nologin Opublikowano 30 Maja 2013 Zgłoś Udostępnij Opublikowano 30 Maja 2013 Skanowałem ostatnio cały system i AVG wykrył mi rookity na kompie. Dałem opcje, żeby je usunął. Zrestartowałem komputer, przeskanowałem znowu i rookity dalej są. Przy okazji po restarcie okazało się, że coś stało się Kerio Personal Firewall i musiałem go instalować od nowa, żeby problem zniknął. Zrobiłem analizę za pomocą HijackThis i nie wykrył nic szczególnie podejrzanego. Zaniepokoiło mnie jedynie, że wg jego logów nie mam włączonego żadnego antywirusa, podczas gdy AVG działał podczas tworzenia loga.Załączam wymagane logi, log z HijackThis, to co wykrył AVG oraz powiadomienie o problemie z Kerio Gmer.txt OTL.Txt Extras.Txt hijackthis.txt Odnośnik do komentarza
byku81 Opublikowano 30 Maja 2013 Zgłoś Udostępnij Opublikowano 30 Maja 2013 Nie znam się za bardzo ale wydaje mi się że jest to fałszywy alarm avg a kolega próbuje na siłę usunąć sterownik od Kerio firewall Odnośnik do komentarza
picasso Opublikowano 30 Maja 2013 Zgłoś Udostępnij Opublikowano 30 Maja 2013 Brak oznak infekcji w stanie czynnym. Są tylko drobne historyczne ślady podpinania zainfekowanych urządzeń USB: O33 - MountPoints2\{cf1fc7b5-56a6-11e2-9a52-000b6ab89bbe}\Shell\AutoRun\command - "" = jxqevly.exeO33 - MountPoints2\{cf1fc7b5-56a6-11e2-9a52-000b6ab89bbe}\Shell\explore\Command - "" = jxqevly.exeO33 - MountPoints2\{cf1fc7b5-56a6-11e2-9a52-000b6ab89bbe}\Shell\open\Command - "" = jxqevly.exe Usuń to oraz inne szczątki i tyle w zakresie czyszczenia. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej::Reg[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2][-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]:OTLO3 - HKU\S-1-5-21-842925246-515967899-1606980848-1003\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found.[2013-01-16 21:31:57 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software[2012-12-25 23:10:39 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Rodzinka\Dane aplikacji\kmpmediatoolbar:Commands[emptytemp]Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. Skanowałem ostatnio cały system i AVG wykrył mi rookity na kompie. Dałem opcje, żeby je usunął. Zrestartowałem komputer, przeskanowałem znowu i rookity dalej są. Przy okazji po restarcie okazało się, że coś stało się Kerio Personal Firewall i musiałem go instalować od nowa, żeby problem zniknął. Problem został stworzony poprzez błędną ocenę tego co mówi AVG. To co wykrył AVG (hooki sterownika fwdrv.sys), czyli to co widzi GMER pod postacią: ---- System - GMER 2.1 ----SSDT \SystemRoot\system32\Drivers\fwdrv.sys ZwClose [0xA98BDD1E]SSDT \SystemRoot\system32\Drivers\fwdrv.sys ZwCreateFile [0xA98BD62B]SSDT \SystemRoot\system32\Drivers\fwdrv.sys ZwCreateProcess [0xA98BDC92]SSDT \SystemRoot\system32\Drivers\fwdrv.sys ZwCreateProcessEx [0xA98BDC17]SSDT \SystemRoot\system32\Drivers\fwdrv.sys ZwCreateSection [0xA98BD713]---- Devices - GMER 2.1 ----AttachedDevice \Driver\Tcpip \Device\Ip fwdrv.sysAttachedDevice \Driver\Tcpip \Device\Tcp fwdrv.sysAttachedDevice \Driver\Tcpip \Device\Udp fwdrv.sysAttachedDevice \Driver\Tcpip \Device\RawIp fwdrv.sys ... to nie jest rootkit tylko prawidłowe czynności nie czego innego a Kerio (sterownik fwdrv.sys jest sterownikiem Kerio). Oprogramowanie zabezpieczające prowadzi modyfikacje, które mogą być błędnie interpretowane przez konkurencyjne oprogramowanie. Konsekwencje naruszenia poprawnych funkcji to dysfunkcja Kerio, nic dziwnego, że wymagał reinstalacji. W skrócie: zignoruj co mówi AVG. To co jednak trzeba zrobić to czym prędzej odinstalować Kerio, ale z innych powodów, toż to padlina sprzed 10 lat: ========== Services (SafeList) ==========SRV - [2003-04-30 16:43:32 | 000,389,120 | ---- | M] (Kerio Technologies) [Auto | Running] -- C:\Program Files\Kerio\Personal Firewall\PERSFW.exe -- (PersFw)========== Driver Services (SafeList) ==========DRV - [2002-04-15 12:28:32 | 000,102,912 | ---- | M] () [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\FWDRV.SYS -- (fwdrv) To mit, że Kerio jest obecnie dobrą zaporą. Tak owszem było, ale 10 lat wcześniej. Aktualnie taki nieaktualizowany firewall jadący na przestarzałych dziurawych plikach nie jest odporny, dobra infekcja i tyle go widzieli. Należy zaopatrzyć się w nowoczesną zaporę (najlepiej z funkcjonalnością HIPS) a nie takie coś... Darmowe propozycje: PrivateFirewall, Online Armor Free, COMODO Firewall. Zrobiłem analizę za pomocą HijackThis i nie wykrył nic szczególnie podejrzanego. Zaniepokoiło mnie jedynie, że wg jego logów nie mam włączonego żadnego antywirusa, podczas gdy AVG działał podczas tworzenia loga. Nie rozumiem wypowiedzi na temat HijackThis versus AVG. Przedstaw co oceniałeś (mam nadzieję, że żaden automatyczny analizer nie był w obrotach, bo tym można sobie zaszkodzić). W HijackThis widać antywirusa, a to że go widać tylko częściowo to wina HijackThis. To narzędzie jest archaiczne, słabe i nie pokazuje bardzo wielu miejsc, które w obecnych czasach należy sprawdzić (m.in. sekcja sterowników, alternatywne przeglądarki). W pełni zastępuje go OTL (ma wszystkie identyfikatory HijackThis i o wiele więcej). Już od wielu lat tu na forum nikt w pożądnej analizie nie używa HijackThis.. Odnośnik do komentarza
nologin Opublikowano 30 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 30 Maja 2013 Jestem mile zaskoczony szybkością odpowiedzi. Przy okazji wykonywania skryptu zostało usunięte ponad 4,5 GB różnych plików tymczasowych. Nawet nie podejrzewałem, że aż tyle może się tego nagromadzić. Co do analizy za pomocą HijackThis, to zasugerowałem się postami z innych forów, gdzie polecali to jako narzędzie do wstępnej analizy. To, że antywirus jest nieaktywny powiedział mi analizator z tej strony http://www.hijackthis.de/ gdzie wkleja się log z programu. Zainstalowałem też jako firewall Comodo. Dziękuję za szybką pomoc. Odnośnik do komentarza
picasso Opublikowano 30 Maja 2013 Zgłoś Udostępnij Opublikowano 30 Maja 2013 Wykonaj czynności końcowe: 1. W OTL uruchom Sprzątanie, co skasuje z dysku i rejestru OTL.2. Wyczyść foldery Przywracania systemu: KLIK.3. Zaktualizuj wyliczone poniżej programy: KLIK. Wg raportu są tu wersje: Internet Explorer (Version = 6.0.2900.5512)========== HKEY_LOCAL_MACHINE Uninstall List ==========[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83217010FF}" = Java 7 Update 11"{32A3A4F4-B792-11D6-A78A-00B0D0170070}" = Java SE Development Kit 7 Update 7"{60B2F25C-22CB-4CD9-9168-8C63708DC1A1}" = LibreOffice 3.6"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight"ENTERPRISE" = Microsoft Office Enterprise 2007"Mozilla Firefox 20.0.1 (x86 pl)" = Mozilla Firefox 20.0.1 (x86 pl)FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files\Microsoft Silverlight\5.1.10411.0\npctrl.dll ( Microsoft Corporation) Przy okazji wykonywania skryptu zostało usunięte ponad 4,5 GB różnych plików tymczasowych. Nawet nie podejrzewałem, że aż tyle może się tego nagromadzić. Tę procedurę, tylko na własną rękę, możesz uruchamiać posługując się programem TFC - Temp Cleaner. Wykonuje identyczne akcje jak komenda [emptytemp] w skrypcie OTL. Autorem obu programów jest po prostu ta sama osoba. To, że antywirus jest nieaktywny powiedział mi analizator z tej stronyhttp://www.hijackthis.de/ gdzie wkleja się log z programu. Tak podejrzewałam, że użyłeś jakiś trefny automat. Analizer opowiada głupoty (i prawdopodobnie od dawna nie jest aktualizowany): nie zidentyfikował podstawowych wpisów antywirusa, ani nawet prawidłowego poziomu Service Pack systemu (jest tu zainstalowany najnowszy z możliwych SP3 + data pliku explorer.exe na 2008 potwierdza zgodność, a analizer twierdzi "A newer version of service pack is available."). Wycinam z raportu HijackThis wszystkie wpisy AVG, które mówią o tym, że antywirus jest czynny (procesy + usługi + wpis startowy): Running processes:C:\PROGRA~1\AVG\AVG2013\avgrsx.exeC:\Program Files\AVG\AVG2013\avgcsrvx.exeC:\Program Files\AVG\AVG2013\avgui.exeC:\Program Files\AVG\AVG2013\avgidsagent.exeC:\Program Files\AVG\AVG2013\avgwdsvc.exeC:\Program Files\AVG\AVG2013\avgnsx.exeC:\Program Files\AVG\AVG2013\avgemcx.exeC:\Program Files\AVG Secure Search\vprot.exeC:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\14.2.0\ToolbarUpdater.exe O2 - BHO: AVG Security Toolbar - {95B7759C-8C7F-4BF1-B163-73684A933233} - C:\Program Files\AVG Secure Search\14.2.0.1\AVG Secure Search_toolbar.dllO3 - Toolbar: AVG Security Toolbar - {95B7759C-8C7F-4BF1-B163-73684A933233} - C:\Program Files\AVG Secure Search\14.2.0.1\AVG Secure Search_toolbar.dllO4 - HKLM\..\Run: [vProt] "C:\Program Files\AVG Secure Search\vprot.exe"O4 - HKLM\..\Run: [AVG_UI] "C:\Program Files\AVG\AVG2013\avgui.exe" /TRAYONLYO18 - Protocol: viprotocol - {B658800C-F66E-4EF3-AB85-6C0C227862A9} - C:\Program Files\Common Files\AVG Secure Search\ViProtocolInstaller\14.2.0\ViProtocol.dllO23 - Service: AVGIDSAgent - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG2013\avgidsagent.exeO23 - Service: AVG WatchDog (avgwd) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG2013\avgwdsvc.exeO23 - Service: vToolbarUpdater14.2.0 - Unknown owner - C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\14.2.0\ToolbarUpdater.exe A teraz konfrontacja z tym co mówi OTL (więcej danych, bo jeszcze sterowniki programu i kilka innych miejsc rejestru pokazuje, a pasek AVG jest wykrywany także w Firefox): ========== Processes (SafeList) ==========PRC - [2012-12-11 04:52:44 | 003,147,384 | ---- | M] (AVG Technologies CZ, s.r.o.) -- C:\Program Files\AVG\AVG2013\avgui.exePRC - [2012-11-16 00:34:30 | 005,814,904 | ---- | M] (AVG Technologies CZ, s.r.o.) -- C:\Program Files\AVG\AVG2013\avgidsagent.exePRC - [2012-10-30 05:59:56 | 000,726,648 | ---- | M] (AVG Technologies CZ, s.r.o.) -- C:\Program Files\AVG\AVG2013\avgrsx.exePRC - [2012-10-22 14:05:08 | 000,196,664 | ---- | M] (AVG Technologies CZ, s.r.o.) -- C:\Program Files\AVG\AVG2013\avgwdsvc.exePRC - [2012-10-22 14:04:32 | 001,116,792 | ---- | M] (AVG Technologies CZ, s.r.o.) -- C:\Program Files\AVG\AVG2013\avgnsx.exePRC - [2012-10-22 14:03:52 | 000,796,792 | ---- | M] (AVG Technologies CZ, s.r.o.) -- C:\Program Files\AVG\AVG2013\avgemcx.exePRC - [2012-10-22 14:03:46 | 000,440,440 | ---- | M] (AVG Technologies CZ, s.r.o.) -- C:\Program Files\AVG\AVG2013\avgcsrvx.exePRC - [2013-03-22 22:46:55 | 001,151,152 | ---- | M] () -- C:\Program Files\AVG Secure Search\vprot.exePRC - [2013-03-22 22:46:54 | 000,968,880 | ---- | M] () -- C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\14.2.0\ToolbarUpdater.exe ========== Modules (No Company Name) ==========MOD - [2013-03-22 22:46:57 | 000,156,848 | ---- | M] () -- C:\Program Files\Common Files\AVG Secure Search\SiteSafetyInstaller\14.2.0\SiteSafety.dllMOD - [2013-03-22 22:46:55 | 001,151,152 | ---- | M] () -- C:\Program Files\AVG Secure Search\vprot.exeMOD - [2013-03-22 22:46:54 | 000,968,880 | ---- | M] () -- C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\14.2.0\ToolbarUpdater.exe========== Services (SafeList) ========== SRV - [2013-03-22 22:46:54 | 000,968,880 | ---- | M] () [Auto | Running] -- C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\14.2.0\ToolbarUpdater.exe -- (vToolbarUpdater14.2.0)SRV - [2012-11-16 00:34:30 | 005,814,904 | ---- | M] (AVG Technologies CZ, s.r.o.) [Auto | Running] -- C:\Program Files\AVG\AVG2013\avgidsagent.exe -- (AVGIDSAgent)SRV - [2012-10-22 14:05:08 | 000,196,664 | ---- | M] (AVG Technologies CZ, s.r.o.) [Auto | Running] -- C:\Program Files\AVG\AVG2013\avgwdsvc.exe -- (avgwd) ========== Driver Services (SafeList) ========== DRV - [2013-03-22 22:46:57 | 000,033,112 | ---- | M] (AVG Technologies) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avgtpx86.sys -- (avgtp)DRV - [2012-11-16 00:33:26 | 000,094,048 | ---- | M] (AVG Technologies CZ, s.r.o.) [File_System | Boot | Running] -- C:\WINDOWS\system32\drivers\avgmfx86.sys -- (Avgmfx86)DRV - [2012-10-22 14:02:46 | 000,179,936 | ---- | M] (AVG Technologies CZ, s.r.o. ) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avgidsdriverx.sys -- (AVGIDSDriver)DRV - [2012-10-15 04:48:52 | 000,055,776 | ---- | M] (AVG Technologies CZ, s.r.o. ) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\avgidshx.sys -- (AVGIDSHX)DRV - [2012-10-02 04:30:38 | 000,159,712 | ---- | M] (AVG Technologies CZ, s.r.o.) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avgldx86.sys -- (Avgldx86)DRV - [2012-09-21 04:46:06 | 000,164,832 | ---- | M] (AVG Technologies CZ, s.r.o.) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avgtdix.sys -- (Avgtdix)DRV - [2012-09-21 04:46:00 | 000,177,376 | ---- | M] (AVG Technologies CZ, s.r.o.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\avglogx.sys -- (Avglogx)DRV - [2012-09-21 04:45:54 | 000,019,936 | ---- | M] (AVG Technologies CZ, s.r.o. ) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avgidsshimx.sys -- (AVGIDSShim)DRV - [2012-09-14 04:05:20 | 000,035,552 | ---- | M] (AVG Technologies CZ, s.r.o.) [File_System | Boot | Running] -- C:\WINDOWS\system32\drivers\avgrkx86.sys -- (Avgrkx86)========== Standard Registry (SafeList) ==========FF - HKLM\Software\MozillaPlugins\@avg.com/AVG SiteSafety plugin,version=11.0.0.1,application/x-avg-sitesafety-plugin: C:\Program Files\Common Files\AVG Secure Search\SiteSafetyInstaller\14.2.0\\npsitesafety.dll ()FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\avg@toolbar: C:\Documents and Settings\All Users\Dane aplikacji\AVG Secure Search\FireFoxExt\14.2.0.1 [2013-03-22 22:48:27 | 000,000,000 | ---D | M]O2 - BHO: (AVG Security Toolbar) - {95B7759C-8C7F-4BF1-B163-73684A933233} - C:\Program Files\AVG Secure Search\14.2.0.1\AVG Secure Search_toolbar.dll ()O3 - HKLM\..\Toolbar: (AVG Security Toolbar) - {95B7759C-8C7F-4BF1-B163-73684A933233} - C:\Program Files\AVG Secure Search\14.2.0.1\AVG Secure Search_toolbar.dll ()O4 - HKLM..\Run: [AVG_UI] C:\Program Files\AVG\AVG2013\avgui.exe (AVG Technologies CZ, s.r.o.)O4 - HKLM..\Run: [vProt] C:\Program Files\AVG Secure Search\vprot.exe ()O18 - Protocol\Handler\viprotocol {B658800C-F66E-4EF3-AB85-6C0C227862A9} - C:\Program Files\Common Files\AVG Secure Search\ViProtocolInstaller\14.2.0\ViProtocol.dll ()O34 - HKLM BootExecute: (C:\PROGRA~1\AVG\AVG2013\avgrsx.exe /sync /restart) ========== Authorized Applications List ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]"C:\Program Files\AVG\AVG2013\avgmfapx.exe" = C:\Program Files\AVG\AVG2013\avgmfapx.exe:*:Enabled:Instalator AVG -- (AVG Technologies CZ, s.r.o.)"C:\Program Files\AVG\AVG2013\avgnsx.exe" = C:\Program Files\AVG\AVG2013\avgnsx.exe:*:Enabled:Ochrona Sieci -- (AVG Technologies CZ, s.r.o.)"C:\Program Files\AVG\AVG2013\avgdiagex.exe" = C:\Program Files\AVG\AVG2013\avgdiagex.exe:*:Enabled:Diagnostyka AVG 2013 -- (AVG Technologies CZ, s.r.o.)"C:\Program Files\AVG\AVG2013\avgemcx.exe" = C:\Program Files\AVG\AVG2013\avgemcx.exe:*:Enabled:Uniwersalny skaner poczty e-mail -- (AVG Technologies CZ, s.r.o.)========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{241DBC8D-14E3-4240-8EE5-3AC35086B638}" = AVG 2013"{B3A1BF34-A336-450D-BC3E-3A854AD270A0}" = AVG 2013"AVG" = AVG 2013"AVG Secure Search" = AVG Security Toolbar Moja rada jest taka, by nie posługiwać się takimi analizerami. Od zawsze byłam im przeciwna. Rzeczową analizę to może wykonać tylko żywy myślący człowiek. Jest wiele niuansów i pułapek, których nie potrafi wykryć automat.Dodatkowa uwaga na temat AVG: antywirus to jedno, ale pasek AVG Security Toolbar to co innego. Ten pasek nie jest niezbędny i możesz się go pozbyć. Tu nawet nie jest pewne czy to była na pewno część instalacji AVG 2013, bo pasek ma nowsze daty niż reszta majdanu.. Odnośnik do komentarza
Rekomendowane odpowiedzi