Skocz do zawartości

Witamy na forum Fixitpc.pl
Aktualnie przeglądasz stronę jako gość. Jeżeli posiadasz już konto, zaloguj się - w przeciwnym wypadku zarejestruj konto. Rejestracja jest darmowa, prosta i umożliwia pełny dostęp do funkcji forum.
Zdjęcie

Diagnostyka: infekcje typu rootkit


  • Zamknięty Temat jest zamknięty
3 odpowiedzi w tym temacie

#1
picasso

picasso

    Administrator

  • Administratorzy
  • 36700 postów
  • Skąd:Holandia

Tworzenie raportów z poziomu startującego Windows:



Raport z GMER nie jest już obowiązkowy od lipca 2017.




Tylko na prośbę moderatora (proszę nie załączać, o ile nie padnie taka prośba):

Czynności przed uruchomieniem skanu anty-rootkit:Lista skanerów anty-rootkit:Dodatkowe czynności dla systemów XP po ukończeniu skanu GMER:


Programy przestarzałe / nierozwijane:

Spoiler


Copyright @picasso fixitpc.pl Powielanie tej pracy zabronione.
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu.

#2
picasso

picasso

    Administrator

  • Administratorzy
  • 36700 postów
  • Skąd:Holandia

Oprogramowanie emulujące napędy



Przy diagnozowaniu systemu pod kątem infekcji rootkit nie powinny istnieć w systemie obiekty, które mogą kolidować z diagnostyką. Do tej kategorii należy oprogramowanie emulujące napędy, które powinno zostać wyeliminowane z systemu poddawanemu sprawdzaniu i ewentualnemu leczeniu (o ile zdiagnozowana infekcja). Oprogramowanie tego typu bazuje na sterownikach i posługuje się elementami para-rootkit. Konkretny rodzaj / nazwy sterowników mogą się różnić, w zależności od wersji aplikacji. Przykładowe oprogramowanie wchodzące w interferencję:
  • Active ISO Burner (jeśli wybrano typ instalacji "Complete" i ręcznie zatwierdzono instalację SPTD)
  • Alcohol 52% i 120%
  • AstroBurn
  • DAEMON Tools
  • StarBurn (jeśli instalowano emulator)
Oprogramowanie emulujące ma negatywny wpływ na analizę problemu, pracę narzędzi diagnostycznych związanych z detekcją ingerencji rootkit (przede wszystkim GMER), usuwanie infekcji: fałszuje wyniki pracy narzędzi (sugeruje infekcję gdy jej nie ma / zaciemnia obraz gdy ona rzeczywiście jest), może uniemożliwić ich uruchomienie (GMER podczas uruchomienia zwraca błąd lub występuje niebieski ekran śmierci), utrudnić wymianę sterownika rozpoznanego jako zainfekowany czystą kopią. Dlatego przed wygenerowaniem logów z GMER proszę wykonać te kroki:



Preferowana metoda - całkowite usunięcie z systemu oprogramowania tego typu:

Kolejność musi być następująca: odinstalowanie danego programu > odinstalowanie sterownika SPTD. Odwrotna spowoduje niemożność deinstalacji programu. Przykładowo Alcohol pozbawiony sterownika SPTD zwróci następujący błąd podczas próby deinstalacji:
appuninstall2.png


.
.
1. Deinstalacja programu:

Pierwszy krok polega na zwyczajnym odinstalowaniu danego programu poprzez Panel sterowania i aplet usuwania programów. Jeśli nie ma tam wejścia danego programu, deinstalatora szukać w Menu Start lub w katalogu aplikacji w Program Files. Ten proces usuwa podstawowe elementy oprogramowania, ale nie usuwa sterownika SPTD.

Programy Alcohol oraz starsze edycje DAEMON Tools nie są wyliczanie w Panelu sterowania, deinstalatory są w Menu Start.



appuninstall1.png
.
.
2. Deinstalacja sterownika SPTD:

Uzupełniający krok to wyeliminowanie z systemu sterownika SPTD (SCSI Pass Through Direct) przy udziale narzędzia SPTDinst, które pełni równocześnie funkcje instalatora i deinstalatora. Narzędzie jest od czasu do czasu aktualizowane, kieruję do ogólnej strony skąd zawsze są dostępne aktualne wersje:

button.png

Są dwie linie sterownika i należy pobrać plik pasujący do danego systemu:

Sterownik SPTD 2.x w Windows 10 - Dla systemów 32-bit SPTD2inst-v2...-x86.exe, zaś dla systemów 64-bit SPTD2inst-v2...-x64.exe.

sptduninstall2.png

Sterownik SPTD 1.x w Windows XP, Vista, Windows 7, Windows 8/8.1 - Dla systemów 32-bit SPTDinst-v1...-x86.exe, zaś dla systemów 64-bit SPTDinst-v1...-x64.exe.

sptduninstall1.png
.
.
Pobrane narzędzie uruchamiamy przez dwuklik. Na systemach Vista do Windows 10 należy potwierdzić dialog UAC:

sptduninstall3.png

Błąd "nie jest prawidłową aplikacją systemu win32" podczas próby uruchomienia oznacza niekompletne pobranie pliku. Notowalna prawidłowość z przeglądarką Internet Explorer. Należy ponowić pobieranie pliku do skutku lub użyć innej przeglądarki.



Jeśli narzędzie wykryje sterownik, zostanie uaktywniona opcja Uninstall, którą należy wykorzystać:

sptduninstall4.png

Pojawi się dialog potwierdzania operacji:

sptduninstall5.png

A następnie komunikat o konieczności zresetowania komputera (co należy wykonać):

sptduninstall6.png

3. Samo działanie sterownika zostało zdjęte i jego typ startu jest przekonfigurowany na wyłączony, więc użytkownik może przejść do wytwarzania logów. W/w procedura nie usuwa klucza tego sterownika z rejestru. W tematach i tak zajmuję się usuwaniem tego w specjalnych skryptach, więc proszę się nie martwić tym.

Spoiler

.
.
Jeśli zaistnieje problem przy wykonaniu powyższych poleceń, tzn. nie można odinstalować z jakiś względów programu emulującego a deinstaller SPTD nie wykrywa takiego sterownika (służy on do usuwania tego konkretnego obiektu a nie innych sterowników oprogramowania emulującego, a może się też zdarzyć jakiś problem detekcji), należy mimo wszystko wykonać obowiązkowe logi i zgłosić się na forum z prośbą o pomoc.



Alternatywna przestarzała metoda - tymczasowe wyłączenie sterowników:

Instrukcja przesunięta do spoilera. Narzędzie jest stare i nie adresuje nowych wersji aplikacji oraz najnowszej wersji sterownika SPTD 2.x w Windows 10. Na tym systemie sterownik nie zostanie wykryty, więc proszę skorzystać z poprzedniej metody.



Spoiler

.

Przywracanie oprogramowania po ukończeniu czyszczenia systemu:

Uwaga: zagrożenie instalacjami adware/PUP, rozwiń spoiler poniżej. Więcej informacji: Portale z oprogramowaniem / Instalatory - na co uważać.


 
Spoiler

.

Copyright @picasso fixitpc.pl Powielanie tej pracy zabronione.
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu.

#3
picasso

picasso

    Administrator

  • Administratorzy
  • 36700 postów
  • Skąd:Holandia

Tylko na prośbę moderatora (proszę nie załączać, o ile nie padnie taka prośba)




GMER

Platforma: Windows XP, Vista, Windows 7, Windows 8/8.1, Windows 10 RTM 32-bit i 64-bit

Strona domowa

Proszę kliknąć bezpośrednio w poniższy button numer jeden w poście:

button.png button.png button.png

Każdorazowy klik generuje plik EXE o innej nazwie. Jest to zalecana wersja o charakterystyce losowej. Proszę mieć na uwadze, że obecnie są infekcje reagujące na słowo "gmer" i skutecznie blokujące pobranie i uruchomienie programu. Niestety nie da się tego uniknąć, musiałyby zostać usunięte wszystkie hasła "gmer" i odnośniki. Proszę nie pobierać wersji wynalezionych gdzieś na Google, czy linkowanych w portalach oprogramowania.





Przygotowanie prawidłowego podłoża do uruchomienia programu:

Sterownik + procedury skanujące wywoływane przez aplikację mogą wejść w kolizję z innym oprogramowaniem, które stosuje techniki niskopoziomowego dostępu / wykazuje aktywność rootkit-podobną. Widocznym znakiem może być: zawieszenie programu, jego natychmiastowe zamykanie się z błędem, fatalny niebieski ekran śmierci (na komputerach z zaznaczoną opcją auto-resetu BSOD zostanie przykryty samoresetem komputera).

Wirtualne napędy (Alcohol / DAEMON i podobne): Ten typ albo całkowicie uniemożliwia uruchomienie GMER, a jeśli nawet zdoła on wykonać zadanie, wynikowy log jest zaciemniony i prawdziwa infekcja może być ukryta "pod" działaniem tego softu. Niezbędnym jest usunięcie tego na czas diagnostyki. Szczegółowy opis eliminacji jest zlokalizowany w powyżej. Niezależnie od tego co się danemu użytkownikowi wydaje, powinien sprawdzić dokładnie czy przypadkiem nie ma w systemie czynnej emulacji. Znam takich, którzy zapewniali, że odmontowali lub nie posiadają wcale. Logi wykazały coś wręcz przeciwnego. Należy zwrócić uwagę, że prosta deinstalacja danego oprogramowania nie usuwa sterownika SPTD i może pozostać on w formie czynnej, zresztą sterownik ten to nie jedyna możliwość w obszarze sterowników emulacji.

Należy maksymalnie zredukować liczbę pracujących w tle procesów, w tym wyłączyć oprogramowanie zabezpieczające typu antywirus / firewall etc. Wprawdzie te akcje nie zdejmą określonych aktywności w sposób całkowity, ale w tym przypadku trudno jest namawiać użytkownika, by deinstalował wszystko z systemu.



Pierwsze uruchomienie / konfiguracja programu / zapis raportu:

1. Pobrany wcześniej plik EXE uruchamiamy przez dwuklik.

gm1.png

Windows 10 - Vista: wymagany tryb administracyjny i potwierdzenie dialogu UAC.

gm2.png

2. Aplikacja otwiera się automatycznie w karcie Rootkit/Malware. Inicjuje się automatycznie pre-skanowanie, o formie skróconej. Proszę cierpliwie przeczekać ten etap. Niezależnie od tego czy okno finałowe będzie puste, czy pojawi się w nim określony odczyt, czy będzie zgłoszenie o rootkicie, należy wywołać kompletne skanowanie systemu - patrz na punkt 3. Wielu użytkowników na forum zakańcza zadanie z GMER na tym etapie, silnie zasugerowanych, że pojawiło się coś w oknie, ergo jest to wynik końcowy. Wyniki z wstępnego skanowania mogą być rozbieżne od wyników skanowania pełnego.

gm3.png


Przy komunikacie o obecności rootkita, proszę nie podejmować żadnych akcji dezynfekcyjnych. Wyniki muszą zostać zweryfikowane!



3. Przed uruchomieniem skanu pełnego należy zweryfikować ustawienia skanera (patrz na powyższy obrazek). Proszę zostawić wszystko na domyślnej konfiguracji i nie zmieniać układu proponowanego domyślnie. Tzn.:
  • Wszystkie boxy od pozycji "System" do "Pliki" + "ADS" powinny być zaptaszkowane. Opcja "Pokaż wszystko" powinna pozostać odptaszkowana i zszarzona w takiej konfiguracji.
  • W sekcji dysków twardych domyślnie będzie zaznaczony tylko dysk systemowy (tu w przykładzie C:). Przy obecności większej ilości dysków pozostałe są odptaszkowane i proszę ich nie nie zaznaczać. Interesuje nas tylko partycja systemowa. Zaznaczenie wszystkich dysków spowoduje też potworne wydłużenie się skanowania, bez widocznych benefitów w "rozszerzonym raporcie".
4. Po upewnieniu się w kwestii prawidłowości ustawień należy kliknąć w buttonik Szukaj. Rozpocznie się skanowanie właściwe zobrazowane przez zmieniające się lokalizacje na spodzie okna GMER i zamianę buttonika Szukaj w Stop:

gm4.png

W zależności od dostępnych zasobów systemowych, rozległości skanowanego dysku, oraz innych czynników skanowanie może długo trwać (nawet kilka godzin). Proszę cierpliwie czekać, zostawić system "na bezczynności" dopóki GMER wykazuje objawy życia. Znakiem ukończenia skanowania jest zmiana buttonika "Stop" w "Szukaj". Wynikowa zawartość okna może być znacznie szersza niż z początkowego pre-skanowania:

gm5.png

Jeżeli wśród obiektów wystąpi zjawisko rootkit, korespondujące wyniki zostaną zamalowane na czerwono, a GMER w osobnym okienku to ogłosi:

gm7.png


Przy komunikacie o obecności rootkita, proszę nie podejmować żadnych akcji dezynfekcyjnych. Wyniki muszą zostać zweryfikowane!



4. Po ukończeniu skanu należy wybrać buttonik Kopiuj. Pojawi się poniższy komunikat. Log jest w schowku. CTRL+V do Notatnika (lub posta), by zachować / wkleić wyniki.

gm6.png


Wielu użytkowników nie czyta tego fragmentu i się dziwi, że nie może dołączyć raportu (błąd załączników "Nie masz uprawnień..."). Jest dobrana opcja Kopiuj i ręczny zapis do pliku *.TXT a nie Zapisz tworząca plik o rozszerzeniu *.LOG zabroniony w załącznikach forum.






W przypadku wystąpienia trudności:

1. Jeżeli GMER przechodzi pomyślnie preskan, ale nie jest możliwe wykonanie skanowania pełnego, proszę umieścić w poście skopiowane wyniki preskanu, o ile wynik jest inny niż puste okno.

2. Na okoliczność zawieszeń programu / wystąpień błędów / BSOD pomocna może się okazać redukcja procesów, to znaczy próba uruchomienia programu z poziomu Trybu awaryjnego Windows. Należy jednak zwrócić uwagę, że raport powstały z poziomu Trybu awaryjnego może nie wykazać wszystkich aktywności rootkit (to zależy jeszcze od typu infekcji).

Kilku użytkowników zgłosiło mi problem obciętego okna GMER w Trybie awaryjnym (obrazek). Nie udało mi się zreprodukować tego efektu (zapewne coś do rzeczy ma określona rozdzielczość ekranowa), ale było to dawno temu już raz przeze mnie rozwiązywane. Powinna metoda działać i dziś. Należy posłużyć się narzędziem ResizeEnable i za jego pomocą wymusić rozciągnięcie okna GMER, by uwidocznić buttoniki. Zmiana jest sesyjna, zachodzi tylko podczas działania narzędzia ResizeEnable.

3. Jeżeli w ogóle jest niemożliwe uruchomienie GMER, dobierzemy alternatywę.

W temacie z prośbą o pomoc należy dokładnie opisać wszelkie dewiacje / trudności w uruchamianiu GMER.



Copyright @picasso fixitpc.pl Powielanie tej pracy zabronione.
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu.

#4
picasso

picasso

    Administrator

  • Administratorzy
  • 36700 postów
  • Skąd:Holandia

Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP):


Podczas skanu zbyt długa odpowiedź kontrolera dysku może doprowadzić do przypadkowego obniżenia szybkości transferu dysku z DMA do PIO. Skutkiem ubocznym PIO jest bardzo powolny start (nawet do kilku minut!) i praca systemu, wysokie obciążenie mimo braku widocznych procesów konsumujących zasoby oraz "trzeszczenie dźwięku". Jak sprawdzić tryb transferu dysku i skorygować go z PIO do DMA:

Start > Uruchom > devmgmt.msc

W menu Widok wybierz opcję Urządzenia według połączeń. W nowo posortowanym menedżerze rozwiń gałęzie zaczynając od "Komputer PC..." w dół szukając kontrolera IDE z Podstawowym i Pomocniczym kanałem IDE. Na jednym z nich jest zlokalizowany dysk twardy (napędy CD/DVD-ROM oraz kanały puste nas nie interesują). Zwykle, choć nie zawsze, będzie to Podstawowy kanał IDE.

Prawoklik na kanał IDE > Właściwości > karta Ustawienia zaawansowane > zweryfikuj linię Bieżący tryb transferu:

pio3.png

By naprawić usterkę, wystarczy z prawokliku odinstalować kanał na którym wykryto PIO i zresetować system.





Copyright @picasso fixitpc.pl Powielanie tej pracy zabronione.


Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu.




Użytkownicy przeglądający ten temat: 0

0 użytkowników, 0 gości, 0 anonimowych