Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Rootkit Sinowal

0kage

Przez 0kage
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

0kage

0kage

Opublikowano
Opublikowano

Witam

 

Objawy:

Jedynym niezbyt zauważalnym objawem jest wolniejsza praca systemu, a infekcja wypłynęła tylko dzięki skanowi z ciekawości.

 

Informacje:

Win XP SP3 32-bit

sptd - brak

 

Podjęte kroki:

dla pewności nic

 

Logi (w kolejności chronologicznej):

GMER.txt

TDSSKiller.txt

OTL.Txt

Extras.Txt

 

PS

Wiem że niektóre rzeczy wymagają aktualizacji. Zajmę się tym po rozwiązaniu problemu.

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
Landuss

Landuss

Opublikowano
Opublikowano

Pierwsza sprawa:

 

Win XP SP3 32-bit

 

U ciebie to nie jest typowy Windows XP. To jest przeróbka WindowZ na co wskazuje wiele zapisów w logach. Swoją drogą nie radzę korzystać z tego typu systemów sztucznie przerabianych przez kogoś. Lepiej zainstalować zwykły XP.

 

 

Co do infekcji - jest czynny rootkit w MBR:

 

09:10:39.0146 1796  ================ Scan MBR ==================================

09:10:39.0156 1796 [ 32052574BF9F325AE309ABC7BFD04460 ] \Device\Harddisk0\DR0

09:10:39.0196 1796 \Device\Harddisk0\DR0 ( Rootkit.Boot.Sinowal.b ) - infected

09:10:39.0196 1796 \Device\Harddisk0\DR0 - detected Rootkit.Boot.Sinowal.b (0)

 

Disk \Device\Harddisk0\DR0 malicious Win32:MBRoot code @ sector 625121283

Disk \Device\Harddisk0\DR0 PE file @ sector 625121305

 

Uruchom raz jeszcze TDSSKiller i tym razem przydziel opcje Cure. Potem przeskanuj sie nim raz jeszcze i zaprezentuj nowy raport oraz nowy log z Gmer.

Odnośnik do komentarza
Landuss

Landuss

Opublikowano
Opublikowano

Rootkit wygląda na usunięty. Przechodzimy do dalszych czynności:

 

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
DRV - File not found [Kernel | On_Demand | Unknown] -- C:\DOCUME~1\DOM\USTAWI~1\Temp\uwtdqpob.sys -- (uwtdqpob)
O3 - HKLM\..\Toolbar: (no name) - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKU\S-1-5-21-1078081533-113007714-1708537768-1002\..\Toolbar\ShellBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\S-1-5-21-1078081533-113007714-1708537768-1002\..\Toolbar\ShellBrowser: (no name) - {63AB4C54-3310-44c9-85D8-AA92C2263D58} - No CLSID value found.
O3 - HKU\S-1-5-21-1078081533-113007714-1708537768-1002\..\Toolbar\ShellBrowser: (no name) - {EBE9E2B5-B526-48BC-AD46-687263EDCB0E} - No CLSID value found.
O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_USERS\S-1-5-21-1078081533-113007714-1708537768-1002\SOFTWARE\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
[HKEY_USERS\S-1-5-21-1078081533-113007714-1708537768-1002\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

2. Przez Panel sterowania odinstaluj: V9 HomeTool

 

3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...