Rookit, którego nie daje rady usunąć AVG

nologin · 30 Maja 2013

Skanowałem ostatnio cały system i AVG wykrył mi rookity na kompie. Dałem opcje, żeby je usunął. Zrestartowałem komputer, przeskanowałem znowu i rookity dalej są. Przy okazji po restarcie okazało się, że coś stało się Kerio Personal Firewall i musiałem go instalować od nowa, żeby problem zniknął. Zrobiłem analizę za pomocą HijackThis i nie wykrył nic szczególnie podejrzanego. Zaniepokoiło mnie jedynie, że wg jego logów nie mam włączonego żadnego antywirusa, podczas gdy AVG działał podczas tworzenia loga.

Załączam wymagane logi, log z HijackThis, to co wykrył AVG oraz powiadomienie o problemie z Kerio

Gmer.txt

OTL.Txt

Extras.Txt

hijackthis.txt

byku81 · 30 Maja 2013

Nie znam się za bardzo ale wydaje mi się że jest to fałszywy alarm avg a kolega próbuje na siłę usunąć sterownik od Kerio firewall

picasso · 30 Maja 2013

Brak oznak infekcji w stanie czynnym. Są tylko drobne historyczne ślady podpinania zainfekowanych urządzeń USB:

O33 - MountPoints2\{cf1fc7b5-56a6-11e2-9a52-000b6ab89bbe}\Shell\AutoRun\command - "" = jxqevly.exe
O33 - MountPoints2\{cf1fc7b5-56a6-11e2-9a52-000b6ab89bbe}\Shell\explore\Command - "" = jxqevly.exe
O33 - MountPoints2\{cf1fc7b5-56a6-11e2-9a52-000b6ab89bbe}\Shell\open\Command - "" = jxqevly.exe

Usuń to oraz inne szczątki i tyle w zakresie czyszczenia. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]

:OTL
O3 - HKU\S-1-5-21-842925246-515967899-1606980848-1003\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found.
[2013-01-16 21:31:57 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software
[2012-12-25 23:10:39 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Rodzinka\Dane aplikacji\kmpmediatoolbar

:Commands
[emptytemp]

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

Skanowałem ostatnio cały system i AVG wykrył mi rookity na kompie. Dałem opcje, żeby je usunął. Zrestartowałem komputer, przeskanowałem znowu i rookity dalej są. Przy okazji po restarcie okazało się, że coś stało się Kerio Personal Firewall i musiałem go instalować od nowa, żeby problem zniknął.

Problem został stworzony poprzez błędną ocenę tego co mówi AVG. To co wykrył AVG (hooki sterownika fwdrv.sys), czyli to co widzi GMER pod postacią:

---- System - GMER 2.1 ----

SSDT            \SystemRoot\system32\Drivers\fwdrv.sys        ZwClose [0xA98BDD1E]
SSDT            \SystemRoot\system32\Drivers\fwdrv.sys        ZwCreateFile [0xA98BD62B]
SSDT            \SystemRoot\system32\Drivers\fwdrv.sys        ZwCreateProcess [0xA98BDC92]
SSDT            \SystemRoot\system32\Drivers\fwdrv.sys        ZwCreateProcessEx [0xA98BDC17]
SSDT            \SystemRoot\system32\Drivers\fwdrv.sys        ZwCreateSection [0xA98BD713]

---- Devices - GMER 2.1 ----

AttachedDevice  \Driver\Tcpip \Device\Ip                      fwdrv.sys
AttachedDevice  \Driver\Tcpip \Device\Tcp                     fwdrv.sys
AttachedDevice  \Driver\Tcpip \Device\Udp                     fwdrv.sys
AttachedDevice  \Driver\Tcpip \Device\RawIp                   fwdrv.sys

... to nie jest rootkit tylko prawidłowe czynności nie czego innego a Kerio (sterownik fwdrv.sys jest sterownikiem Kerio). Oprogramowanie zabezpieczające prowadzi modyfikacje, które mogą być błędnie interpretowane przez konkurencyjne oprogramowanie. Konsekwencje naruszenia poprawnych funkcji to dysfunkcja Kerio, nic dziwnego, że wymagał reinstalacji. W skrócie: zignoruj co mówi AVG. To co jednak trzeba zrobić to czym prędzej odinstalować Kerio, ale z innych powodów, toż to padlina sprzed 10 lat:

========== Services (SafeList) ==========

SRV - [2003-04-30 16:43:32 | 000,389,120 | ---- | M] (Kerio Technologies) [Auto | Running] -- C:\Program Files\Kerio\Personal Firewall\PERSFW.exe -- (PersFw)

========== Driver Services (SafeList) ==========

DRV - [2002-04-15 12:28:32 | 000,102,912 | ---- | M] () [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\FWDRV.SYS -- (fwdrv)

To mit, że Kerio jest obecnie dobrą zaporą. Tak owszem było, ale 10 lat wcześniej. Aktualnie taki nieaktualizowany firewall jadący na przestarzałych dziurawych plikach nie jest odporny, dobra infekcja i tyle go widzieli. Należy zaopatrzyć się w nowoczesną zaporę (najlepiej z funkcjonalnością HIPS) a nie takie coś... Darmowe propozycje: PrivateFirewall, Online Armor Free, COMODO Firewall.

Zrobiłem analizę za pomocą HijackThis i nie wykrył nic szczególnie podejrzanego. Zaniepokoiło mnie jedynie, że wg jego logów nie mam włączonego żadnego antywirusa, podczas gdy AVG działał podczas tworzenia loga.

Nie rozumiem wypowiedzi na temat HijackThis versus AVG. Przedstaw co oceniałeś (mam nadzieję, że żaden automatyczny analizer nie był w obrotach, bo tym można sobie zaszkodzić). W HijackThis widać antywirusa, a to że go widać tylko częściowo to wina HijackThis. To narzędzie jest archaiczne, słabe i nie pokazuje bardzo wielu miejsc, które w obecnych czasach należy sprawdzić (m.in. sekcja sterowników, alternatywne przeglądarki). W pełni zastępuje go OTL (ma wszystkie identyfikatory HijackThis i o wiele więcej). Już od wielu lat tu na forum nikt w pożądnej analizie nie używa HijackThis.

.

nologin · 30 Maja 2013

Jestem mile zaskoczony szybkością odpowiedzi. Przy okazji wykonywania skryptu zostało usunięte ponad 4,5 GB różnych plików tymczasowych. Nawet nie podejrzewałem, że aż tyle może się tego nagromadzić.

Co do analizy za pomocą HijackThis, to zasugerowałem się postami z innych forów, gdzie polecali to jako narzędzie do wstępnej analizy. To, że antywirus jest nieaktywny powiedział mi analizator z tej strony

http://www.hijackthis.de/ gdzie wkleja się log z programu. Zainstalowałem też jako firewall Comodo.

Dziękuję za szybką pomoc.

picasso · 30 Maja 2013

Wykonaj czynności końcowe:

1. W OTL uruchom Sprzątanie, co skasuje z dysku i rejestru OTL.

2. Wyczyść foldery Przywracania systemu: KLIK.

3. Zaktualizuj wyliczone poniżej programy: KLIK. Wg raportu są tu wersje:

Internet Explorer (Version = 6.0.2900.5512)

========== HKEY_LOCAL_MACHINE Uninstall List ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83217010FF}" = Java 7 Update 11
"{32A3A4F4-B792-11D6-A78A-00B0D0170070}" = Java SE Development Kit 7 Update 7
"{60B2F25C-22CB-4CD9-9168-8C63708DC1A1}" = LibreOffice 3.6
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"ENTERPRISE" = Microsoft Office Enterprise 2007
"Mozilla Firefox 20.0.1 (x86 pl)" = Mozilla Firefox 20.0.1 (x86 pl)

FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files\Microsoft Silverlight\5.1.10411.0\npctrl.dll ( Microsoft Corporation)

Przy okazji wykonywania skryptu zostało usunięte ponad 4,5 GB różnych plików tymczasowych. Nawet nie podejrzewałem, że aż tyle może się tego nagromadzić.

Tę procedurę, tylko na własną rękę, możesz uruchamiać posługując się programem TFC - Temp Cleaner. Wykonuje identyczne akcje jak komenda [emptytemp] w skrypcie OTL. Autorem obu programów jest po prostu ta sama osoba.

To, że antywirus jest nieaktywny powiedział mi analizator z tej strony
http://www.hijackthis.de/ gdzie wkleja się log z programu.

Tak podejrzewałam, że użyłeś jakiś trefny automat. Analizer opowiada głupoty (i prawdopodobnie od dawna nie jest aktualizowany): nie zidentyfikował podstawowych wpisów antywirusa, ani nawet prawidłowego poziomu Service Pack systemu (jest tu zainstalowany najnowszy z możliwych SP3 + data pliku explorer.exe na 2008 potwierdza zgodność, a analizer twierdzi "A newer version of service pack is available."). Wycinam z raportu HijackThis wszystkie wpisy AVG, które mówią o tym, że antywirus jest czynny (procesy + usługi + wpis startowy):

Running processes:
C:\PROGRA~1\AVG\AVG2013\avgrsx.exe
C:\Program Files\AVG\AVG2013\avgcsrvx.exe
C:\Program Files\AVG\AVG2013\avgui.exe
C:\Program Files\AVG\AVG2013\avgidsagent.exe
C:\Program Files\AVG\AVG2013\avgwdsvc.exe
C:\Program Files\AVG\AVG2013\avgnsx.exe
C:\Program Files\AVG\AVG2013\avgemcx.exe
C:\Program Files\AVG Secure Search\vprot.exe
C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\14.2.0\ToolbarUpdater.exe
 
O2 - BHO: AVG Security Toolbar - {95B7759C-8C7F-4BF1-B163-73684A933233} - C:\Program Files\AVG Secure Search\14.2.0.1\AVG Secure Search_toolbar.dll
O3 - Toolbar: AVG Security Toolbar - {95B7759C-8C7F-4BF1-B163-73684A933233} - C:\Program Files\AVG Secure Search\14.2.0.1\AVG Secure Search_toolbar.dll
O4 - HKLM\..\Run: [vProt] "C:\Program Files\AVG Secure Search\vprot.exe"
O4 - HKLM\..\Run: [AVG_UI] "C:\Program Files\AVG\AVG2013\avgui.exe" /TRAYONLY
O18 - Protocol: viprotocol - {B658800C-F66E-4EF3-AB85-6C0C227862A9} - C:\Program Files\Common Files\AVG Secure Search\ViProtocolInstaller\14.2.0\ViProtocol.dll
O23 - Service: AVGIDSAgent - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG2013\avgidsagent.exe
O23 - Service: AVG WatchDog (avgwd) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG2013\avgwdsvc.exe
O23 - Service: vToolbarUpdater14.2.0 - Unknown owner - C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\14.2.0\ToolbarUpdater.exe

A teraz konfrontacja z tym co mówi OTL (więcej danych, bo jeszcze sterowniki programu i kilka innych miejsc rejestru pokazuje, a pasek AVG jest wykrywany także w Firefox):

========== Processes (SafeList) ==========

PRC - [2012-12-11 04:52:44 | 003,147,384 | ---- | M] (AVG Technologies CZ, s.r.o.) -- C:\Program Files\AVG\AVG2013\avgui.exe
PRC - [2012-11-16 00:34:30 | 005,814,904 | ---- | M] (AVG Technologies CZ, s.r.o.) -- C:\Program Files\AVG\AVG2013\avgidsagent.exe
PRC - [2012-10-30 05:59:56 | 000,726,648 | ---- | M] (AVG Technologies CZ, s.r.o.) -- C:\Program Files\AVG\AVG2013\avgrsx.exe
PRC - [2012-10-22 14:05:08 | 000,196,664 | ---- | M] (AVG Technologies CZ, s.r.o.) -- C:\Program Files\AVG\AVG2013\avgwdsvc.exe
PRC - [2012-10-22 14:04:32 | 001,116,792 | ---- | M] (AVG Technologies CZ, s.r.o.) -- C:\Program Files\AVG\AVG2013\avgnsx.exe
PRC - [2012-10-22 14:03:52 | 000,796,792 | ---- | M] (AVG Technologies CZ, s.r.o.) -- C:\Program Files\AVG\AVG2013\avgemcx.exe
PRC - [2012-10-22 14:03:46 | 000,440,440 | ---- | M] (AVG Technologies CZ, s.r.o.) -- C:\Program Files\AVG\AVG2013\avgcsrvx.exe
PRC - [2013-03-22 22:46:55 | 001,151,152 | ---- | M] () -- C:\Program Files\AVG Secure Search\vprot.exe
PRC - [2013-03-22 22:46:54 | 000,968,880 | ---- | M] () -- C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\14.2.0\ToolbarUpdater.exe
 
========== Modules (No Company Name) ==========

MOD - [2013-03-22 22:46:57 | 000,156,848 | ---- | M] () -- C:\Program Files\Common Files\AVG Secure Search\SiteSafetyInstaller\14.2.0\SiteSafety.dll
MOD - [2013-03-22 22:46:55 | 001,151,152 | ---- | M] () -- C:\Program Files\AVG Secure Search\vprot.exe
MOD - [2013-03-22 22:46:54 | 000,968,880 | ---- | M] () -- C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\14.2.0\ToolbarUpdater.exe

========== Services (SafeList) ==========
 
SRV - [2013-03-22 22:46:54 | 000,968,880 | ---- | M] () [Auto | Running] -- C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\14.2.0\ToolbarUpdater.exe -- (vToolbarUpdater14.2.0)
SRV - [2012-11-16 00:34:30 | 005,814,904 | ---- | M] (AVG Technologies CZ, s.r.o.) [Auto | Running] -- C:\Program Files\AVG\AVG2013\avgidsagent.exe -- (AVGIDSAgent)
SRV - [2012-10-22 14:05:08 | 000,196,664 | ---- | M] (AVG Technologies CZ, s.r.o.) [Auto | Running] -- C:\Program Files\AVG\AVG2013\avgwdsvc.exe -- (avgwd)
 
========== Driver Services (SafeList) ==========
 
DRV - [2013-03-22 22:46:57 | 000,033,112 | ---- | M] (AVG Technologies) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avgtpx86.sys -- (avgtp)
DRV - [2012-11-16 00:33:26 | 000,094,048 | ---- | M] (AVG Technologies CZ, s.r.o.) [File_System | Boot | Running] -- C:\WINDOWS\system32\drivers\avgmfx86.sys -- (Avgmfx86)
DRV - [2012-10-22 14:02:46 | 000,179,936 | ---- | M] (AVG Technologies CZ, s.r.o. ) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avgidsdriverx.sys -- (AVGIDSDriver)
DRV - [2012-10-15 04:48:52 | 000,055,776 | ---- | M] (AVG Technologies CZ, s.r.o. ) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\avgidshx.sys -- (AVGIDSHX)
DRV - [2012-10-02 04:30:38 | 000,159,712 | ---- | M] (AVG Technologies CZ, s.r.o.) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avgldx86.sys -- (Avgldx86)
DRV - [2012-09-21 04:46:06 | 000,164,832 | ---- | M] (AVG Technologies CZ, s.r.o.) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avgtdix.sys -- (Avgtdix)
DRV - [2012-09-21 04:46:00 | 000,177,376 | ---- | M] (AVG Technologies CZ, s.r.o.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\avglogx.sys -- (Avglogx)
DRV - [2012-09-21 04:45:54 | 000,019,936 | ---- | M] (AVG Technologies CZ, s.r.o. ) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avgidsshimx.sys -- (AVGIDSShim)
DRV - [2012-09-14 04:05:20 | 000,035,552 | ---- | M] (AVG Technologies CZ, s.r.o.) [File_System | Boot | Running] -- C:\WINDOWS\system32\drivers\avgrkx86.sys -- (Avgrkx86)

========== Standard Registry (SafeList) ==========

FF - HKLM\Software\MozillaPlugins\@avg.com/AVG SiteSafety plugin,version=11.0.0.1,application/x-avg-sitesafety-plugin: C:\Program Files\Common Files\AVG Secure Search\SiteSafetyInstaller\14.2.0\\npsitesafety.dll ()
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\avg@toolbar: C:\Documents and Settings\All Users\Dane aplikacji\AVG Secure Search\FireFoxExt\14.2.0.1 [2013-03-22 22:48:27 | 000,000,000 | ---D | M]
O2 - BHO: (AVG Security Toolbar) - {95B7759C-8C7F-4BF1-B163-73684A933233} - C:\Program Files\AVG Secure Search\14.2.0.1\AVG Secure Search_toolbar.dll ()
O3 - HKLM\..\Toolbar: (AVG Security Toolbar) - {95B7759C-8C7F-4BF1-B163-73684A933233} - C:\Program Files\AVG Secure Search\14.2.0.1\AVG Secure Search_toolbar.dll ()
O4 - HKLM..\Run: [AVG_UI] C:\Program Files\AVG\AVG2013\avgui.exe (AVG Technologies CZ, s.r.o.)
O4 - HKLM..\Run: [vProt] C:\Program Files\AVG Secure Search\vprot.exe ()
O18 - Protocol\Handler\viprotocol {B658800C-F66E-4EF3-AB85-6C0C227862A9} - C:\Program Files\Common Files\AVG Secure Search\ViProtocolInstaller\14.2.0\ViProtocol.dll ()
O34 - HKLM BootExecute: (C:\PROGRA~1\AVG\AVG2013\avgrsx.exe /sync /restart) 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Program Files\AVG\AVG2013\avgmfapx.exe" = C:\Program Files\AVG\AVG2013\avgmfapx.exe:*:Enabled:Instalator AVG -- (AVG Technologies CZ, s.r.o.)
"C:\Program Files\AVG\AVG2013\avgnsx.exe" = C:\Program Files\AVG\AVG2013\avgnsx.exe:*:Enabled:Ochrona Sieci -- (AVG Technologies CZ, s.r.o.)
"C:\Program Files\AVG\AVG2013\avgdiagex.exe" = C:\Program Files\AVG\AVG2013\avgdiagex.exe:*:Enabled:Diagnostyka AVG 2013 -- (AVG Technologies CZ, s.r.o.)
"C:\Program Files\AVG\AVG2013\avgemcx.exe" = C:\Program Files\AVG\AVG2013\avgemcx.exe:*:Enabled:Uniwersalny skaner poczty e-mail -- (AVG Technologies CZ, s.r.o.)

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{241DBC8D-14E3-4240-8EE5-3AC35086B638}" = AVG 2013
"{B3A1BF34-A336-450D-BC3E-3A854AD270A0}" = AVG 2013
"AVG" = AVG 2013
"AVG Secure Search" = AVG Security Toolbar

Moja rada jest taka, by nie posługiwać się takimi analizerami. Od zawsze byłam im przeciwna. Rzeczową analizę to może wykonać tylko żywy myślący człowiek. Jest wiele niuansów i pułapek, których nie potrafi wykryć automat.

Dodatkowa uwaga na temat AVG: antywirus to jedno, ale pasek AVG Security Toolbar to co innego. Ten pasek nie jest niezbędny i możesz się go pozbyć. Tu nawet nie jest pewne czy to była na pewno część instalacji AVG 2013, bo pasek ma nowsze daty niż reszta majdanu.

.

Zaloguj się

Rookit, którego nie daje rady usunąć AVG

Rekomendowane odpowiedzi

nologin

Odnośnik do komentarza

byku81

Odnośnik do komentarza

picasso

Odnośnik do komentarza

nologin

Odnośnik do komentarza

picasso

Odnośnik do komentarza

Ostatnio przeglądający 0 użytkowników

Przeglądaj

Cała aktywność