivers).

 

 

2. Odnosząc się do zgłoszeń z Dziennika zdarzeń:

 

Error - 2010-10-20 06:02:24 | Computer Name = PC_M | Source = Microsoft-Windows-CAPI2 | ID = 4107
Description = Failed extract of third-party root list from auto update cab at: 
 with error: A required certificate is not within its validity period when verifying
 against the current system clock or the timestamp in the signed file.

Metoda korekcyjna jest w artykule: KB2328240.

 

Error - 2010-10-03 06:43:41 | Computer Name = PC_M | Source = Service Control Manager | ID = 7016
Description = The NVIDIA Stereoscopic 3D Driver Service service has reported an 
invalid current state 0.

Popatrz w ten temat (ostatni post): KLIK. Dodatkowo, nie znam tu wersji sterowników NVidia, ale ta usługa wykazuje także i takie dewiacje: KLIK. Jeśli nie ma przeciwskazań, w Autoruns w karcie Services możesz wyłączyć tę usługę poprzez jej odptaszkowanie:

 

SRV - [2010-04-03 16:59:00 | 000,240,232 | ---- | M] (NVIDIA Corporation) [Auto | Running] -- C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe -- (Stereo Service)

 

3. Programu Spybot - Search & Destroy można się pozbyć z systemu. Nie ma pełnych dostosowań z Windows 7 64-bit, m.in. brak zgodności z Centrum zabezpieczeń, a także jest to aplikacja o słabszych predyspozycjach niż MBAM. Poza tym, masz już natywnie zintegrowany z systemem program zastępujący działanie Spybota = Windows Defender.

 

Malwarebytes kilkanaście dni temu wykrył rootkita, ale rzekomo go usunął, niestety nie potrafię podać jego nazwy.

 

Nie masz raportu z MBAM? Bez precyzyjnych wyników w ogóle nie można tego ocenić. Inna sprawa, że tu jest platforma 64-bity, a na takowej są limitowane możliwości implementacji prawdziwych rootkitów (z prawdziwego zdarzenia: kompatybilny z 64-bitami to rootkit w MBR). Nie mając wyników z MBAM nie wiemy, czy znalezisko było faktycznym rootkitem, czy nieczynnym obiektem, a może i fałszywym alarmem.

 

Po restarcie chciałem wejść na

http://www.gmail.com/

i KIS 2010 ostrzegł mnie, że to phishing, więc jak na razie się wstrzymałem z logowaniem.

 

W jaki sposób jest to sformułowane? Przeklej komunikat / pokaż zrzut ekranu z tego zjawiska.

 

Wczoraj wszedłem na stronę

hxxp://www.muzeum.torun.pl

po czym po odblokowaniu NoScripta w firefoxie uruchomiła się java na chwilę i system się zawiesił, pomógł tylko restart(wtedy miałem jeszcze numerek przed najnowszą 6 update 22, po tym incydencie od razu zaktualizowałem do 22). Na XP identyczna sytuacja, ta sama strona zawiesiła komputer.

 

Skoro dwa tak różne systemy Windows (i jeszcze bity rozbieżne) zareagowały podobnie, to logiczniejszym przypuszczeniem wydaje się, że nie jest to problem systemu (czyli potencjalnie infekcji) tylko właściwości tej strony (lub jej zderzenia z określoną wersją oprogramowania przeglądarki na Windows powieloną na obu systemach).

 

Dodaję też raport z Kaspersky Virus Removal Tool

 

Ten raport zgłasza Ci po prostu luki w oprogramowaniu i kieruje do biuletynów bezpieczeństwa. Masz zainstalowane nienajnowsze wersje tych aplikacji wykazujące opisaną podatność na atak:

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{70858C67-8761-4444-895A-0A8B2E9E144E}" = Opera 10.61
"ENTERPRISE" = Microsoft Office Enterprise 2007
"Mozilla Firefox (3.6.10)" = Mozilla Firefox (3.6.10)
"XnView_is1" = XnView 1.97.4

 

... a w owych biuletynach jest wskazane które wersje oprogramowania mają łatkę. Adresuj to o co prosi skaner: Opera 10.63 + XnView 1.97.8 + dla Office KLIK. Dodatkowo, co nie jest tu zgłoszone, jest już nowszy Lisek: Firefox 3.6.11.

 

 

 

 

.

[TANGO]

Dziękuję za podjęcie tematu, niestety będę poza domem do wtorku, więc jeżeli można to prosiłbym o nie zamykanie tematu do tego czasu, po przyjeździe wykonam Twoje zalecenia, dzięki picasso.

 

1. Nie udało mi się udnaleźć wszystkich wpisów w AutoRuns, te które usunąłem to ask toolbar i AF83.tmp, przy czym bezpośrednio w rejestrze pod Internet Explorer>Toolbar nadal znajduje mi wpis:

D4027C7F-154A-4066-A1AD-4243D8127440 co sugeruje, że ask dalej tam siedzi, tak? Tej pozostałości po sterowniku Daemon Tools też nie odnalazłem w AutoRuns.

 

2. Zrobione

 

3.

Nie masz raportu z MBAM? Bez precyzyjnych wyników w ogóle nie można tego ocenić. Inna sprawa, że tu jest platforma 64-bity, a na takowej są limitowane możliwości implementacji prawdziwych rootkitów (z prawdziwego zdarzenia: kompatybilny z 64-bitami to rootkit w MBR). Nie mając wyników z MBAM nie wiemy, czy znalezisko było faktycznym rootkitem, czy nieczynnym obiektem, a może i fałszywym alarmem.

 

OK. muszę się przyznać, bo trochę tę historię nagiąłem, MBAM wykrył rootkita ale było to na XP, nie na 7-ce, więc pomyślałem, że może rootkit miałby możliwość przejścia z jednej partycji systemowej na drugą podczas np. kopiowania plików między nimi? Dlatego podałem, że to na 7-ce mi go wykryło, XP nie używam na co dzień - przepraszam za zamieszanie picasso. Czy mogę podać tutaj dodatkowo logi z XP? - co oprócz OTL i Gmer'a?.

 

Poniżej screen z MBAM z XP 32bit

 

Co do phishingu, daję raport z KIS 2010, bo screena nie mam, już to nie występuje w tej chwili, nie wiem czemu, może to był jakiś fałszywy alarm.

 

Reszta zrobiona.

phishing KIS2010.txt

[TANGO]

Daję logi z Windows XP o których wspominałem kilka dni temu. W Gmerze nie da się zaznaczyć wszystkich opcji do skanowania, większość jest *wyszarzała*. W trybie awaryjnym są zaznaczone wszystkie ale każdorazowo po rozpoczęciu skanowania wylatuje BSOD, więc zamieszczam raport z RootRepeal:

OTL.Txt

Extras.Txt

ROOTREPEAL.txt

[Landuss]

Nie udało mi się udnaleźć wszystkich wpisów w AutoRuns, te które usunąłem to ask toolbar i AF83.tmp, przy czym bezpośrednio w rejestrze pod Internet Explorer>Toolbar nadal znajduje mi wpis:

D4027C7F-154A-4066-A1AD-4243D8127440 co sugeruje, że ask dalej tam siedzi, tak?

 

Wejdź w start >>> w polu szukania wpisz uruchom >>> regedit do klucza HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar i usuń tam ten ciąg jeśli będzie {D4027C7F-154A-4066-A1AD-4243D8127440}

 

Możesz też ewentualnie wyszukać w rejestrze tą wartość i usunąć.

 

Tej pozostałości po sterowniku Daemon Tools też nie odnalazłem w AutoRuns

 

Jest zawsze alternatywa - start >>> w pole szukania wpisujesz uruchom >>> cmd i wklepujesz SC DELETE sptd

 

 

W kwestii XP i tego "rootkita" co pokazujesz na obrazku z MBAM to fałszywy alarm. To sterownik Kasperskyego i są takie w logu dwa do pary:

 

DRV - File not found [Kernel | Unknown | Stopped] -- C:\WINDOWS\System32\DRIVERS\59242422.sys -- (59242422)

DRV - [2009-09-25 16:59:42 | 000,128,016 | ---- | M] (Kaspersky Lab) [Kernel | Unknown | Running] -- C:\WINDOWS\system32\drivers\59242421.sys -- (59242421)

 

Czyli nie należy się tym przejmować. Można zamontować skrypt usuwający drobne szczątki i to wykonaj. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
DRV - File not found [Kernel | Unknown | Stopped] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd)
DRV - File not found [Kernel | Unknown | Stopped] -- C:\DOCUME~1\On\LOCALS~1\Temp\catchme.sys -- (catchme)
DRV - File not found [Kernel | Unknown | Stopped] -- C:\WINDOWS\System32\DRIVERS\59242422.sys -- (59242422)
O2 - BHO: (no name) - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - No CLSID value found.
O2 - BHO: (no name) - {E33CF602-D945-461A-83F0-819F76A199F8} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found.
O3 - HKU\S-1-5-21-746137067-1078081533-1801674531-1003\..\Toolbar\WebBrowser: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found.
O4 - HKU\.DEFAULT..\RunOnce: [showDeskFix]  File not found
O4 - HKU\S-1-5-18..\RunOnce: [showDeskFix]  File not found
O4 - HKU\S-1-5-19..\RunOnce: [showDeskFix]  File not found
O4 - HKU\S-1-5-20..\RunOnce: [showDeskFix]  File not found
O20 - Winlogon\Notify\klogon: DllName - Reg Error: Value error. - Reg Error: Value error. File not found
O28 - HKLM ShellExecuteHooks: {4F07DA45-8170-4859-9B5F-037EF2970034} - Reg Error: Key error. File not found
 
:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
 
:Commands
[emptyflash]
[emptytemp]

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Logów żadnych już nie musisz pokazywać.

 

Na systemie XP zaktualizuj obowiązkowo IE do stanu Internet Explorer 8. Nawet jeśli nie korzystasz jest to wymagane.

 

 

 

[TANGO]

Rozumiem, że nie ma znaczenia to, że OTL podał te dwie identyczne ścieżki w dwóch różnych wersjach(małe i duże litery) i nie jest to podejrzane?

 

C:\WINDOWS\System32\DRIVERS\59242422.sys

C:\WINDOWS\system32\drivers\59242421.sys

 

Jeżeli to nic takiego to dziękuję Wam za pomoc

 

Pozdrawiam

TANGO

[picasso]

Jeszcze na chwilkę otwieram temat, by skomentować to na co nie uzyskałeś odpowiedzi:

 

Co do phishingu, daję raport z KIS 2010, bo screena nie mam, już to nie występuje w tej chwili, nie wiem czemu, może to był jakiś fałszywy alarm.

 

Stan: Zagrożenie    (zdarzenia: 4)    
2010-10-19 13:27:20    Zagrożenie    phishing    "http://www.gmail.com/favicon.ico"
2010-10-19 13:27:04    Zagrożenie    phishing    "http://www.gmail.com/"
2010-10-19 18:44:02    Zagrożenie    phishing    "http://gmail.com/favicon.ico"
2010-10-19 18:44:00    Zagrożenie    phishing    "http://gmail.com/"

 

Tak, to był fałszywy alarm. Jest to błąd w bazie anti-phishingowej Kasperskiego i problem jest omawiany tu: KLIK. Aktualizacja baz Kasperskiego + wyczyszczenie cache przeglądarek rozwiązuje sprawę. Skoro przestało się to u Ciebie pojawiać, zostały spełnione te warunki.

 

Rozumiem, że nie ma znaczenia to, że OTL podał te dwie identyczne ścieżki w dwóch różnych wersjach(małe i duże litery) i nie jest to podejrzane?

 

drivers i DRIVERS = to samo, Windows to platforma ignorująca wielkość liternictwa. Przy okazji, nie widać tu żadnego Kasperskiego zainstalowanego, więc ten zapis też powinien wyjechać z rejestru (był tu usuwany tylko ten poszkodowany po akcji MBAM):

 

DRV - [2009-09-25 16:59:42 | 000,128,016 | ---- | M] (Kaspersky Lab) [Kernel | Unknown | Running] -- C:\WINDOWS\system32\drivers\59242421.sys -- (59242421)

 

 

 

.

[TANGO]

Dziękuję za wyczerpujące wyjaśnienie picasso.

 

Pozdrawiam

TANGO