rogerwest Opublikowano 7 Czerwca 2013 Zgłoś Udostępnij Opublikowano 7 Czerwca 2013 Witam serdecznie. Moja niemiła przygoda z rotkitami zaczęła się około tydzień temu kiedy to wczytywanie stron w przeglądarce masakrycznie zwolniło. Jak zwykle w tego typu przypadkach uznałem że to wina operatora(do tej pory tak było) i zadzwonilem do pomocy technicznej. Usłyszałem że mają awarię i w tej chwili mi nie pomogą: "proszę poczekać kilka godzin to napewno wszytko wróci do normy". Uzbroiłem się w cierpliwość i poczekałem 2 dni ale problem nie zniknął więc zadzwoniłem ponownie. Koleś z PT stwierdził że problem nie leży po ich stronie i że z moim połączeniem jest wszytko ok. Przy użyciu super wolnego internetu rozpocząłem poszukiwania rozwiązania mojego problemu. Po wpisaniu w wyszukiwarce frazy "wirusy spowalniające internet" natrafiłem na informacje o rotkitach i programie combofix. Pobrałem program i przeprowadziłem skanowanie w wyniku którego okazało się że mój komputer zostal zainfekowany przez rotkita:(. Combofix usunął wirusa i wszystko wrócilo do normy. Przez następne kilka dni był spokój po czym podczas przeglądania internetu pojawił się słynny komunikat: "komputer został zablokowany przez policję". Jako że nie posiadam pendriva z zainstalowanym combofixem byłem zmuszony zrobić formata. Zaraz po postawieniu systemu odpaliłem combofixa który znalazł i rzekomo usunął rotkita(niestety nie posiadam raportu z tego skanu). Napisałem rzekomo ponieważ problem wcale nie zniknąl. Zyskałem jedynie 2 dni spokoju. W dniu dzisiejszym ok 2.00 w trakcie grania w grę MMO dokonałem w niej pewnych modyfikacji(wyłączyłem czat głosowy) w wyniku czego myszka zdechła:). Standardowo zrestartowałem kompa co postawiło mychę na nogi, ale z kolei uniemożliwilo mi dostęp do mojego komputera. Po kolejnym restarcie okazało się że na żadną z partycji nie mogę wejść. Kliknięcie na dany dysk lokalny powodowalo jedynie wyświetlenie ogólnych informacji. Po kilku irytujących restartach w końcu udało mi się dostać do dysku lokalnego D i odpalić combofixa. Oto co znalazł: ComboFix 13-06-06.04 - PATHFINDER 2013-06-07 1:26.2.2 - x86Microsoft Windows XP Professional 5.1.2600.3.1250.48.1045.18.2013.1714 [GMT 2:00]Uruchomiony z: d:\nowe\ComboFix.exe..((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))..c:\windows\host32.exec:\windows\system32\ntos.exec:\windows\system32\sdra64.exec:\windows\system32\twext.exe..((((((((((((((((((((((((( Pliki utworzone od 2013-05-06 do 2013-06-06 ))))))))))))))))))))))))))))))).....(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))).2013-06-02 22:08 . 2008-04-14 20:50 219648 ----a-w- c:\windows\system32\uxtheme.dll..------- Sigcheck -------Note: Unsigned files aren't necessarily malware..[-] 2008-05-08 . ACCF5A9A1FFAA490F33DBA1C632B95E1 . 361344 . . [5.1.2600.5512] . . c:\windows\system32\drivers\tcpip.sys.[7] 2008-04-14 . 9A19BA6D99B8EC3DB5B3EFF71B0A0BB5 . 112128 . . [5.4.3790.5512] . . c:\windows\erdnt\cache\wuauclt.exe[-] 2008-04-14 . E1A9A883950ADB8F0536E2201A3C2A00 . 101888 . . [5.4.3790.5512] . . c:\windows\system32\wuauclt.exe[-] 2008-04-14 . E1A9A883950ADB8F0536E2201A3C2A00 . 101888 . . [5.4.3790.5512] . . c:\windows\system32\dllcache\wuauclt.exe.[7] 2008-05-08 . C6EC2493346ED8888A549F59210A8ED3 . 3578368 . . [7.00.5730.13] . . c:\windows\erdnt\cache\mshtml.dll[-] 2008-05-08 . 1B70DB042A98B52BBBFEA5CBF8AF3FD2 . 3851264 . . [7.00.5730.13] . . c:\windows\system32\mshtml.dll[-] 2008-05-08 . 1B70DB042A98B52BBBFEA5CBF8AF3FD2 . 3851264 . . [7.00.5730.13] . . c:\windows\system32\dllcache\mshtml.dll.[7] 2008-05-08 . A4A0FC92358F39538A6494C42EF99FE9 . 818688 . . [7.00.5730.13] . . c:\windows\erdnt\cache\wininet.dll[-] 2008-05-08 . F284A6225A3057A1E19985E1D4B47ADA . 809472 . . [7.00.5730.13] . . c:\windows\system32\wininet.dll[-] 2008-05-08 . F284A6225A3057A1E19985E1D4B47ADA . 809472 . . [7.00.5730.13] . . c:\windows\system32\dllcache\wininet.dll.[-] 2008-04-14 . F042E3426D45D86D9BB55F6A79AB441A . 977408 . . [6.00.2900.5512] . . c:\windows\explorer.exe[7] 2008-04-14 . C791ED9EAC5E76D9525E157B1D7A599A . 1035264 . . [6.00.2900.5512] . . c:\windows\erdnt\cache\explorer.exe[-] 2008-04-14 . F042E3426D45D86D9BB55F6A79AB441A . 977408 . . [6.00.2900.5512] . . c:\windows\system32\dllcache\explorer.exe.[-] 2008-04-14 . AA16572097E544B985D6B5CBD4CB164C . 227328 . . [5.1.2600.5512] . . c:\windows\regedit.exe[7] 2008-04-14 . FD317A23C3EB2A856E74279FBE04B9C2 . 149504 . . [5.1.2600.5512] . . c:\windows\erdnt\cache\regedit.exe[-] 2008-04-14 . AA16572097E544B985D6B5CBD4CB164C . 227328 . . [5.1.2600.5512] . . c:\windows\system32\dllcache\regedit.exe.[-] 2008-05-08 . 9F02C1CF7C3100E4AEA7DD8B6A86A01B . 1571840 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll.((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))..*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"RTHDCPL"="RTHDCPL.EXE" [2009-10-16 18782720]"SpywareTerminator"="c:\program files\Spyware Terminator\SpywareTerminatorShield.exe" [2013-06-02 2867200]"IgfxTray"="c:\windows\system32\igfxtray.exe" [2011-10-31 129536]"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2011-10-31 163328]"Persistence"="c:\windows\system32\igfxpers.exe" [2011-10-31 139264]"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2013-03-12 253816]"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2013-05-11 958576].[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360].[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]"nltide_2"="shell32" [X].c:\documents and settings\PATHFINDER\Menu Start\Programy\Autostart\RocketDock.lnk - c:\windows\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe [2007-3-19 630784].[HKEY_LOCAL_MACHINE\software\microsoft\security center]"AntiVirusOverride"=dword:00000001.[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]"EnableFirewall"= 0 (0x0).[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\system32\\sessmgr.exe"="c:\\Program Files\\uTorrent\\uTorrent.exe"="c:\\Program Files\\Pando Networks\\Media Booster\\PMB.exe"=.[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]"56364:TCP"= 56364:TCP:Pando Media Booster"56364:UDP"= 56364:UDP:Pando Media Booster.R1 sp_rsdrv2;Spyware Terminator Driver 2;c:\windows\system32\drivers\sp_rsdrv2.sys [2013-06-02 141312]R3 L1c;NDIS Miniport Driver for Atheros AR813x/AR815x PCI-E Ethernet Controller;c:\windows\system32\drivers\l1c51x86.sys [2013-06-02 45056]S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [2013-06-02 1684736].Zawartość folderu 'Zaplanowane zadania'.2013-06-06 c:\windows\Tasks\Adobe Flash Player Updater.job- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2013-06-04 23:03]..------- Skan uzupełniający -------.IE: Crawler Search - tbr:iemenuTCP: DhcpNameServer = 86.63.64.48 86.63.64.49Handler: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - c:\progra~1\Crawler\Toolbar\ctbr.dllFF - ProfilePath - c:\documents and settings\PATHFINDER\Dane aplikacji\Mozilla\Firefox\Profiles\fgdmz7hl.default\FF - ExtSQL: 2013-06-02 22:29; {4B3803EA-5230-4DC3-A7FC-33638F3D3542}; c:\program files\Crawler\Toolbar\firefoxFF - ExtSQL: 2013-06-02 23:19; {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}; c:\documents and settings\PATHFINDER\Dane aplikacji\Mozilla\Firefox\Profiles\fgdmz7hl.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi..**************************************************************************.catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.netRootkit scan 2013-06-07 01:28Windows 5.1.2600 Dodatek Service Pack 3 NTFS.skanowanie ukrytych procesów ... .skanowanie ukrytych wpisów autostartu ....skanowanie ukrytych plików ... .skanowanie pomyślnie ukończoneukryte pliki: 0.**************************************************************************.--------------------- ZABLOKOWANE KLUCZE REJESTRU ---------------------.[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]@Denied: (A 2) (Everyone)@="FlashBroker""LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_7_700_202_ActiveX.exe,-101".[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]"Enabled"=dword:00000001.[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_7_700_202_ActiveX.exe".[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}".[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]@Denied: (A 2) (Everyone)@="IFlashBroker5".[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]@="{00020424-0000-0000-C000-000000000046}".[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}""Version"="1.0".--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------.- - - - - - - > 'lsass.exe'(760)c:\windows\system32\scecli.dll.Czas ukończenia: 2013-06-07 01:29:23ComboFix-quarantined-files.txt 2013-06-06 23:29ComboFix2.txt 2013-06-02 20:54.Przed: 86 778 253 312 bajtów wolnychPo: 86 835 994 624 bajtów wolnych.- - End Of File - - BD5A760BA275B638FC9CA6869552637232052574BF9F325AE309ABC7BFD04460 Dodam że mój WIn to wersja korporacyjna bez klucza zassana z torrentów. Nie korzystam z zapory systemowej oraz aktualizacji automatycznych. Do tej pory używałem jedynie Spyware terminatora i nigdy nie miałem żadnych problemów z tego typu robactwem. zdaje sobie że nie jest to jakis super program antywirusowy, ale jak wpomniałem wczesniej do tej pory nie bylo problemów. Prosze o radę w kwesti doboru oprogramowania antywirusowego(skutecznego i nie mulącego kompa) Chciałbym się raz na zawsze pozbyć problemu. Z góry dziękuje za wszelkie rady i pomoc Odnośnik do komentarza
picasso Opublikowano 8 Czerwca 2013 Zgłoś Udostępnij Opublikowano 8 Czerwca 2013 Na temat używania ComboFix: KLIK. Zasady działu jakie raporty się tu dostarcza: KLIK. Dołącz obowiązkowe logi OTL + GMER. Dodam że mój WIn to wersja korporacyjna bez klucza zassana z torrentów.Nie korzystam z zapory systemowej oraz aktualizacji automatycznych.Do tej pory używałem jedynie Spyware terminatora i nigdy nie miałem żadnych problemów z tego typu robactwem. zdaje sobie że nie jest to jakis super program antywirusowy, ale jak wpomniałem wczesniej do tej pory nie bylo problemów. Daleko na tym nie zajedziesz. Bez aktualizacji Windows ser szwajcarski i problem nawrotu infekcji tym m.in. może być dyktowany. Spyware Terminator to podrzędny skaner, ochrona bazująca tylko na nim to niestety mało.. Odnośnik do komentarza
rogerwest Opublikowano 10 Czerwca 2013 Autor Zgłoś Udostępnij Opublikowano 10 Czerwca 2013 Przepraszam za wklejenie raportu z combofixa. Raporty z OLT są obszerne dlatego też zamieszczam je jako załączniki. Musze się również przyznać że combofixa pobrałem z pierwszej lepszej strony a nie z autoryzowanego źródła o którym mowa w "dezynfekcja: narzędzie ComboFix" za co również przepraszam. Czy znaczy to że powinieniem ponownie go pobrać, tym razem z dobrego źródła i przeprowadzić skan ponownie? Skan z Gmer jest krótszy więc zamieszczam go poniżej: GMER 2.1.19163 - http://www.gmer.netRootkit scan 2013-06-10 05:15:25Windows 5.1.2600 Dodatek Service Pack 3 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-6 SAMSUNG_HD502HJ rev.1AJ10001 465,76GBRunning: 60ckwn30.exe; Driver: C:\DOCUME~1\PATHFI~1\USTAWI~1\Temp\kfndafoc.sys---- System - GMER 2.1 ----SSDT \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ZwClose [0xA832B606]SSDT \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ZwCreateFile [0xA832B05A]SSDT \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ZwCreateKey [0xA832AD3C]SSDT \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ZwCreateSection [0xA832C652]SSDT \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ZwDeleteKey [0xA832AE46]SSDT \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ZwDeleteValueKey [0xA832AF30]SSDT \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ZwLoadDriver [0xA832B8CC]SSDT \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ZwOpenFile [0xA832B362]SSDT \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ZwSetValueKey [0xA832ABBA]SSDT \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ZwTerminateProcess [0xA832B814]SSDT \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ZwWriteFile [0xA832B494]---- User code sections - GMER 2.1 ----.text C:\Program Files\Mozilla Firefox\firefox.exe[2688] ntdll.dll!LdrLoadDll 7C9163A3 5 Bytes JMP 015C9CF0 C:\Program Files\Mozilla Firefox\xul.dll.text C:\Program Files\Mozilla Firefox\firefox.exe[2688] kernel32.dll!lstrlenW + 43 7C809ADC 7 Bytes JMP 01B7542B C:\Program Files\Mozilla Firefox\xul.dll.text C:\Program Files\Mozilla Firefox\firefox.exe[2688] kernel32.dll!MapViewOfFileEx + 6A 7C80B990 7 Bytes JMP 01B75408 C:\Program Files\Mozilla Firefox\xul.dll.text C:\Program Files\Mozilla Firefox\firefox.exe[2688] kernel32.dll!ValidateLocale + B1E8 7C8449F8 7 Bytes JMP 015D369E C:\Program Files\Mozilla Firefox\xul.dll.text C:\Program Files\Mozilla Firefox\firefox.exe[2688] GDI32.dll!SetDIBitsToDevice + 209 77F19E04 7 Bytes JMP 01B75389 C:\Program Files\Mozilla Firefox\xul.dll---- EOF - GMER 2.1 ---- OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 10 Czerwca 2013 Zgłoś Udostępnij Opublikowano 10 Czerwca 2013 W obecnych raportach nie widzę żadnej infekcji (ani rootkita), jest tylko adware Crawler Toolbar with Web Security Guard zamontowane wraz ze Spyware Terminatorem. Uściślij jakie problemy są aktualnie w systemie. Musze się również przyznać że combofixa pobrałem z pierwszej lepszej strony a nie z autoryzowanego źródła o którym mowa w "dezynfekcja: narzędzie ComboFix" za co również przepraszam. Czy znaczy to że powinieniem ponownie go pobrać, tym razem z dobrego źródła i przeprowadzić skan ponownie? Nie, nie pobieraj i nie uruchamiaj ponownie ComboFix.. Odnośnik do komentarza
rogerwest Opublikowano 13 Czerwca 2013 Autor Zgłoś Udostępnij Opublikowano 13 Czerwca 2013 Jedynym powtarzającym się błędem w systemie jest to że czasami nie mogę wejść na żadem z dysków lokalnych(restart z reguły pomaga) oraz to że odznaczona w opcjach folderów - widok opcja: pokaż ukryte pliki i foldery restaruje się samoczynnie kilka uruchomień później. Zapewne jest to wina szajsowatej wersji systemu jaką posiadam. Noszę się z zamiarem instalacji innej wersji XP i zastanawia mnie pewna rzecz. Otóż czy ostatnie użycie Combofixa definitywnie zabiło robale?, czy też powrócą jakby nigdy nic po formacie jak to miało miejsce wcześniej? Jeśli powrócą to czy jest jakaś mozliwość definitywnego usunięcia ich z dysku przed instalacją nowego systemu? Czy infekcja tego typu czyni dysk twardy bezużytecznym(niemożliwym do oczyszczenia) i jedynym dającym 100% pewność rozwiązaniem problemu jest kupno nowego?. Odnośnik do komentarza
diox Opublikowano 13 Czerwca 2013 Zgłoś Udostępnij Opublikowano 13 Czerwca 2013 Czy infekcja tego typu czyni dysk twardy bezużytecznym(niemożliwym do oczyszczenia) i jedynym dającym 100% pewność rozwiązaniem problemu jest kupno nowego? Żaden szkodnik nie przeżyje formatu, prędzej ta instalka systemu z torrentów ma coś ukrytego. Nie ufam takim systemom z takich źródeł. Odnośnik do komentarza
picasso Opublikowano 14 Czerwca 2013 Zgłoś Udostępnij Opublikowano 14 Czerwca 2013 (edytowane) Otóż czy ostatnie użycie Combofixa definitywnie zabiło robale?, czy też powrócą jakby nigdy nic po formacie jak to miało miejsce wcześniej? Jeśli powrócą to czy jest jakaś mozliwość definitywnego usunięcia ich z dysku przed instalacją nowego systemu? 1. Infekcja, którą usuwał ComboFix, to trojan Zbot (ntos.exe / sdra64.exe). Infekcja ta para się kradzieżą haseł: KLIK. Musisz zmienić wszystkie hasła logowania w serwisach... 2. Tu nie było infekcji, która przetrwa format. Ty te infekcje łapiesz po zainstalowaniu Windows. I tu należy winić cienkie zabezpieczenia: - Sam Windows XP to już bardzo stary archaiczny system, który musi być non stop łatany, by jako tako go zabezpieczyć. A Ty "nie korzystasz z automatycznych aktualizacji". I jeszcze zważ, że za niecały rok (8 kwiecień 2014) Microsoft kompletnie usuwa wsparcie dla XP, zero łat bezpieczeństwa = pojawi się konieczność przesiadki na jeden z nowszych z systemów, prędzej czy później. - Słabe mechanizmy obronne. Tylko podrzędny Spyware Terminator, żadnej solidnej kompleksowej ochrony (zapora + av + hips). I nie wiadomo co to za system XP, w końcu nie jest legalny, może mieć wprawionego jakiegoś backdoora.... . Edytowane 21 Lipca 2013 przez picasso 21.07.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi