TANGO Opublikowano 20 Października 2010 Zgłoś Udostępnij Opublikowano 20 Października 2010 Witam wszystkich na forum, ostatniego czasu miałem kilka dziwnych incydentów w systemie, a mowa o Windows 7 64bit. Malwarebytes kilkanaście dni temu wykrył rootkita, ale rzekomo go usunął, niestety nie potrafię podać jego nazwy. Wczoraj wszedłem na stronę hxxp://www.muzeum.torun.pl po czym po odblokowaniu NoScripta w firefoxie uruchomiła się java na chwilę i system się zawiesił, pomógł tylko restart(wtedy miałem jeszcze numerek przed najnowszą 6 update 22, po tym incydencie od razu zaktualizowałem do 22). Na XP identyczna sytuacja, ta sama strona zawiesiła komputer. Pod linuksem nic takiego nie miało miejsca, komputer działał normalnie. Po restarcie chciałem wejść na http://www.gmail.com/ i KIS 2010 ostrzegł mnie, że to phishing, więc jak na razie się wstrzymałem z logowaniem. Będę wdzięczny za pomoc, dziękuję. OTL Extras Wczoraj założyłem też temat na innym forum http://forum.dobreprogramy.pl/wykryty-rootkit-phishing-t418419.html Dodaję też raport z Kaspersky Virus Removal Tool raport Kaspersky Virus Removal Tool.txt Odnośnik do komentarza
picasso Opublikowano 21 Października 2010 Zgłoś Udostępnij Opublikowano 21 Października 2010 1. W podanych raportach nie widzę żadnych znaków infekcji. Kosmetycznie, do usunięcia kwalifikuje się drobniutki szczątek po Ask Toolbar, zapis "not found" oraz pozostałości po Daemon Tools i Sophos Anti-rootkit: O3 - HKLM\..\Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.O4 - HKU\S-1-5-21-4064584008-1034617689-3381956415-1000..\Run: [] File not foundDRV:64bit: - File not found [Kernel | Disabled | Stopped] -- C:\Windows\SysNative\Drivers\sptd.sys -- (sptd)DRV:64bit: - [2010-05-26 10:39:08 | 000,006,144 | ---- | M] (Sophos Plc) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\AF83.tmp -- (MEMSWEEP2) Te odpadki możesz sobie usunąć np. w programie AutoRuns (odpowiednio karty: Internet Explorer, Logon, Drivers). 2. Odnosząc się do zgłoszeń z Dziennika zdarzeń: Error - 2010-10-20 06:02:24 | Computer Name = PC_M | Source = Microsoft-Windows-CAPI2 | ID = 4107Description = Failed extract of third-party root list from auto update cab at: with error: A required certificate is not within its validity period when verifying against the current system clock or the timestamp in the signed file. Metoda korekcyjna jest w artykule: KB2328240. Error - 2010-10-03 06:43:41 | Computer Name = PC_M | Source = Service Control Manager | ID = 7016Description = The NVIDIA Stereoscopic 3D Driver Service service has reported an invalid current state 0. Popatrz w ten temat (ostatni post): KLIK. Dodatkowo, nie znam tu wersji sterowników NVidia, ale ta usługa wykazuje także i takie dewiacje: KLIK. Jeśli nie ma przeciwskazań, w Autoruns w karcie Services możesz wyłączyć tę usługę poprzez jej odptaszkowanie: SRV - [2010-04-03 16:59:00 | 000,240,232 | ---- | M] (NVIDIA Corporation) [Auto | Running] -- C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe -- (Stereo Service) 3. Programu Spybot - Search & Destroy można się pozbyć z systemu. Nie ma pełnych dostosowań z Windows 7 64-bit, m.in. brak zgodności z Centrum zabezpieczeń, a także jest to aplikacja o słabszych predyspozycjach niż MBAM. Poza tym, masz już natywnie zintegrowany z systemem program zastępujący działanie Spybota = Windows Defender. Malwarebytes kilkanaście dni temu wykrył rootkita, ale rzekomo go usunął, niestety nie potrafię podać jego nazwy. Nie masz raportu z MBAM? Bez precyzyjnych wyników w ogóle nie można tego ocenić. Inna sprawa, że tu jest platforma 64-bity, a na takowej są limitowane możliwości implementacji prawdziwych rootkitów (z prawdziwego zdarzenia: kompatybilny z 64-bitami to rootkit w MBR). Nie mając wyników z MBAM nie wiemy, czy znalezisko było faktycznym rootkitem, czy nieczynnym obiektem, a może i fałszywym alarmem. Po restarcie chciałem wejść nahttp://www.gmail.com/ i KIS 2010 ostrzegł mnie, że to phishing, więc jak na razie się wstrzymałem z logowaniem. W jaki sposób jest to sformułowane? Przeklej komunikat / pokaż zrzut ekranu z tego zjawiska. Wczoraj wszedłem na stronęhxxp://www.muzeum.torun.pl po czym po odblokowaniu NoScripta w firefoxie uruchomiła się java na chwilę i system się zawiesił, pomógł tylko restart(wtedy miałem jeszcze numerek przed najnowszą 6 update 22, po tym incydencie od razu zaktualizowałem do 22). Na XP identyczna sytuacja, ta sama strona zawiesiła komputer. Skoro dwa tak różne systemy Windows (i jeszcze bity rozbieżne) zareagowały podobnie, to logiczniejszym przypuszczeniem wydaje się, że nie jest to problem systemu (czyli potencjalnie infekcji) tylko właściwości tej strony (lub jej zderzenia z określoną wersją oprogramowania przeglądarki na Windows powieloną na obu systemach). Dodaję też raport z Kaspersky Virus Removal Tool Ten raport zgłasza Ci po prostu luki w oprogramowaniu i kieruje do biuletynów bezpieczeństwa. Masz zainstalowane nienajnowsze wersje tych aplikacji wykazujące opisaną podatność na atak: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{70858C67-8761-4444-895A-0A8B2E9E144E}" = Opera 10.61"ENTERPRISE" = Microsoft Office Enterprise 2007"Mozilla Firefox (3.6.10)" = Mozilla Firefox (3.6.10)"XnView_is1" = XnView 1.97.4 ... a w owych biuletynach jest wskazane które wersje oprogramowania mają łatkę. Adresuj to o co prosi skaner: Opera 10.63 + XnView 1.97.8 + dla Office KLIK. Dodatkowo, co nie jest tu zgłoszone, jest już nowszy Lisek: Firefox 3.6.11. . Odnośnik do komentarza
TANGO Opublikowano 21 Października 2010 Autor Zgłoś Udostępnij Opublikowano 21 Października 2010 Dziękuję za podjęcie tematu, niestety będę poza domem do wtorku, więc jeżeli można to prosiłbym o nie zamykanie tematu do tego czasu, po przyjeździe wykonam Twoje zalecenia, dzięki picasso. 1. Nie udało mi się udnaleźć wszystkich wpisów w AutoRuns, te które usunąłem to ask toolbar i AF83.tmp, przy czym bezpośrednio w rejestrze pod Internet Explorer>Toolbar nadal znajduje mi wpis: D4027C7F-154A-4066-A1AD-4243D8127440 co sugeruje, że ask dalej tam siedzi, tak? Tej pozostałości po sterowniku Daemon Tools też nie odnalazłem w AutoRuns. 2. Zrobione 3. Nie masz raportu z MBAM? Bez precyzyjnych wyników w ogóle nie można tego ocenić. Inna sprawa, że tu jest platforma 64-bity, a na takowej są limitowane możliwości implementacji prawdziwych rootkitów (z prawdziwego zdarzenia: kompatybilny z 64-bitami to rootkit w MBR). Nie mając wyników z MBAM nie wiemy, czy znalezisko było faktycznym rootkitem, czy nieczynnym obiektem, a może i fałszywym alarmem. OK. muszę się przyznać, bo trochę tę historię nagiąłem, MBAM wykrył rootkita ale było to na XP, nie na 7-ce, więc pomyślałem, że może rootkit miałby możliwość przejścia z jednej partycji systemowej na drugą podczas np. kopiowania plików między nimi? Dlatego podałem, że to na 7-ce mi go wykryło, XP nie używam na co dzień - przepraszam za zamieszanie picasso. Czy mogę podać tutaj dodatkowo logi z XP? - co oprócz OTL i Gmer'a?. Poniżej screen z MBAM z XP 32bit Co do phishingu, daję raport z KIS 2010, bo screena nie mam, już to nie występuje w tej chwili, nie wiem czemu, może to był jakiś fałszywy alarm. Reszta zrobiona. phishing KIS2010.txt Odnośnik do komentarza
TANGO Opublikowano 31 Października 2010 Autor Zgłoś Udostępnij Opublikowano 31 Października 2010 Daję logi z Windows XP o których wspominałem kilka dni temu. W Gmerze nie da się zaznaczyć wszystkich opcji do skanowania, większość jest *wyszarzała*. W trybie awaryjnym są zaznaczone wszystkie ale każdorazowo po rozpoczęciu skanowania wylatuje BSOD, więc zamieszczam raport z RootRepeal: OTL.Txt Extras.Txt ROOTREPEAL.txt Odnośnik do komentarza
Landuss Opublikowano 31 Października 2010 Zgłoś Udostępnij Opublikowano 31 Października 2010 Nie udało mi się udnaleźć wszystkich wpisów w AutoRuns, te które usunąłem to ask toolbar i AF83.tmp, przy czym bezpośrednio w rejestrze pod Internet Explorer>Toolbar nadal znajduje mi wpis:D4027C7F-154A-4066-A1AD-4243D8127440 co sugeruje, że ask dalej tam siedzi, tak? Wejdź w start >>> w polu szukania wpisz uruchom >>> regedit do klucza HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar i usuń tam ten ciąg jeśli będzie {D4027C7F-154A-4066-A1AD-4243D8127440} Możesz też ewentualnie wyszukać w rejestrze tą wartość i usunąć. Tej pozostałości po sterowniku Daemon Tools też nie odnalazłem w AutoRuns Jest zawsze alternatywa - start >>> w pole szukania wpisujesz uruchom >>> cmd i wklepujesz SC DELETE sptd W kwestii XP i tego "rootkita" co pokazujesz na obrazku z MBAM to fałszywy alarm. To sterownik Kasperskyego i są takie w logu dwa do pary: DRV - File not found [Kernel | Unknown | Stopped] -- C:\WINDOWS\System32\DRIVERS\59242422.sys -- (59242422) DRV - [2009-09-25 16:59:42 | 000,128,016 | ---- | M] (Kaspersky Lab) [Kernel | Unknown | Running] -- C:\WINDOWS\system32\drivers\59242421.sys -- (59242421) Czyli nie należy się tym przejmować. Można zamontować skrypt usuwający drobne szczątki i to wykonaj. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | Unknown | Stopped] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd) DRV - File not found [Kernel | Unknown | Stopped] -- C:\DOCUME~1\On\LOCALS~1\Temp\catchme.sys -- (catchme) DRV - File not found [Kernel | Unknown | Stopped] -- C:\WINDOWS\System32\DRIVERS\59242422.sys -- (59242422) O2 - BHO: (no name) - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - No CLSID value found. O2 - BHO: (no name) - {E33CF602-D945-461A-83F0-819F76A199F8} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. O3 - HKU\S-1-5-21-746137067-1078081533-1801674531-1003\..\Toolbar\WebBrowser: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. O4 - HKU\.DEFAULT..\RunOnce: [showDeskFix] File not found O4 - HKU\S-1-5-18..\RunOnce: [showDeskFix] File not found O4 - HKU\S-1-5-19..\RunOnce: [showDeskFix] File not found O4 - HKU\S-1-5-20..\RunOnce: [showDeskFix] File not found O20 - Winlogon\Notify\klogon: DllName - Reg Error: Value error. - Reg Error: Value error. File not found O28 - HKLM ShellExecuteHooks: {4F07DA45-8170-4859-9B5F-037EF2970034} - Reg Error: Key error. File not found :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Logów żadnych już nie musisz pokazywać. Na systemie XP zaktualizuj obowiązkowo IE do stanu Internet Explorer 8. Nawet jeśli nie korzystasz jest to wymagane. Odnośnik do komentarza
TANGO Opublikowano 1 Listopada 2010 Autor Zgłoś Udostępnij Opublikowano 1 Listopada 2010 Rozumiem, że nie ma znaczenia to, że OTL podał te dwie identyczne ścieżki w dwóch różnych wersjach(małe i duże litery) i nie jest to podejrzane? C:\WINDOWS\System32\DRIVERS\59242422.sys C:\WINDOWS\system32\drivers\59242421.sys Jeżeli to nic takiego to dziękuję Wam za pomoc Pozdrawiam TANGO Odnośnik do komentarza
picasso Opublikowano 3 Listopada 2010 Zgłoś Udostępnij Opublikowano 3 Listopada 2010 Jeszcze na chwilkę otwieram temat, by skomentować to na co nie uzyskałeś odpowiedzi: Co do phishingu, daję raport z KIS 2010, bo screena nie mam, już to nie występuje w tej chwili, nie wiem czemu, może to był jakiś fałszywy alarm. Stan: Zagrożenie (zdarzenia: 4) 2010-10-19 13:27:20 Zagrożenie phishing "http://www.gmail.com/favicon.ico"2010-10-19 13:27:04 Zagrożenie phishing "http://www.gmail.com/"2010-10-19 18:44:02 Zagrożenie phishing "http://gmail.com/favicon.ico"2010-10-19 18:44:00 Zagrożenie phishing "http://gmail.com/" Tak, to był fałszywy alarm. Jest to błąd w bazie anti-phishingowej Kasperskiego i problem jest omawiany tu: KLIK. Aktualizacja baz Kasperskiego + wyczyszczenie cache przeglądarek rozwiązuje sprawę. Skoro przestało się to u Ciebie pojawiać, zostały spełnione te warunki. Rozumiem, że nie ma znaczenia to, że OTL podał te dwie identyczne ścieżki w dwóch różnych wersjach(małe i duże litery) i nie jest to podejrzane? drivers i DRIVERS = to samo, Windows to platforma ignorująca wielkość liternictwa. Przy okazji, nie widać tu żadnego Kasperskiego zainstalowanego, więc ten zapis też powinien wyjechać z rejestru (był tu usuwany tylko ten poszkodowany po akcji MBAM): DRV - [2009-09-25 16:59:42 | 000,128,016 | ---- | M] (Kaspersky Lab) [Kernel | Unknown | Running] -- C:\WINDOWS\system32\drivers\59242421.sys -- (59242421) . Odnośnik do komentarza
TANGO Opublikowano 3 Listopada 2010 Autor Zgłoś Udostępnij Opublikowano 3 Listopada 2010 Dziękuję za wyczerpujące wyjaśnienie picasso. Pozdrawiam TANGO Odnośnik do komentarza
Rekomendowane odpowiedzi