mingus Opublikowano 5 Października 2014 Zgłoś Udostępnij Opublikowano 5 Października 2014 Witam. Nie mam żadnej pewności, czy tytułowy rootkit u mnie zagościł, ale wolę się upewnić i proszę o wskazówki. Objawy: od 2-3 miesięcy zdarzyła się parokrotnie następująca sytuacja z MBAM Premium: Na tę okoliczność pozwoliłem programowi na skan przy starcie systemu. Nic ciekawego nie pokazał, poza tym że potem musiałem zrobić twardy restart, bo jakieś zamrożenie nastąpiło. Nie za bardzo się tym przejąłem, ponieważ dość się naczytałem o "narowach" Premium. Ostatnio jednak testując triala UnHackMe zawarty w nim RegRun Reanimator wyświetlił mi po skanowaniu takie coś: Mam tylko ten zrzut, bo log gdzieś przepadł. Skany TDSSKiller, MBAM i ESETa nic podejrzanego nie wykazały. System jest też skanowany przez Hitmana Pro po każdym starcie, i też nic. Oczywiście od razu zapuściłem GMERa i coś tam na czerwono jest, a konkretnie chyba te chińskie krzaki w usługach: Tak to wygląda we "Właściwościach" jedna z tych pozycji: Przetłumaczyłem nazwę usługi w translatorze google i jest jakieś " Jianaihonglang Mameicuoyu t ". Tylko na jednym rosyjskim forum coś o tym jest, ale bez rozwiązania. Jeszcze jedno forum znalazłem i jest tam sugestia, że to może coś związane z uszkodzonym pakietem językowym. RegRun pokazał chyba odpowiadające tym pozycjom wpisy w rejestrze, które tez juz kiedyś zdążyłem zobaczyć. Proszę Szanowną picasso o ocenę, czy to rootkit, czy FP. Nie dostarczam raportów OTL, gdyż raz za razem mi się programik zawiesza (w trybie awaryjnym też). Staje w momencie, gdy na tapecie są ustawienia Firefoxa. FRST.txt Addition.txt Shortcut.txt GMER.txt Odnośnik do komentarza
picasso Opublikowano 6 Października 2014 Zgłoś Udostępnij Opublikowano 6 Października 2014 W systemie brak oznak czynnej infekcji, z dziwnych rzeczy widać tylko te dwie krzaczkowate usługi, ale one i tak są nieczynne (wybrakowane + wyłączone). Te obiekty nie wyglądają zresztą w ogóle na infekcję ZeroAccess, która notabene jest obecnie w hibernacji (po zamknięciu botnetu). I mam pytanie co to za pobrany plik, który ma prefiks jakby był zaszyfrowany przez infekcję: 2014-10-02 12:16 - 2014-10-02 12:16 - 00008361 _____ () C:\Users\Robert\Downloads\oie_9143125ppTrWX3C.png.crypted Natomiast widać tu inne rzeczy do naprawy, czyli wpis SecurityProviders w formie z systemu XP oraz mnóstwo wprowadzonych polityk (nieczynne na zerze). Tak jak w tym poście: KLIK. Był tu ewidentnie używany jaki program do "resetu" ustawień, który narobił błędów i wprowadził niepotrzebne obiekty. Nie dostarczam raportów OTL, gdyż raz za razem mi się programik zawiesza (w trybie awaryjnym też). Staje w momencie, gdy na tapecie są ustawienia Firefoxa. Prawdopodobnie w preferencjach Firefox jest szczególne formatowanie. od 2-3 miesięcy zdarzyła się parokrotnie następująca sytuacja z MBAM Premium Może to wynik aktywności innych programów zabezpieczających, a jest tego dość sporo. Czyli na teraz proste korekty: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: S4 楗敳潂瑯獁楳瑳湡t; 㩃停潲牧浡䘠汩獥⠠㡸⤶坜獩履楗敳䌠牡㘳尵潂瑯楔敭攮數Ā" [X] S4 楗敳潂瑯獁楳瑳湡tǮ"; 㩃停潲牧浡䘠汩獥⠠㡸⤶坜獩履楗敳䌠牡㘳尵潂瑯楔敭攮數Ā" [X] U3 BcmSqlStartupSvc; No ImagePath U2 CLKMSVC10_3A60B698; No ImagePath U2 CLKMSVC10_C3B3B687; No ImagePath U2 DriverService; No ImagePath U2 iATAgentService; No ImagePath U2 idealife Update Service; No ImagePath U3 IGRS; No ImagePath U2 IviRegMgr; No ImagePath U2 nvUpdatusService; No ImagePath U2 Oasis2Service; No ImagePath U2 PCCarerService; No ImagePath U2 ReadyComm.DirectRouter; No ImagePath U2 RichVideo; No ImagePath U2 RtLedService; No ImagePath U2 SeaPort; No ImagePath U2 SoftwareService; No ImagePath U3 SQLWriter; No ImagePath U0 SR; No ImagePath U2 srservice; No ImagePath U2 Stereo Service; No ImagePath SecurityProviders: msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll HKU\.DEFAULT\Software\Classes\exefile: "%1" %* HKU\S-1-5-19\Software\Classes\exefile: "%1" %* HKU\S-1-5-20\Software\Classes\exefile: "%1" %* HKU\S-1-5-21-248854557-3209024503-3998099355-1000\Software\Classes\exefile: "%1" %* HKLM\...\Policies\Explorer: [NoFolderOptions] 0 HKLM\...\Policies\Explorer: [NoViewOnDrive] 0 HKLM\...\Policies\Explorer: [NoControlPanel] 0 HKLM\...\Policies\Explorer: [DisableLocalMachineRun] 0 HKLM\...\Policies\Explorer: [DisableLocalMachineRunOnce] 0 HKLM\...\Policies\Explorer: [DisableCurrentUserRun] 0 HKLM\...\Policies\Explorer: [DisableCurrentUserRunOnce] 0 HKLM\...\Policies\Explorer: [NoViewContextMenu] 0 HKLM\...\Policies\Explorer: [NoShellSearchButton] 0 HKLM\...\Policies\Explorer: [NoFind] 0 HKLM\...\Policies\Explorer: [NoFile] 0 HKLM\...\Policies\Explorer: [HideClock] 0 HKLM\...\Policies\Explorer: [NoTrayContextMenu] 0 HKLM\...\Policies\Explorer: [NoTrayItemsDisplay] 0 HKLM\...\Policies\Explorer: [NoSetFolders] 0 HKLM\...\Policies\Explorer: [NoDevMgrUpdate] 0 HKLM\...\Policies\Explorer: [NoSetTaskbar] 0 HKLM\...\Policies\Explorer: [NoDeletePrinter] 0 HKLM\...\Policies\Explorer: [NoDFSTab] 0 HKLM\...\Policies\Explorer: [NoChangeStartMenu] 0 HKLM\...\Policies\Explorer: [NoLogoff] 0 HKLM\...\Policies\Explorer: [NoWindowsUpdate] 0 HKLM\...\Policies\Explorer: [NoEncryptOnMove] 0 HKLM\...\Policies\Explorer: [NoRunasInstallPrompt] 0 HKLM\...\Policies\Explorer: [NoResolveSearch] 0 HKLM\...\Policies\Explorer: [NoSaveSettings] 0 HKLM\...\Policies\Explorer: [NoHardwareTab] 0 HKLM\...\Policies\Explorer: [NoStartMenuSubFolders] 0 HKLM\...\Policies\Explorer: [NoDesktop] 0 ShellIconOverlayIdentifiers: [MemopalBackedUp] -> {8ED3CC2D-6BC2-43AD-8C43-F51FBB413AE6} => No File ShellIconOverlayIdentifiers: [MemopalError] -> {B9CA6E12-7975-4997-B5BD-CA12ECE0FEAD} => No File ShellIconOverlayIdentifiers: [MemopalPartiallyBackedUp] -> {95DDC869-FC98-4D47-BD34-2EDC9AA09C01} => No File ShellIconOverlayIdentifiers: [MemopalToBackup] -> {2CDD871E-60EB-40BD-9721-A1CB57042F75} => No File ShellIconOverlayIdentifiers-x32: [MemopalBackedUp] -> {8ED3CC2D-6BC2-43AD-8C43-F51FBB413AE6} => No File ShellIconOverlayIdentifiers-x32: [MemopalError] -> {B9CA6E12-7975-4997-B5BD-CA12ECE0FEAD} => No File ShellIconOverlayIdentifiers-x32: [MemopalPartiallyBackedUp] -> {95DDC869-FC98-4D47-BD34-2EDC9AA09C01} => No File ShellIconOverlayIdentifiers-x32: [MemopalToBackup] -> {2CDD871E-60EB-40BD-9721-A1CB57042F75} => No File Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File Toolbar: HKCU - No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File Handler: WSWSVCUchrome - {1CA93FF0-A218-44F1 - No File Handler-x32: WSWSVCUchrome - {1CA93FF0-A218-44F1 - No File SearchScopes: HKLM-x32 - DefaultScope value is missing. FF Plugin: @java.com/DTPlugin,version=11.20.2 -> C:\Program Files\Java\jre1.8.0_20\bin\dtplugin\npDeployJava1.dll No File FF Plugin: @java.com/JavaPlugin,version=11.20.2 -> C:\Program Files\Java\jre1.8.0_20\bin\plugin2\npjp2.dll No File C:\ProgramData\Temp DeleteKey: HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies DeleteKey: HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies DeleteKey: HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Policies EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. . Odnośnik do komentarza
mingus Opublikowano 6 Października 2014 Autor Zgłoś Udostępnij Opublikowano 6 Października 2014 I mam pytanie co to za pobrany plik, który ma prefiks jakby był zaszyfrowany przez infekcję: 2014-10-02 12:16 - 2014-10-02 12:16 - 00008361 _____ () C:\Users\Robert\Downloads\oie_9143125ppTrWX3C.png.crypted To zaszyfrowane przeze mnie zdjęcie. Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 6 Października 2014 Zgłoś Udostępnij Opublikowano 6 Października 2014 Prawie wszystko zrobione. Drobna poprawka na kilka wpisów nieprzetworzonych via FRST. Otwórz Notatnik i wklej w nim: DeleteKey: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\MemopalBackedUp DeleteKey: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\MemopalError DeleteKey: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\MemopalPartiallyBackedUp DeleteKey: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\MemopalToBackup DeleteKey: HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\MemopalBackedUp DeleteKey: HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\MemopalError DeleteKey: HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\MemopalPartiallyBackedUp DeleteKey: HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\MemopalToBackup Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. . Odnośnik do komentarza
mingus Opublikowano 6 Października 2014 Autor Zgłoś Udostępnij Opublikowano 6 Października 2014 Zmiana kodowania na UTF-8 ? Odnośnik do komentarza
picasso Opublikowano 6 Października 2014 Zgłoś Udostępnij Opublikowano 6 Października 2014 Nie tym razem, w przeciwnym wypadku bym wyraźnie to napisała. Poprzednio UTF-8 było wymagane, by przetworzyć "chińszczyznę". Odnośnik do komentarza
mingus Opublikowano 6 Października 2014 Autor Zgłoś Udostępnij Opublikowano 6 Października 2014 Wykonane. Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 6 Października 2014 Zgłoś Udostępnij Opublikowano 6 Października 2014 Zadanie pomyślnie przetworzone. Jeśli chodzi o czyszczenie systemu, to nic więcej nie widzę i w tym zakresie możesz przejść do finalizacji: 1. Usuń używane narzędzia za pomocą DelFix. 2. Wyczyść foldery Przywracania systemu, o ile coś powstało (pierwszy Addition pokazywał brak punktów): KLIK. od 2-3 miesięcy zdarzyła się parokrotnie następująca sytuacja z MBAM Premium To jest nadal niejasne, ale nie mam podstaw, by obwiniać infekcję. Sugerowałam, iż to może być wynik kolizji z innym programem ładującym sterowniki na tym samym poziomie, czyli tu: ==================== Drivers (Whitelisted) ==================== R3 asvpndrv; C:\Windows\System32\DRIVERS\asvpndrv.sys [31744 2014-05-17] (Astrill) R0 diskpt; C:\Windows\System32\drivers\diskpt.sys [275176 2013-09-24] (SHADOWDEFENDER.COM) R1 eamonm; C:\Windows\System32\DRIVERS\eamonm.sys [239320 2013-09-17] (ESET) U5 edevmon; C:\Windows\System32\Drivers\edevmon.sys [239296 2013-09-17] (ESET) R1 ehdrv; C:\Windows\System32\DRIVERS\ehdrv.sys [168256 2013-09-17] (ESET) R2 epfwwfpr; C:\Windows\System32\DRIVERS\epfwwfpr.sys [157432 2013-09-17] (ESET) R0 FileLock; C:\Windows\System32\DRIVERS\FileLock.sys [49248 2013-11-16] (Gili Soft Inc.) R3 MBAMProtector; C:\windows\system32\drivers\mbam.sys [25816 2014-05-12] (Malwarebytes Corporation) S3 MBAMSwissArmy; C:\windows\system32\drivers\MBAMSwissArmy.sys [122584 2014-10-06] (Malwarebytes Corporation) S3 MBAMWebAccessControl; C:\windows\system32\drivers\mwac.sys [63704 2014-05-12] (Malwarebytes Corporation) R3 SbieDrv; C:\Program Files\Sandboxie\SbieDrv.sys [202600 2014-01-17] (Sandboxie Holdings, LLC) R1 Spyshelter; C:\Program Files (x86)\SpyShelter Firewall\SpyShelter.sys [559456 2014-10-04] (SpyShelter) R2 SpyshelterFw; C:\Program Files (x86)\SpyShelter Firewall\SpyshelterWFP.sys [115040 2014-10-02] () R1 SpyshelterKb; C:\Program Files (x86)\SpyShelter Firewall\SpyshelterKb.sys [168800 2014-10-02] (SpyShelter) R2 WiseFS; D:\Portable\Wise Folder Hider\WiseFs64.sys [10280 2014-03-14] () R0 WRkrn; C:\Windows\System32\drivers\WRkrn.sys [115744 2014-09-28] (Webroot) . Odnośnik do komentarza
mingus Opublikowano 7 Października 2014 Autor Zgłoś Udostępnij Opublikowano 7 Października 2014 Nie sygnalizowany wymóg umieszczenia logu z DelFix - choć na linkowanej stronie pisze, że owszem Dziękuję picasso za poświęcenie czasu i fachową pomoc (nie pierwszy raz). Postaram się w najbliższym czasie jakąś darowizną wspomóc forum. Pozdrawiam. __________________________________________ edit: co do możliwego konfliktu, to zamierzam niedługo czegoś tam się pozbyć. System jednak od dawna pracuje b.dobrze, więc trochę zdziwiony byłem tymi komunikatami o ewentualnym rootkicie. Jeszcze raz pozdrawiam. DelFix.txt Odnośnik do komentarza
picasso Opublikowano 7 Października 2014 Zgłoś Udostępnij Opublikowano 7 Października 2014 Nie sygnalizowany wymóg umieszczenia logu z DelFix - choć na linkowanej stronie pisze, że owszem Nie mówię o pokazywaniu raportu w poście, gdyż jest to po prostu w instrukcji narzędzia. Narzędzie coś mało usunęło, zakładam, że przed jego użyciem ręcznie pozbyłeś się FRST ze ścieżek D:\IDM\Programs, C:\Users\Robert\Desktop. Postaram się w najbliższym czasie jakąś darowizną wspomóc forum. Dzięki! . Odnośnik do komentarza
mingus Opublikowano 7 Października 2014 Autor Zgłoś Udostępnij Opublikowano 7 Października 2014 Tak, wcześniej pousuwałem to i owo ręcznie. To ja dziękuję Odnośnik do komentarza
Rekomendowane odpowiedzi