Win32:rootkit-gen

Roger · 27 Lipca 2010

Witam,

Opis problemu:

Komputer zaraz po uruchomieniu zawiesza się i nie można nic na nim zrobić.

Uruchomiłem komputer w trybie awaryjnym (w trybie normalnym zaraz po uruchomieniu zawiesza się) uruchomiłem Avasta który wykrył wirusa Win 32 root kit w pliku ntdll.dll. Avast nie jest w stanie nic z tym zrobić ponieważ plik jest tylko do odczytu. Uruchomiłem w trybie awaryjnym McafeeRootkitDetective ale z niewiadomych dla mnie przyczyn skanowanie nie odbywa się. Następnie przeskanowałem w trybie awaryjnym Dr. Webb, który znalazł 2 trojany i je usunął. Sytuacja nie zmieniła się ani trochę. Komputer dalej zaraz po uruchomieniu zawiesza się.

Poczytałem trochę forum i rozpoznałem nieco temat. Usunąłem Daemona wraz z rejestrami zgodnie z zaleceniami i instrukcją.

Następnie odpaliłem GMERa, który po skanowaniu ku mojemu zaskoczeniu pokazał puste okienko z komunikatem: "GMER nie odnalazł żadnych modyfikacji systemu".

W kolejności uruchomiłem Root Repeal w którym podczas skanowania komputer zawieszał się przy drugiej zakładce "FILES". Czekałem przeszło godzinę. Postanowiłem skanować każdą zakładkę z osobna. Sytuacja powtarzała się przy przed ostatniej i ostatniej zakładce. Na samym końcu wygenerowałem raport OTL.

W załączniku raport OTL + szczątkowy raport z Root Repeal.

Proszę o pomoc i o ewentualne wskazówki co mogę zrobić żeby pozbyć się robaka.

OTL.Txt

RootRepeal report 07-27-10 (02-52-54).txt

picasso · 27 Lipca 2010

OTL wytworzyłeś z pominięciem Skanu dodatkowego i nie ma loga Extras.txt do pary, dającego pojęcie m.in. o błędach w Dzienniku zdarzeń. Widzę także, że było tu kombinowane. Są ślady uruchamiania skryptu do OTL oraz pobrana płyta OTLPE.

Uruchomiłem komputer w trybie awaryjnym (w trybie normalnym zaraz po uruchomieniu zawiesza się) uruchomiłem Avasta który wykrył wirusa Win 32 root kit w pliku ntdll.dll. Avast nie jest w stanie nic z tym zrobić ponieważ plik jest tylko do odczytu.

1. Wygląda na to, że jest to fałszywy alarm Avasta, wynikający z błędu w jego aktualizacji. Na forum Avast jest identyczny wątek: KLIK. Spróbuj zaktualizować, ręcznie pobierając i montując: avast! 4 VPS update. Ponadto, masz przestarzałego Avasta w wersji 4. Czas już na aktualizację do wersji 5. Skok na nowszą wersję zostawimy jednak na koniec po przeprowadzeniu śledztwa w kwestii podawanych tu objawów.

2. Patrząc zaś na log z OTL, jest tu rozmnożona grupa podejrzanych sterowników z folderu tymczasowego, niewiadomego pochodzenia. Z poziomu trybu awaryjnego Windows uruchom Autoruns:

W karcie Drivers skasuj z prawokliku po kolei te alfanumeryczne usługi sterownikowe:

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Monia\USTAWI~1\Temp\fa61B.sys -- (fa61B)DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Monia\USTAWI~1\Temp\f90D.sys -- (f90D)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Monia\USTAWI~1\Temp\f6c7.sys -- (f6c7)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Monia\USTAWI~1\Temp\f5e2.sys -- (f5e2)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Monia\USTAWI~1\Temp\efc7.sys -- (efc7)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Monia\USTAWI~1\Temp\e952.sys -- (e952)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Monia\USTAWI~1\Temp\e4b7.sys -- (e4b7)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Monia\USTAWI~1\Temp\d048.sys -- (d048)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Monia\USTAWI~1\Temp\cf34.sys -- (cf34)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Monia\USTAWI~1\Temp\c9b14.sys -- (c9b14)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Monia\USTAWI~1\Temp\c9b13.sys -- (c9b13)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Monia\USTAWI~1\Temp\c948.sys -- (c948)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Monia\USTAWI~1\Temp\b88B.sys -- (b88B)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Monia\USTAWI~1\Temp\b09C.sys -- (b09C)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Monia\USTAWI~1\Temp\a4cE.sys -- (a4cE)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Monia\USTAWI~1\Temp\98b4.sys -- (98b4)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Monia\USTAWI~1\Temp\8fd1C.sys -- (8fd1C)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Monia\USTAWI~1\Temp\86c3.sys -- (86c3)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Monia\USTAWI~1\Temp\8539.sys -- (8539)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Monia\USTAWI~1\Temp\8376.sys -- (8376)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Monia\USTAWI~1\Temp\82a10.sys -- (82a10)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Monia\USTAWI~1\Temp\7a28.sys -- (7a28)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Monia\USTAWI~1\Temp\77aA.sys -- (77aA)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Monia\USTAWI~1\Temp\76cE.sys -- (76cE)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Monia\USTAWI~1\Temp\747C.sys -- (747C)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Monia\USTAWI~1\Temp\7384.sys -- (7384)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Monia\USTAWI~1\Temp\6dd3.sys -- (6dd3)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Monia\USTAWI~1\Temp\6d217.sys -- (6d217)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Monia\USTAWI~1\Temp\6951D.sys -- (6951D)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Monia\USTAWI~1\Temp\5f3B.sys -- (5f3B)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Monia\USTAWI~1\Temp\5903.sys -- (5903)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Monia\USTAWI~1\Temp\57dF.sys -- (57dF)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Monia\USTAWI~1\Temp\5193.sys -- (5193)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Monia\USTAWI~1\Temp\4f46.sys -- (4f46)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Monia\USTAWI~1\Temp\46a18.sys -- (46a18)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Monia\USTAWI~1\Temp\3562.sys -- (3562)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Monia\USTAWI~1\Temp\34412.sys -- (34412)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Monia\USTAWI~1\Temp\231A.sys -- (231A)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Monia\USTAWI~1\Temp\20219.sys -- (20219)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Monia\USTAWI~1\Temp\1c711.sys -- (1c711)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Monia\USTAWI~1\Temp\1122.sys -- (1122)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Monia\USTAWI~1\Temp\10810.sys -- (10810)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Monia\USTAWI~1\Temp\0d1C.sys -- (0d1C)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Monia\USTAWI~1\Temp\0d1B.sys -- (0d1B)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Monia\USTAWI~1\Temp\0c2F.sys -- (0c2F)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Monia\USTAWI~1\Temp\0c14.sys -- (0c14)

W karcie Internet Explorer pod kluczem Browser Helpers Objects usuń ten numerek (pozostałość po Ask Toolbar):

O2 - BHO: (no name) - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - No CLSID value found.

3. Po wykonaniu rzeczonych zadań zresetuj komputer, wyprodukuj nowy zestaw logów z OTL oraz podsumuj co się dzieje.

Następnie przeskanowałem w trybie awaryjnym Dr. Webb, który znalazł 2 trojany i je usunął.

Jakie? Podaj dokładne ścieżki dostępu.

Uruchomiłem w trybie awaryjnym McafeeRootkitDetective ale z niewiadomych dla mnie przyczyn skanowanie nie odbywa się.

Skaner McAfee nie działa w trybie awaryjnym. Nie wspominając o tym, że ta produkcja jest archaiczna i nie nadaje się do detekcji nowych form rootkitów.

.

Roger · 27 Lipca 2010

Zgadza się nagrałem płytę z OTLPE ale nie wiedziałem jeszcze wtedy że efektem pracy tego programu będzie taki sam raport jak OTL z poziomu trybu awaryjnego. Liczyłem na jakiś większy efekt jego pracy. Takie narzędzie w moich rękach w niczym mi nie pomogło dlatego nie nadmieniłem o nim.

Ad1. Zaktualizowałem Avasta według instrukcji. W najbliższym czasie zaktualizuje do wersji 5.

Ad2. Usunąłem usługi sterownikowe + pozostałość po ASK Toolbar

Po zresetowaniu, komputer uruchomił się w trybie normalnym i wygląda na to że wszystko jest OK

Dla pewności przeskanowałem kompa Avastem jeszcze raz. Nic nie wykrył!

W załączniku logi z poprawnie (tak mi się przynajmniej wydaje) działającego kompa GMER i OTL

Wracając jeszcze do wcześniejszego skanowania komputera Dr Webb wykrył dwa wirusy. Wirusy znajdowały się na pen drive na którego chciałem nagrać logi:

"K:\AJVAR\KRASTAVAC.exe zainfekowany wirusem Trojan.Packed.20312 - usunięty"

"K:\check.exe zainfekowany wirusem Trojan.MulDrop1.36133 - usunięty"

Dziękuje za szybką i fachową pomoc

Groger

picasso · 27 Lipca 2010

Raporty są w porządku (nadal nie ma Extras.txt), nie widzę nic niepokojącego. Wykonaj końcowe porządki:

1. W OTL użyj funkcję Sprzątanie.

2. Przeczyść pliki tymczasowe i cache przeglądarek przez TFC - Temp Cleaner.

3. Przeczyść foldery Przywracania systemu: INSTRUKCJE.

Wracając jeszcze do wcześniejszego skanowania komputera Dr Webb wykrył dwa wirusy. Wirusy znajdowały się na pen drive na którego chciałem nagrać logi:

"K:\AJVAR\KRASTAVAC.exe zainfekowany wirusem Trojan.Packed.20312 - usunięty"

"K:\check.exe zainfekowany wirusem Trojan.MulDrop1.36133 - usunięty"

Zabezpiecz się stosując Panda USB Vaccine: system (opcja Computer Vaccination) + urządzenie (USB Vaccination).

Zaktualizowałem Avasta według instrukcji. W najbliższym czasie zaktualizuje do wersji 5.

Czekają Cię grubsze aktualizacje zabezpieczające (INSTRUKCJE), bo system jak sito:

Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstationInternet Explorer (Version = 6.0.2900.2180)

Do uzupełnienia: Service Pack 3 + Internet Explorer 8 (nawet jeśli w ogóle nie uruchamiasz ten przeglądarki).

O2 - BHO: (AcroIEHlprObj Class) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)

Stoi tu też wpis porażająco niskiej wersji Readera, do zamiany najnowszą wersją. To przez takie przestarzałe wtyczki wjeżdżają infekcje "wklejkowe" z WWW.

.

Edytowane 9 Listopada 2011 przez picasso
31.08.2010 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso

Zaloguj się

Win32:rootkit-gen

Rekomendowane odpowiedzi

Roger

Odnośnik do komentarza

picasso

Odnośnik do komentarza

Roger

Odnośnik do komentarza

picasso

Odnośnik do komentarza

Ostatnio przeglądający 0 użytkowników

Przeglądaj

Cała aktywność