RtkBtMnt.exe malware w logu Gmer

[muzyk75]

Gmer podczas skanu znalazł coś takiego:

Library C:\Users\aaa\AppData\Local\Temp\RtkBtMnt.exe (*** hidden *** ) @ C:\Users\aaa\AppData\Local\Temp\RtkBtMnt.exe [1188] 0x00400000

 

Problem polega na tym że w tej lokalizacji znajduje się RtkBtMnt.bak.. W załączeniu wymagane logi.

[picasso]

Nie jest potrzebny podwójny zestaw logów, skoro podajesz OTL, to DDS zbędny (usuwam). Widać ślady uruchamiania kiedyś skryptu do OTL = jaka była jego zawartość? Brak oznak infekcji. Zrób sobie tylko kosmetyczną poprawkę na wpisy puste oraz wyszukiwarki IE (naruszone przez użycie AdwCleaner).

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
DRV - File not found [Kernel | Boot | Stopped] --  -- (ovanvq)
DRV - File not found [Kernel | Boot | Stopped] --  -- (jvgxuu)
DRV - File not found [Kernel | Boot | Stopped] --  -- (eorclc)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\UIUSYS.SYS -- (UIUSys)
[2013-01-22 12:25:39 | 000,000,000 | ---D | C] -- C:\Users\aaa\AppData\Local\WindowsUpdate
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}]
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Po tym uruchom Sprzątanie.

 

2. Natomiast, sekcja Zapory w OTL Extras wygląda bardzo pusto, brak reguł. Dodaj log z Farbar Service Scanner.

 

 

Gmer podczas skanu znalazł coś takiego

 

---- Processes - GMER 2.0 ----
 
Library  C:\Users\aaa\AppData\Local\Temp\RtkBtMnt.exe (*** hidden *** ) @ C:\Users\aaa\AppData\Local\Temp\RtkBtMnt.exe [1188]  0x00400000=

 

To nie jest infekcja. RtkBtMnt.exe = Realtek HD Audio Data Rerouter. Ten proces uruchamia się z lokalizacji Temp i tak ma być.

 

 

 

.

[muzyk75]

Wykonałem skrypt i skan FFS. W logu Extras -Last 20 Event Log Errors- nie zgadzają się godziny wystąpienia błędów. Komputer nie był wtedy włączony.

Możesz powiedzieć więcej na temat zapory, z czym może być problem?

[picasso]

Skoro zadałam Sprzątanie w OTL, to znaczy, że o nowy log nie proszę (usuwam). To były bardzo mikre operacje, a log nowych rewelacji nie dostarczy.

 

 

Możesz powiedzieć więcej na temat zapory, z czym może być problem?

 

Wg skanu Farbar usługa Zapory nie wyłączona, sterownik zaś zatrzymany. Zastosuj ServicesRepair i po restarcie podaj nowy log z Farbar Service Scanner oraz OTL Extras (a nie główny log).

 

 

W logu Extras -Last 20 Event Log Errors- nie zgadzają się godziny wystąpienia błędów. Komputer nie był wtedy włączony.

 

Nie przywiązuj do tego zbytniej wagi. OTL nie jest precyzyjny, pobiera dane z Dziennika w specyficzny sposób. Czas podawany w OTL Extras może mieć przesunięcia, właściwa data zdarzeń tylko w oryginalnym Dzienniku.

 

 

 

.

[muzyk75]

Wykonałem skany. Po uruchomieniu SVCRepair włączyła się zapora systemowa i teraz mam dwa firewalle aktywne. Mam jeszcze jedno pytanie, czy istnieją wirusy, malware itp. , które mogą podszywać się pod Realteka- są podpisane certyfikatami danego produktu.

[picasso]

Wykonałem skany. Po uruchomieniu SVCRepair włączyła się zapora systemowa i teraz mam dwa firewalle aktywne.

 

Reguły Zapory nadal "czyste", ale teraz mnie oświeciło, że to może jest wynik koalicji z Kaspersky Internet Security 2013. W związku z tym wyłącz Zaporę systemową całkowicie.

 

 

Mam jeszcze jedno pytanie, czy istnieją wirusy, malware itp. , które mogą podszywać się pod Realteka- są podpisane certyfikatami danego produktu.

 

Nie w tym przypadku. Posiadasz Realtek. Ten proces widoczny w GMER na pewno jest od Realteka: KLIK / KLIK (w tym drugim linku popatrz na drzewo procesów i proces matkę tego procesu). Uruchamia się z Temp i będzie. Odczyt z GMER o "ukryciu" nie zawsze jest rzeczywistym rootkitem.

 

 

 

.

[muzyk75]

Zablokowałem na firewallu ten procesod "Realteka" i Gmer już niczego nie wykrywa. W folderze Temp go nie ma. Po ponownym skanie, OTL znalazł w folderze Temp coś takiego:

DRV - File not found [Kernel | On_Demand | Unknown] -- C:\Users\aaa\AppData\Local\Temp\kgroqfog.sys -- (kgroqfog)

Skan robiony przy odłączonym internecie. Procesu fizycznie jak i pliku nie ma w tym folderze. Wujek google uparcie nie mówi co to jest.

[picasso]

muzyk75, nie prosiłam o nowe logi, bo nie ma tu czego szukać. Usuwam ponownie zbędne raporty.

 

 

Zablokowałem na firewallu ten procesod "Realteka" i Gmer już niczego nie wykrywa. W folderze Temp go nie ma.

 

Nie zmienia to faktu, że był to proces Realteka a nie "rootkit".

 

 

Po ponownym skanie, OTL znalazł w folderze Temp coś takiego:

DRV - File not found [Kernel | On_Demand | Unknown] -- C:\Users\aaa\AppData\Local\Temp\kgroqfog.sys -- (kgroqfog)

Skan robiony przy odłączonym internecie. Procesu fizycznie jak i pliku nie ma w tym folderze. Wujek google uparcie nie mówi co to jest.

 

To jest sterownik GMER. Przykładowy temat z forum, w którym to omawiałam: KLIK. Każde uruchomienie GMER tworzy taki sterownik i pod inną losową nazwą. Przykładowo, pierwsze Twoje uruchomienie GMER wyprodukowało sterownik o nazwie:

 

Running: ufdr6w2b.exe; Driver: C:\Users\aaa\AppData\Local\Temp\uwairaow.sys

 

 

.