Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Rootkit

aoeseo

Przez aoeseo
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

aoeseo

aoeseo

Opublikowano
Opublikowano

Windows 7. 64-bitowy system operacyjny

 

Witam Avast wykrywa mi jakiego rootkita. ale go nie usuwa, po ponownym uruchomieniu komputera znów mnie informuje o zagrożeniu. Proszę o Pomoc. Skanowałem również RogueKiller TDSSKiller.

Addition.txt

Extras.Txt

FRST.txt

OTL.Txt

Shortcut.txt

RKreport0_S_04042014_142812.txt

gmer..txt

TDSSKiller.3.0.0.27_04.04.2014_15.36.16_log.txt

TDSSKiller.3.0.0.28_04.04.2014_15.37.12_log.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Proszę przeklej dokładnie z raportu Avast co on dokładnie widzi i gdzie (jaka ścieżka dostępu).

 

W kwestii raportów: brak oznak czynnej infekcji, ale są jej elementy, tzn. Bitcoin miner "PC Data App" (usługa ProtectMonitor jest jednak wyłączona) i szczątki adware. Pod tym kątem:

 

1. Przez Panel sterowania odinstaluj FunDeoals, PC Data App. Przypuszczalnie są to zdefektowane wpisy, ale Windows przynajmniej powinien zapytać czy je usuwać.

 

2. Otwórz Notatnik i wklej w nim:

 

CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
CHR StartMenuInternet: Google Chrome - Chrome.exe
StartMenuInternet: IEXPLORE.EXE - iexplore.exe
SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
BHO: FunDeoals - {C2BC6BE3-4F64-AEFB-BBF6-292FBAB2CA9D} - C:\ProgramData\FunDeoals\JP.x64.dll No File
S4 ProtectMonitor; C:\Program Files (x86)\PCData\StartHelp.exe [90681 2014-03-03] ()
S2 Util PacFunction; "C:\Program Files (x86)\PacFunction\bin\utilPacFunction.exe" [X]
S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X]
S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X]
C:\Program Files\Enigma Software Group
C:\Program Files (x86)\PCData
C:\Program Files (x86)\safeWeub
C:\Program Files (x86)\SW-Booster
C:\ProgramData\c0b52d9e8a6bcb00
C:\ProgramData\Bsoft
C:\ProgramData\InstallMate
C:\ProgramData\safeWeub
C:\Users\Aoeseo\AppData\Local\Comodo
C:\Users\Administrator
C:\Users\HomeGroupUser$
C:\Users\Guest

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

3. Jest tu zamieszanie z serwerami DNS:

 

Tcpip\..\Interfaces\{24F0C450-F3BC-4196-BB9D-DAB57EBDCC00}: [NameServer]212.2.96.51 212.2.96.52

Tcpip\..\Interfaces\{55B510D9-836D-4497-97AE-2B7281C0D0A9}: [NameServer]212.2.96.53 212.2.96.54

Tcpip\..\Interfaces\{C10F9C03-3A9B-4763-9D94-B1E3FB8111E6}: [NameServer]212.2.96.51 212.2.96.52

Tcpip\..\Interfaces\{D9EE2835-4A65-4730-8105-3E2C6D3A83DB}: [NameServer]212.2.96.51 212.2.96.52

Tcpip\..\Interfaces\{EC6C41C6-C241-4C06-BA98-CD9531649310}: [NameServer]8.8.8.8,8.8.4.4,4.2.2.1,4.2.2.2,208.67.222.222,208.67.220.220,8.26.56.26,8.20.247.20,156.154.70.1,156.154.71.1

 

Lista uwzględnia wszystkie interfejsy sieciowe, nie wiem który jest bieżącym. Pierwsze 4 pozycje to serwery dostawcy. Chodzi mi o korektę tego ostatniego wpisu, za dużo wejść: serwery Google (nowe i stare), OpenDNS, COMODO Secure DNS, DNS Advantage. Resetowanie DNS: KLIK.

 

4. Zrób nowy skan FRST (bez Addition i Shortcut). Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner (był używany).

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Zadania wykonane, za wyjątkiem punktu 3. Reset DNS nastąpił dla innego interfejsu sieciowego (pozycja numer 1), nadal ostatnia pozycja wygląda identycznie:

 

Tcpip\..\Interfaces\{0F0A892A-D83A-496E-9BC3-302D37D3E9A0}: [NameServer]208.67.222.222,208.67.220.220

Tcpip\..\Interfaces\{24F0C450-F3BC-4196-BB9D-DAB57EBDCC00}: [NameServer]212.2.96.51 212.2.96.52

Tcpip\..\Interfaces\{55B510D9-836D-4497-97AE-2B7281C0D0A9}: [NameServer]212.2.96.53 212.2.96.54

Tcpip\..\Interfaces\{C10F9C03-3A9B-4763-9D94-B1E3FB8111E6}: [NameServer]212.2.96.51 212.2.96.52

Tcpip\..\Interfaces\{D9EE2835-4A65-4730-8105-3E2C6D3A83DB}: [NameServer]212.2.96.51 212.2.96.52

Tcpip\..\Interfaces\{EC6C41C6-C241-4C06-BA98-CD9531649310}: [NameServer]8.8.8.8,8.8.4.4,4.2.2.1,4.2.2.2,208.67.222.222,208.67.220.220,8.26.56.26,8.20.247.20,156.154.70.1,156.154.71.1

 

Jeśli w Panelu sterowania w folderze widzisz więcej niż jedno połączenie, sprawdź wszystkie po kolei szukając ustawienia DNS odpowiadającego raportowi.

 

 

Nie wiem jak przekleic raport z Avast. Po ponownym uruchomieniu komputera nie wyskoczyl mi zaden komunikat. Zrobic skan programem Avast? Ten komunikat o rootkit sam mi wyskoczyl bez skanowania.

W opcjach Avast nie ma żadnego dziennika ze złapaną detekcją?

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Zrobilem pelny skan Avasten, wykryl Zgrozenie; Win32;Dropper-gen[Drp] C:\User\Aoeseo\AppData\Local\Temp\trz3CA.tmp Poziom zagrozenia -Wysoki

Zastosuj TFC - Temp Cleaner. Zresetuj system. Zrób ponowny skan Avast, by sprawdzić czy znów to wykryje.

 

 

Chyba zrobilem to programem do zmiany DNS ale nie jestem pewien.

Nie za bardzo rozumiem do czego mam to odnieść. Co do za program i jakie DNS pokazywał? Jak mówiłam, jest w systemie kilka interfejsów sieciowych, a każdy ma przypisany odrębny zestaw DNS. Chodziło mi o korektę tylko jednego konkretnego wejścia.

 

 

.

Odnośnik do komentarza
aoeseo

aoeseo

Opublikowano
  • Autor
Opublikowano

Zastosowalem TFC zrobilem reset, zrobilem pelen skan Avastem nic nie wykryl, nie wyswietla mi sie juz komunikat o wykryciu Rootkit przez Avast. DNS zmienilem programem "Public DNS Server Tool" Ten ktory jest podany w poscie reset DNS. Wykryl mi nastepujace DNS server:

 

  • 1 Google DNS                        8.8.8.8, 8.8.4.4
  • 2 OpenDNS Home                  208.67.222.222, 208.67.220.220
  • 3 OpenDNS FamilyShield       208.67.222.123, 208.67. 220.123
  • 4 Norton ConectSafe A          198.153.192.40, 198.153.194.40
  • 5 Norton ConectSafe B          198.153.192.50, 198.153.194.50
  • 6 Norton ConectSafe C          198.153.192.60, 198.153.194.60
  • 7 Comodo Secure                  8.26.56.26, 8.20.247.20
  • 8 DNS Advantage                  156.154.70.1, 156.154.71.1

 

Odpalajac ten program jest Select your NIC card:

 i jest 4 x HUAWEI Mobile Connect -Network Card tak mi sie wydaje ze wykrywa mi stary modem z LTE z Cyfrowego Polsatu nie wiem dlaczego nie uzywam juz go dawno i jest rozlaczony. na 5 pozycji jest Realtek PCIe GBE Family Controller

 

 

w Temacie  "Prawdopodobnie infekcja podmieniajaca DNS-Komputer znajomego"  Mialem Takie same objawy wlasnie z aktualizacja wtyczki flash player. Ale nic nie pobieralem, wiedzialem ze mam aktualna. 

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

OK, o ten zestaw DNS chodzio, jak rozumiem już to skorygowałeś.

 

 

Odpalajac ten program jest Select your NIC card:

 

i jest 4 x HUAWEI Mobile Connect -Network Card tak mi sie wydaje ze wykrywa mi stary modem z LTE z Cyfrowego Polsatu nie wiem dlaczego nie uzywam juz go dawno i jest rozlaczony.

Skoro rozłączony, a jest wykrywane urządzenie, nie odinstalowano urządzenia z systemu. Ponadto, w systemie działa całe oprogramowanie HUAWEI Mobile Connect związane z tym:

 

========== Services (SafeList) ==========
 

SRV - [2013-08-08 11:25:33 | 000,246,112 | ---- | M] () [On_Demand | Stopped] -- C:\Program Files (x86)\Internet w Cyfrowym Polsacie\UpdateDog\ouc.exe -- (Internet w Cyfrowym Polsacie. RunOuc)

SRV - [2011-03-14 17:27:34 | 000,346,976 | ---- | M] () [Auto | Running] -- C:\ProgramData\DatacardService\HWDeviceService64.exe -- (HWDeviceService64.exe)
 

========== Driver Services (SafeList) ==========
 

DRV:64bit: - [2013-08-08 11:25:36 | 000,421,376 | ---- | M] (Huawei Technologies Co., Ltd.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\ewusbwwan.sys -- (ewusbmbb)

DRV:64bit: - [2013-08-08 11:25:36 | 000,117,248 | ---- | M] (Huawei Technologies Co., Ltd.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\ew_hwusbdev.sys -- (ew_hwusbdev)

DRV:64bit: - [2013-08-08 11:25:36 | 000,086,016 | ---- | M] (Huawei Technologies Co., Ltd.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\ew_jubusenum.sys -- (huawei_enumerator)

DRV:64bit: - [2013-08-08 11:25:36 | 000,013,952 | ---- | M] (Huawei Technologies Co., Ltd.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\ew_usbenumfilter.sys -- (ew_usbenumfilter)

DRV:64bit: - [2013-08-08 11:25:35 | 000,222,464 | ---- | M] (Huawei Technologies Co., Ltd.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\ewusbmdm.sys -- (hwdatacard)

 

 

 

.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...