Rootkit pomocy

[asarttag]

Witam.

Problem polega na nienormalnym działaniu programów tzn. spowolnionym działaniu i samozamykaniu.

Nie działa również zapora systemu windows wyskakuje komunikat o błedzie 0x80070006.

zrobiłem logi: otl, gmer i fss.

Gmer wykrył rootkita

log z gmer nie chce się utworzyć ponieważ po zakończeniu scanu program się wyłącza.

Extras.Txt

FSS.txt

OTL.Txt

[picasso]

Gmer wykrył rootkita

log z gmer nie chce się utworzyć ponieważ po zakończeniu scanu program się wyłącza.

 

Po pierwsze, program uruchomiłeś w złym środowisku, nie został odinstalowany sterownik SPTD od emulatora napędów wirtualnych (KLIK):

 

DRV - File not found [Kernel | On_Demand | Unknown] --  -- (ak81bzfa)
DRV - [2012-02-08 08:38:36 | 000,473,656 | ---- | M] (Duplex Secure Ltd.) [Kernel | Boot | Running] -- C:\Windows\System32\drivers\sptd.sys -- (sptd)

 

Po drugie, GMER zapewne wykrył rootkita ZeroAccess, bo w logu jawne ślady aktywności tej infekcji. Wygląda na to, że w systemie jest starsza wersja, sądząc po obecności łącza symbolicznego w OTL, ta która infekuje sterowniki systemowe.

 

1. Uruchom Kaspersky TDSSKiller. Zostaw wszystkie akcje domyślnie dobrane przez narzędzie i zresetuj system. Na C powstanie log z usuwania.

 

2. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wpisz komendę netsh winsock reset > zatwierdź restart komputera.

 

3. Przez Panel sterowania odinstaluj adware AVG Security Toolbar, LiveVDO plugin 1.3, SweetIM for Messenger 3.6. Otwórz Google Chrome i w Rozszerzeniach odinstaluj AVG Secure Search, SweetIM for Facebook, LiveVDO plugin.

 

4. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz logi z usuwania TDSSKiller z punktu 1 + AdwCleaner z punktu 4.

 

 

 

.

[asarttag]

nowe logi

AdwCleanerS2.txt

OTL.Txt

TDSSKiller.2.8.10.0_25.09.2012_17.57.45_log.txt

[picasso]

To nie wygląda na log Kasperskiego z usuwania. Kaspersky na pewno coś robił, bo w OTL widać zmiany (link symboliczny zniknął, przekształcając się w zwykły dir). Proszę wyszukaj właściwy log i podmień załączniki w poprzednim poście. Muszę precyzyjnie wiedzieć co narzędzie usuwało.

 

 

 

.

[asarttag]

Innych logów nie było ponieważ, kaspersky nic nie wykrył

[picasso]

To czy coś dodatkowego robiłeś między założeniem tematu a uruchomieniem Kasperskiego? Owa zmiana w logu OTL w żadnym wypadku nie mogła się wykonać samodzielnie. "Coś" przekształciło link symboliczny rootkita w zwykły folder. Na razie w temacie jedyne używane narzędzie, które jest to zdolne wykonać, to Kaspersky, który jak twierdzisz nic nie robił.

 

I poproszę jednak o log z GMER. Przed uruchomieniem usuń sterownik SPTD jak opisane + restart.

 

 

.

[asarttag]

Nic nie robiłem oprócz próby wykonania loga z gmer.

Ale teraz użyłem combofixa, o to log

 

Combofix wykrył zero accses

ComboFix.txt

[picasso]

asarttag, proszę nie podejmuj działań, które nie zostały zalecone i trzymaj się tego o co proszę w temacie. Żadnego ComboFixa nie miałeś uruchamiać, była łagodniejsza metoda leczenia tego, a instrukcji nie podałam z prostego powodu: nie sprawdzone pewne rzeczy.

 

I nadal aktualny log z GMER.

 

 

.

[asarttag]

Przepraszam, ale mój ambitny kolega chciał pokazać, że się zna na tym, i uruchomił combofixa i jeszcze jakieś narzędzia windowsa do naprawy zapory windows.

Loga z Gmer nie mogę utworzyć ponieważ program w trakcie skanowania cały czas przestaje działać, nie wiem czemu

[picasso]

Loga z Gmer nie mogę utworzyć ponieważ program w trakcie skanowania cały czas przestaje działać, nie wiem czemu

 

Czy wykonałeś to: KLIK. Jeśli tak: zastartuj do Trybu awaryjnego z obsługą sieci i ponów próbę.

 

 

Przepraszam, ale mój ambitny kolega chciał pokazać, że się zna na tym, i uruchomił combofixa i jeszcze jakieś narzędzia windowsa do naprawy zapory windows.

 

Ambitny kolega stosując ComboFix powinien wiedzieć, że ComboFix naprawia zaporę.

 

 

.

[asarttag]

W końcu się udało

gmer.txt

[picasso]

Możemy przejść dalej:

 

1. Sprawdź poprawność plików systemowych za pomocą komendy sfc /scannow. Jeśli komenda zwróci komunikat o "naruszeniu integralności", za pomocą kolejnej przefiltruj wyniki do znaczników [sR] i przedstaw log wynikowy. Instrukcje: KLIK.

 

2. Uruchom GrantPerms i w oknie wklej:

 

C:\Windows\System32\%APPDATA%

 

Klik w Unlock.

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files

C:\Windows\System32\%APPDATA%
C:\Users\Ja\Documents\dkekejdy.exe
C:\Users\Ja\AppData\Local\Temp*.html
C:\Windows\is-IMCH4.exe
C:\Windows\is-2QK7H.exe
 
:OTL
IE - HKU\S-1-5-21-70149214-1339082029-3386996294-1000\..\SearchScopes\{5D8D891C-C4C1-4177-96E5-AE81BF13F2EA}: "URL" = "http://isearch.avg.com/search?cid={663F07C7-E554-445C-9046-5CF4C939656D}&mid=25a8be404f6147d1a4956de783846a3c-0469635afb387a9ef43f782a8f594072c63cdbc2&lang=en&ds=ins11&pr=sa&d=2012-02-17 13:28:51&v=10.0.0.7&sap=dsp&q={searchTerms}"
O4 - HKLM..\Run: [ROC_roc_ssl_v12] "C:\Program Files\AVG Secure Search\ROC_roc_ssl_v12.exe" / /PROMPT /CMPID=roc_ssl_v12 File not found
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleXNt.sys -- (EagleXNt)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\Ja\AppData\Local\Temp\catchme.sys -- (catchme)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany.

 

4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras) + Farbar Service Scanner. Dołącz log z pracy narzędzia SFC z punktu 1.

 

 

 

 

.

[asarttag]

Wszystko zrobione

nowe logi

sfc.txt

OTL.Txt

FSS.txt

[picasso]

Narzędzie SFC naprawiło szkody po rootkicie:

 

2012-09-25 23:34:40, Info    CSI    00000384 [sR] Cannot repair member file [l:18{9}]"netbt.sys" of Microsoft-Windows-NetBT, Version = 6.0.6002.18005, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch
2012-09-25 23:34:40, Info    CSI    00000385 [sR] Repaired file \SystemRoot\WinSxS\Manifests\\[ml:24{12},l:18{9}]"netbt.sys" by copying from backup

 

Reszta zadań wykonana. Kolejna partia zadań:

 

1. Odinstaluj w prawidłowy sposób ComboFix, co wyczyści też foldery Przywracania systemu. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę:

 

C:\Users\Ja\Desktop\ComboFix.exe /uninstall

 

2. Wyczyść po pozostałych narzędziach: w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie.

 

3. W systemie jest zainstalowany program MBAM. Upewnij się, że bazy zaktualizowane i wykonaj nim dla pewności pełny skan (a nie ekspresowy). W razie wykrycia czegoś przedstaw raport.

 

 

 

.

[asarttag]

w/w czynności zostały wykonane w tym scan mbam, który nic nie wykrył.

Więc chyba to wszystko, wątek można zamknąć już nie mam żadnych problemów.

Wielkie dzięki za poświęcony czas i rozwiązanie problemu

[picasso]

Na zakończenie:

 

1. Zaktualizuj wyliczone poniżej aplikacje: KLIK. Aktualnie w systemie widać:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31
"{26A24AE4-039D-4CA4-87B4-2F83217004FF}" = Java™ 7 Update 4
"{AA59DDE4-B672-4621-A016-4C248204957A}" = Skype™ 5.5
"Google Chrome" = Google Chrome 21.0.1180.89
"Mozilla Firefox 15.0 (x86 pl)" = Mozilla Firefox 15.0 (x86 pl)

 

2. Prewencyjnie zmień hasła logowania w serwisach.

 

 

PS. Gadu-Gadu 10 to zasobożerny program. Sugeruję oglądnięcie alternatywnych programów z obsługą Gadu: WTW, Kadu, Miranda, AQQ. Opisy: KLIK.

 

 

.