Skocz do zawartości

Rootkit w komputerze - zmiany na serwerze


Rekomendowane odpowiedzi

Przepraszam za niespodziewany rym, ale tak właśnie wygląda sytuacja. Zaczęło się od zwolnienia pracy komputera. Wczoraj po raz pierwszy moim stronom na serwerze zostały zmienione pliki index.php - został dodany kod base64. Strony się przestały uruchamiać, a przy okazji dostało mi sie od użytkowników. W nocy wszystko zostało naprawione i działało chyba do pierwszego mojego albo uruchomienia komputera (trwa ponad 10 minut), albo zalogowania na serwerze. Znowu to samo. Pozmieniałem spowrotem na serwerzeserwisy z innego komputera, było krótko dobrze, znowu jest to samo. Ponieważ piszę z prawdopodobnie zainfekowanego komputera, zaraz go odłączam od sieci i spróbuję jeszcze raz.

Pozdrawiam załączając wymagane pliki

Dodam już z nowego komputera, że od wczoraj instalator przedstawiajacy się jako Rock Tools Development strasznie chciał coś zainstalować, ale trwało to tak długo, że musiałem go ubijać przez DW. Zmieniłem z powrotem pliki na serwerze i czekam na efekt.

 

Żeby nie było, że czekam na pomoc i nic nie robię to opiszę co robiłem:

- przeskanowałem komputer Kaspersky Virus Removal Tool - znalazł w plikach kopii serwisów złośliwy kod base64 - usunąłem go ręcznie. Nic w systemie i procesach nie znalazł

- Cureit - czysto

Wiem że dostanę po łapach ale nie wytrzymałem i uruchomiłem Combofix - i tu zonk - zainstalował konsolę, rozpoczął skanowanie i stanął - od ponad 2 godzin stoi na komunikacie, że skanowanie może się nieznacznie przedłużyć. Na początku dysk ostro pracował, teraz diodka pomryguje rytmicznie, ale nie przeszedł do następnych etapów. Dam mu jeszcze szansę, ale to nie jest chyba normalne.

OTL.Txt

gmer.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Witam ponownie.

Poprzednio miałem pecha trafiając na okres międzyświąteczny i mój temat pozostał bez odpowiedzi, więc musiałem sobie sam poradzić. Dlatego też proszę o analizę loga i wyrozumiałość co do sposobu wyboru i użycia narzędzi - poprostu leciałem po kolei z listy a poprzedni temat może już zamknąć?

 

W skrócie problem pojawił się gdy system zaczął pracować bardzo wolno i długo się uruchamiał. W tym samym czasie na moich stronach pojawiły się modyfikacje kodu w plikach index.php poprzez dodanie kodu base64. Nie jestem pewny czy można to powiązać, ale to już historia - pliki zmodyfikowałem, a serwisy zabezpieczyłem, pozostał mi tylko komputer. Stosowałem Cureit z płytki - trochę śmieci w archiwach, Kaspersky Virus Removal Tool - znalazł w plikach kopii serwisów złośliwy kod base64-usunięty ręcznie. Wcześniej gdy tylko zaczęło się coś dziać zaintstalowałem Comodo i skan nie wykazał NIC . Nawet nie jestem w stanie przypomnieć sobie co stosowałem, ważne, że w którymś momencie COMODO się obudził i usunął wirusa z c:\windows\explorer.exe. Od tego momentu system odżył, już nie uruchamia się 10 min, programy działają szybciej. A i zaczął działać menadżer zadań. Czy naprawdę jest już czysto???

 

Dręczy mnie temat braku możliwości skanowania mojego komputera przez Combofix. Pomimo wielu prób łącznie z odinstalowaniem DW i Comodo Combofix zatrzymuje się na informacji, że skanowanie może potrwać 10 min i nieznacznie dłużej. U mnie to nieznacznie trwało ponad 6 godzin bez efektu - lampka dysku wolno mrugała, ale loga nie było. Próbowałem z trybu awaryjnego i zwykłego, z zabiciem procesów przez OTH i rkill. Wolne skanowanie występuje również przy zastosowaniu OTL - kilka razy wykonał się w kilka minut, najczęściej trwa to ok. godziny. Problemy występowały też przy użyciu aswMBR-komunikat, że nie jest programen 32bit, mbr rootkit detector-nie otworzył się.

 

Załączam pierwszy log z OTL i gmera

gmerpierwszy.txt

OTLpierwszy.Txt

 

, oraz logi aktualne.

gmer.txt

OTLOstatni.Txt

ExtrasOstatni.Txt

 

COMODO - ostatnie skanowanie OK. Nie mam loga z usunięcia wirusa, bo po przeinstalowaniu zniknął.

Panda online - czysto parę cookie

Norton online - OK

Pozdrawiam

Odnośnik do komentarza

Oba tematy łączę. Post nie na temat stąd wypada.

 


GMER zrobiony w nieprawidłowych warunkach, czynny sterownik wirtualnych napędów SPTD KLIK. Wszystkie logi mają jego aktywność. Porównując logi z OTL z tym, to na pewno SPTD działał przy pierwszym zestawie, w drugim zestawie go już nie ma, ale skoro GMER nadal notuje te czynności, to pewnie był system po usunięciu SPTD bez restartu (sterownik nadal jest czynny w pamięci).

 

Żaden log z podanych nie wskazuje by była infekcja rzeczywista. Jedyne co widzę jako nieprawidłowe w najnowszym OTL, to brak sygnatury Microsoft dla tego pliku Windows:

 

O4 - HKU\.DEFAULT..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe ()

O4 - HKU\S-1-5-18..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe ()

O4 - HKU\S-1-5-21-1606980848-1078145449-1177238915-1005..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe ()

 

 

Wczoraj po raz pierwszy moim stronom na serwerze zostały zmienione pliki index.php - został dodany kod base64. Strony się przestały uruchamiać, a przy okazji dostało mi sie od użytkowników. W nocy wszystko zostało naprawione i działało chyba do pierwszego mojego albo uruchomienia komputera (trwa ponad 10 minut), albo zalogowania na serwerze. Znowu to samo. Pozmieniałem spowrotem na serwerzeserwisy z innego komputera, było krótko dobrze, znowu jest to samo.

 

Interesuje mnie czy w zakres pierwszej naprawy wchodziła wymiana wszystkich haseł dostępowych. Jeśli nie, samo czyszczenie zmodyfikowanych plików to za mało i jest spodziewany nawrót.

 

 

Zaczęło się od zwolnienia pracy komputera. (...) uruchomienia komputera (trwa ponad 10 minut)

 

Cóż, ja tu prędzej widzę spółkę COMODO + DefenseWall jako potencjalną przyczynę.

 

 

Wcześniej gdy tylko zaczęło się coś dziać zaintstalowałem Comodo i skan nie wykazał NIC . Nawet nie jestem w stanie przypomnieć sobie co stosowałem, ważne, że w którymś momencie COMODO się obudził i usunął wirusa z c:\windows\explorer.exe. Od tego momentu system odżył, już nie uruchamia się 10 min, programy działają szybciej. A i zaczął działać menadżer zadań. Czy naprawdę jest już czysto???

 

(...)

 

COMODO - ostatnie skanowanie OK. Nie mam loga z usunięcia wirusa, bo po przeinstalowaniu zniknął.

 

Brak raportu = To i nie można stwierdzić co to było i czy to było prawdziwe zagrożenie. Swoją drogą, nie jestem przekonana nawet czy to była w ogóle infekcja, a dlatego że: brak śladów infekcji, detekcja się pojawiła dopiero po stosowaniu narzędzi usuwających (których na dodatek nie potrafisz sobie przypomnieć), Comodo na początku nic nie notował, zaczął jak zacząłeś grzebać w systemie. Akcji z COMODO odpowiada z pierwszego posta log z GMER mający to:

 

---- Processes - GMER 1.0.15 ----

 

Library C:\Program (*** hidden *** ) @ C:\WINDOWS\Explorer.EXE [1984] 0x67080000

 

---- Threads - GMER 1.0.15 ----

 

Thread rundll32.exe [3176:3180 00080024

 

Tylko, że ten wynik w GMER jest nieczytelny (obcięte dane w raporcie) i tylko tyle mówi, że jakaś biblioteka ładowana do powłoki explorer.exe ze ścieżki C:\Program Files.... uzyskała status ukryty. Ten wynik nie jest jednoznaczny z infekcją rootkit. Takie wyniki są też prawdopodobne, gdy coś się wiesza. Jakoś wątpię by był to rootkit i jakakolwiek infekcja. COMODO nic nie udawania, bo jeśli moduł był zawieszony i COMODO go usuwał (traktując jako "ukryty"), skutki to będzie mieć pozytywne (bo załatwił jakiś program, a jaki to tu nie widać), a związku z infekcją brak.

 

Nawet rozważam czy tu przypadkiem owego "rootkita" nie wyprodukowały wspólnie DefanseWall z Comodo. Oba posiadają silne mechanizmy hookowania. Co więcej, mówisz coś takiego: "Nie mam loga z usunięcia wirusa, bo po przeinstalowaniu zniknął" = czyli mam rozumieć że na dokładkę była to reinstalacja COMODO? Nie wykluczam, że pewne sprawy rozwiązały się takim sposobem.... A różnicę widzę między logami, pierwszy ma COMODO GeekBudy, drugi nie.

 

 

A i zaczął działać menadżer zadań.

 

Menedżer zadań Ci nie działał z powodu ... Process Explorer (a nie żadnej infekcji). W pierwszym OTL stoi Debuger od niego:

 

O27 - HKLM IFEO\taskmgr.exe: Debugger - "C:\DOCUMENTS AND SETTINGS\WWW\PULPIT\PROCESSEXPLORER\PROCEXP.EXE" File not found

 

Nie zdjąłeś integracji z systemowym menedżerem w opcjach, stąd po usunięciu Process Explorer padł systemowy. Dla porównania temat: KLIK. Drugi log z OTL nie pokazuje już tego wpisu, więc wpis czymś usuwałeś ręcznie, dlatego menedżer został odblokowany.

 

 

Dręczy mnie temat braku możliwości skanowania mojego komputera przez Combofix.

 

Na to nic nie poradzę. ComboFix nie ma gwarancji, że będzie sprawnie przeprowadzał procedury na wszystkich konfiguracjach jak leci.

 

 

Problemy występowały też przy użyciu aswMBR-komunikat, że nie jest programen 32bit, mbr rootkit detector-nie otworzył się.

 

Tu mogą mieć coś do rzeczy DefenseWall i COMODO.

 

 

 

 

 

.

Odnośnik do komentarza
GMER zrobiony w nieprawidłowych warunkach, czynny sterownik wirtualnych napędów SPTD KLIK. Wszystkie logi mają jego aktywność. Porównując logi z OTL z tym, to na pewno SPTD działał przy pierwszym zestawie, w drugim zestawie go już nie ma, ale skoro GMER nadal notuje te czynności, to pewnie był system po usunięciu SPTD bez restartu (sterownik nadal jest czynny w pamięci).

Rzeczywiście pierwszy log był robiony bez usuniętego sterownika SPTD - w ostatnim na pewno był usuwany poprzez SPTDinst.

Interesuje mnie czy w zakres pierwszej naprawy wchodziła wymiana wszystkich haseł dostępowych. Jeśli nie, samo czyszczenie zmodyfikowanych plików to za mało i jest spodziewany nawrót.

Tak, hasła zostały zmienione, dodatkowo wprowadziłem parę modyfikacji.

Cóż, ja tu prędzej widzę spółkę COMODO + DefenseWall jako potencjalną przyczynę.
Nawet rozważam czy tu przypadkiem owego "rootkita" nie wyprodukowały wspólnie DefanseWall z Comodo. Oba posiadają silne mechanizmy hookowania. Co więcej, mówisz coś takiego: "Nie mam loga z usunięcia wirusa, bo po przeinstalowaniu zniknął" = czyli mam rozumieć że na dokładkę była to reinstalacja COMODO?
Tu mogą mieć coś do rzeczy DefenseWall i COMODO.

Comodo pojawił się po fakcie-najpierw było zwolnienie pracy i długie uruchamianie. Do tego czasu jechałem na DW bez antywirusa.

Gdy zaczęły się problemy z serwisami zainstalowałem Comodo i zrobiłem skan systemu - trwał b.długo i nic nie znalazł. Ponieważ już wiedziałem co siedzi w serwisach puściłem jeszcze skan Kasperskim i on znalazł to co w załączonym raporcie (przepraszam, że nie załączyłem go wcześniej ale się zawieruszył). skan kasperskivrt.txtTo nie zmieniło pracy systemu więc spróbowałem z Combofixem - jak wiesz bez skutku.

Ponieważ nie znam się tak jak ty widząc takie zapisy

 

---- Processes - GMER 1.0.15 ----

 

Library C:\Program (*** hidden *** ) @ C:\WINDOWS\Explorer.EXE [1984] 0x67080000

 

---- Threads - GMER 1.0.15 ----

 

Thread rundll32.exe [3176:3180 00080024

 

i nie lubiąc ukrytych procesów poszedłem po liście programów z forum. Wydaje mi się, że po HAxFix (zresztą podobnie jak Combofix nie zakończył skanu, ale przynajmniej dał się zamknąć bez restartu systemu) system ruszył i później w podglądzie zdarzeń COMODO zobaczyłem usunięcie explorer.exe.

Od tego momentu jest dobrze, ale ponieważ drażniła mnie sprawa niechodzącego Combofixa odinstalowałem Comodo i DW bo spodziewałem się, że to one nie pozwalają na skan. Nic to nie zmieniło, więc ponownie zainstalowałem te programy - stąd zginął mi log z poprzedniego COMODO i zmiany z GeekBudy.

Drażni mnie jeszcze sprawa różnych czasów jakie potrzebuje np. OTL na przeskanowanie systemu - z wyłączonym AV i DW robi skan na tych samych ustawieniach 10 min lub ponad godzinę - widać różnicę patrząc na wyświetlane procesy i pliki - raz migają a innym razem zmieniają sie b.wolno.

Menedżer zadań Ci nie działał z powodu ... Process Explorer

Spodziewałem się tego - to była pozostałość po odrolowaniu przez DW - a dlaczego zaczęło działać nie wiem :) - ja nic nie zrobiłem.

Swoją drogą, nie jestem przekonana nawet czy to była w ogóle infekcja, a dlatego że: brak śladów infekcji, detekcja się pojawiła dopiero po stosowaniu narzędzi usuwających

Jeśli uważasz, że brak infekcji to wierzę - jeśli jeszcze dałoby się coś zrobić z ctfmon.exe żeby być pewnym iż pochodzi od MS?

Pozdrawiam

Odnośnik do komentarza

Nic więcej z tego dla mnie nie wynika. Wielka szkoda, że nie ostał się raport z COMODO z tamtego czasu, to byśmy nie ginęli w spekulacjach. Moim zdaniem tu nie było infekcji, ale też głowy pod topór nie podłożę ...

 

 

w ostatnim na pewno był usuwany poprzez SPTDinst.

 

Log wygląda jakby nie został po tym wykonany restart. Restart jest konieczny.

 

 

Comodo pojawił się po fakcie-najpierw było zwolnienie pracy i długie uruchamianie. Do tego czasu jechałem na DW bez antywirusa.

 

To może DW coś knocił. Jak mówię: spekulacje.

 

 

jeśli jeszcze dałoby się coś zrobić z ctfmon.exe żeby być pewnym iż pochodzi od MS?

 

Plik sygnowany w wersji XP SP3 (wyciągnięty z instalatora Service Packa): KLIK. Pliki zamień za pomocą aplikacji Replacer.

 

 

Drażni mnie jeszcze sprawa różnych czasów jakie potrzebuje np. OTL na przeskanowanie systemu - z wyłączonym AV i DW robi skan na tych samych ustawieniach 10 min lub ponad godzinę - widać różnicę patrząc na wyświetlane procesy i pliki - raz migają a innym razem zmieniają sie b.wolno.

 

No cóż, u mnie też to różnie wygląda. Poza redukcją działających procesów, nie widzę sposobu jak zmanipulować grunt dla OTL.

 

 

 

 

.

Edytowane przez picasso
13.02.2012 - Brak dodatkowych komentarzy, temat uznaję za zamknięty. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...