Skocz do zawartości

Gmer wykrył rootkita


Rekomendowane odpowiedzi

Wykryto Rockita Gmer ale podczas skanowania komputer albo sie wyłącza albo Blue error ; /

Na Dysku zewnętrznym też znaleziono rokita ale wtedy gdy sie pokazuje skan to komputer sie nie wyłącza.

Na dodatek gdy mam włączony antywirus nie mogę wejsc na strony www.

 

Najpierw zrobię skan OTL I gmer samego dysku zewnętrznego

 

 

http://wklej.to/lfHqM/text << usuwanie OTL

http://wklej.to/3XE4h/text << OTL Nowy log

http://wklej.to/k4KzD/text << Extras

http://wklej.to/UhqmJ/text << Gmer Dysk zewnetrzny

http://wklej.to/WcWpB/text << malware usuwanie log

http://wklej.to/RJVCu/text << Checkup

 

Chcę też dodać że podczas skanowania komputera przez gmer pojawia sie blue screan error ( defogger_disable ) Wyłączyłem Daemona Wyskakuje taki error

 

beztytuuvnl.th.jpg

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Log z OTL jest konfigurowany wg obcych zasad i uwzględnia przedawnione instrukcje przeliczeń MD5 (przy aktualnych rootkitach to bezcelowe). My mamy inne instrukcje w przyklejonym. Następnie: kto i gdzie przeprowadzał to "usuwanie" w OTL. Nie wywalono też resztek paska narzędziowego SweetIM:

 

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com"

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = "http://home.sweetim.com" [binary data]

[2011-01-02 00:02:15 | 000,000,000 | ---D | M] (SweetIM Toolbar for Firefox) -- C:\Users\Rafal\AppData\Roaming\mozilla\Firefox\Profiles\syq9rs6d.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}

 

Ogólnie: Infekcję w stopniu częściowym potwierdza na razie tylko log z MBAM, ilość usuniętych obiektów wskazuje na resztki infekcji (tylko wyniki z rejestru a nie pliki na dysku tej infekcji), a postać raportu sugeruje, że ktoś mógł wcześniej OTL usuwać pliki i pominął sprawdzanie miejsc których OTL nie pokazuje. W OTL nie widać żadnego bezpośredniego znaku infekcji. Komentując zaś sam wynik z GMER punktujący niesprecyzowany ukryty proces (GMER niestety obcina dane), to nie jest wiadome czy to prawdziwy rootkit. To co natomiast jest dziwaczne w OTL, to podwójny katalog system32:

 

[2011-02-03 16:40:35 | 000,000,000 | ---D | C] -- C:\Windows\System32\System32

 

A przynajmniej tak to przedstawia OTL (OTL nie rozróżnia na domyślnym skanie DIR od linku symbolicznego, więc na razie nie wiem czy to rzeczywiście tylko katalog). Wejdź w ten drugi system32 i przedstaw mi na obrazku co w nim widzisz.

 

 

Wykryto Rockita Gmer ale podczas skanowania komputer albo sie wyłącza albo Blue error ; /

 

+

 

( defogger_disable ) Wyłączyłem Daemona

 

1. Nie wygląda wcale na to, że wyłączyłeś DAEMONA, w rozumieniu głównego sterownika emulacji (SPTD). Prezentowany bowiem log z GMER przedstawia ów sterownik w stadium jak najbardziej czynnym (sam sterownik SPTD oraz losowe produkty uboczne jego działania typu ax2eg0tj.SYS = to urządzenie zmienia nazwę po każdym restarcie), a w OTL sterownik ma status "Running". Do przerobienia ogłoszenie (KLIK) i wybór innej metody zdejmowania emulacji (w kolejności: deinstalacja całkowita DAEMON > użycie narzędzia SPTDinst > restart systemu).

 

2. Z raportów wynika także, że pracują w tle sterowniki-odpadki Avast. Pozycja Avast w ogóle nie istnieje na liście programów wyciągniętych z klucza Uninstall, za to widać w GMER czynność sterowników Avast i w OTL te pozycje:

 

DRV - [2010-12-30 20:04:20 | 000,099,792 | ---- | M] (AVAST Software) [Kernel | System | Running] -- C:\Windows\System32\drivers\aswFW.sys -- (aswFW)

DRV - [2010-12-30 20:03:08 | 000,189,776 | ---- | M] (AVAST Software) [Kernel | Boot | Running] -- C:\Windows\System32\drivers\aswNdis2.sys -- (aswNdis2)

 

[2011-01-16 16:33:14 | 000,099,792 | ---- | C] (AVAST Software) -- C:\Windows\System32\drivers\aswFW.sys

[2011-01-16 16:30:52 | 000,189,776 | ---- | C] (AVAST Software) -- C:\Windows\System32\drivers\aswNdis2.sys

 

Na dodatek gdy mam włączony antywirus nie mogę wejsc na strony www.

 

Tylko, że ja w OTL Extras nie widzę żadnego antywirusa w postaci zainstalowanej .... Skorzystaj z narzędzia Avast Uninstall + restart systemu. Jeśli to nie zlikwiduje tych sterowników sieciowych Avast, podam inne ręczne instrukcje zdejmowania tego (to prawdopodobnie siedzi jako filtr na kartach sieciowych).

 

Jeśli po przeprowadzeniu wszystkich wyżej wyliczonych czynności nadal GMER będzie kończył z BSOD, odptaszkuj w ustawieniach skanu pozycję IAT/EAT i spróbuj ponownie.

 

 

Na Dysku zewnętrznym też znaleziono rokita ale wtedy gdy sie pokazuje skan to komputer sie nie wyłącza.

 

Opisz co Ty rozumiesz w kontekście GMER w ogóle pod pojęciem "dysk zewnętrzny" oraz "na dysku zewnętrznym znaleziono rootkita", bo przedstawiony tu skan z GMER przedstawia tylko czynności dysku systemowego.

 

 

 

.

Odnośnik do komentarza

Avast Uninstall < odinstalowałem pomyślnie

http://wklej.org/id/477331/txt << Nowy skan OTL

http://wklej.org/id/477332/txt << OTL EXtras Nowy

http://wklej.org/id/477339/txt << SRENG

 

systep32.th.jpg << System32, nie wiem co to jest

 

antywirus.th.jpg << To co wykrył Antywirus

 

Chciałem jeszcze RSIT ale coś nnie chce działać :) Daje tutaj wszystkie logi żeby mieć już z tym spokój bo trochę mnie to już dobija .

 

Na Dysku zewnętrznym też znaleziono rokita ale wtedy gdy sie pokazuje skan to komputer sie nie wyłącza.

Chodzi o to podczas skanowania dysku przez Gmer pojawiły się te czerwone napisy a gmer wyświetlił komunikat że te czerwone napisy to Rockit

 

Na dodatek gdy mam włączony antywirus nie mogę wejsc na strony www.

Miałem najpierw Avasta odinstalowałem ponieważ nie mogłem wejść na strony www następnie zainstalowałem Kaspersy i też muszę go wyłączyć żebym mógł wejść na stronę

 

Jeśli po przeprowadzeniu wszystkich wyżej wyliczonych czynności nadal GMER będzie kończył z BSOD, odptaszkuj w ustawieniach skanu pozycję IAT/EAT i spróbuj ponownie.

Niestety Nie działa w ogóle gmer pojawia sie Blue Error

Tutaj jest link do Errora ;

http://wklej.org/id/477356/txt

 

 

Odnośnik do komentarza

OTL generujesz nadal na tych ustawieniach z innego forum. Na przyszłość: nie wyklejaj nic w oknie "Własne opcje skanowania / skrypt" do skanu. Pokazane logi nie wykazują infekcji.

 

 

Chciałem jeszcze RSIT ale coś nie chce działać :) Daje tutaj wszystkie logi żeby mieć już z tym spokój bo trochę mnie to już dobija .

 

RSIT zbędny, bazuje na niepełnosprawnym HijackThis i dosztukowanych protetycznie eksportach rejestru, które w przeważającej części już adresuje OTL. Biorę go tu w ostateczności, gdy nie da się uruchomić innych narzędzi. Aczkolwiek musi paść to pytanie: co to znaczy "nie chce działać"?

 

 

To co wykrył Antywirus

 

Screen mało czytelny, bo pomniejszony. Ledwo to czytam. Przekopiuj tekstową treść raportu i wklej do posta.

 

 

Miałem najpierw Avasta odinstalowałem ponieważ nie mogłem wejść na strony www następnie zainstalowałem Kaspersy i też muszę go wyłączyć żebym mógł wejść na stronę

 

Wygląd pierwszego zestawu raportów nie wskazywał na pełną deinstalację, chodzi o te sterowniki sieci, które zakreśliłam. Niestety Avast Uninstall nie dał temu rady, to nadal siedzi:

 

DRV - [2010-12-30 20:04:20 | 000,099,792 | ---- | M] (AVAST Software) [Kernel | System | Running] -- C:\Windows\System32\drivers\aswFW.sys -- (aswFW)

DRV - [2010-12-30 20:03:08 | 000,189,776 | ---- | M] (AVAST Software) [Kernel | Boot | Running] -- C:\Windows\System32\drivers\aswNdis2.sys -- (aswNdis2)

 

Ten zestaw sugeruje, że to przyczyna dla braku sieci (przy uprzednio włączonym Avaście oraz teraz przy czynnym Kasperskym). Kaspersky też nakłada filtry na karty sieciowe, a w aktualnie widzianym układzie wygląda na to, że na kartach są aż dwa zestawy (od Avasta + Kasperskiego). Wstępnie:

 

1. Panel sterowania > Sieć i internet > Centrum sieci i udostępniania > po lewej stronie wybierz opcję Zmień ustawienia karty sieciowej > dla wszystkich widzialnych połączeń z prawokliku wybierasz Właściwości > w pierwszej karcie patrzysz jakie komponenty są używane przez połączenie > szukaj wejść należnych do Avast. Jeśli będą takie pozycje, podświetl je i odinstaluj przyciskiem, a po tym zresetuj komputer. Jeśli jednak w ogóle nie będzie takich pozycji od Avast, to patrz na punkt 2 poniżej. W razie wątpliwości zrób zrzut ekranu do prezentacji (byle czytelny).

 

2. Start > w polu szukania wklep devmgmt.msc > z prawokliku Uruchom jako Administrator > z menu Widok włącz pokazywanie ukrytych urządzeń > rozwiń gałąź Karty sieciowe i popatrz czy są jakieś urządzenia od Avast. Jeśli tak, zrób screen i zaprezentuj, to będę szukać odpowiednika tego w rejestrze.

 

 

System32 , Nie wiem co to jest

 

Zawartość wskazuje, że ten katalog został wygenerowany przez oprogramowanie Samsung. Tak też mi z logów wyglądało, ale wolałam się upewnić.

 

[2011-02-03 21:04:02 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Samsung Networking Wizard_ICM

[2011-02-03 20:57:44 | 000,000,000 | ---D | C] -- C:\Windows\System32\Samsung_USB_Drivers

[2011-02-03 16:40:35 | 000,000,000 | ---D | C] -- C:\Windows\System32\System32

[2011-02-03 15:46:27 | 000,000,000 | ---D | C] -- C:\Users\Rafal\Documents\SelfMV

[2011-02-03 15:45:38 | 000,000,000 | ---D | C] -- C:\Users\Rafal\AppData\Local\Samsung

[2011-02-03 15:45:17 | 000,000,000 | ---D | C] -- C:\Users\Rafal\Documents\samsung

 

Moim zdaniem instalator Samsung się rąbnął, te pliki powinny być w C:\Windows\system32 a nie C:\Windows\system32\system32. Zresztą, niektóre z nich już są właśnie tam gdzie powinny być:

 

[2011-01-04 16:10:56 | 000,974,848 | ---- | C] () -- C:\Windows\System32\cis-2.4.dll

[2011-01-04 16:10:56 | 000,081,920 | ---- | C] () -- C:\Windows\System32\issacapi_bs-2.3.dll

[2011-01-04 16:10:56 | 000,065,536 | ---- | C] () -- C:\Windows\System32\issacapi_pe-2.3.dll

[2011-01-04 16:10:56 | 000,057,344 | ---- | C] () -- C:\Windows\System32\issacapi_se-2.3.dll

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]

"{554ED7FF-5E86-4281-8C68-C5149C82DE98}" = protocol=6 | dir=in | app=c:\windows\system32\muzapp.exe |

"{F36D517D-71A4-4B43-82FD-2B807EE283D0}" = protocol=17 | dir=in | app=c:\windows\system32\muzapp.exe |

 

Czyli: porównaj między sobą te dwa katalogi system32 ile plików w C:\Windows\system32\system32 już występuje w C:\Windows\system32. Różnicę (o ile będzie jakakolwiek) przenieś do głównego system32, dubel C:\Windows\system32\system32 skasuj.

 

 

Chodzi o to podczas skanowania dysku przez Gmer pojawiły się te czerwone napisy a gmer wyświetlił komunikat że te czerwone napisy to Rockit

 

To wiem, tylko to jest aktywność systemu a nie aktywność z "dysku zewnętrznego". Pytam o to co masz na myśli z "dyskiem zewnętrznym".

 

 

Niestety Nie działa w ogóle gmer pojawia sie Blue Error

 

Debuger po prostu wskazuje sam sterownik GMER jako przyczynę, co nie przybliża w ogóle do wytypowania prawdziwej przeszkody / przyczyny niebieskiego ekranu. Tylko, że teraz widać iż są dla GMER kolejne utrudnienia = dowalona kolekcja sterowników kernel Kasperskiego. Czy skan GMER bez BSOD jest możliwy jeśli:

- wyłączysz Kasperskiego + w skanie odznaczysz IAT/EAT?

- skan rozpoczniesz z poziomu Trybu awaryjnego?

 

 

 

.

Odnośnik do komentarza

http://wklej.to/J6y5K/text << antywirus

 

1. Panel sterowania > Sieć i internet > Centrum sieci i udostępniania > po lewej stronie wybierz opcję Zmień ustawienia karty sieciowej > dla wszystkich widzialnych połączeń z prawokliku wybierasz Właściwości > w pierwszej karcie patrzysz jakie komponenty są używane przez połączenie > szukaj wejść należnych do Avast. Jeśli będą takie pozycje, podświetl je i odinstaluj przyciskiem, a po tym zresetuj komputer. Jeśli jednak w ogóle nie będzie takich pozycji od Avast, to patrz na punkt 2 poniżej. W razie wątpliwości zrób zrzut ekranu do prezentacji (byle czytelny).

Nie mam tam takiej opcji, nie mogłem nigdzie znaleść.

 

avastz.th.jpg << Menadżer urządzeń > karty sieciowe

 

System32 > System32 Skasowany

 

To wiem, tylko to jest aktywność systemu a nie aktywność z "dysku zewnętrznego". Pytam o to co masz na myśli z "dyskiem zewnętrznym".

No to jest dysk który sie podłącza żeby zgrać na niego ważne informacje i ja podłączałem go i chciałem sprawdzić przez gmer czy nie dostały sie tam wirusy

 

 

Gmer w ogóle nie działa ;/

Odnośnik do komentarza

Na temat wyników z Kasperskiego:

 

  • PDM.Suspicious driver installation = fałszywy alarm na wypakowanym do lokalizacji tymczasowej skanerze rootkitów RootRepeal. "Suspicious driver installation" = RootRepeal ekstraktuje z siebie sterownik kernel, by móc skanować na odpowiednim poziomie.
  • PDM.DNS Query = to również fałszywy alarm na Ipla pochodzącej od Gadu...
  • Trojan-Dropper.Win32.Delf.eal + Trojan program Trojan.Win32.Refroso.chfl + Trojan-Dropper.Win32.Patched.ax = o tych nie wiem co sądzić (wykryte w plikach aplikacji). Jeśli któraś z nich jest legalna a nie "legalizowana" to nasuwa się i tu pomyłka.

Zaś wszystkie wyniki razem nie wskazują na czynną infekcję w systemie. Tak więc ja tu nie widzę problemu.

 

 

Nie mam tam takiej opcji, nie mogłem nigdzie znaleść.

 

Na wszelki wypadek pokaż mi całe okno z komponentami używanymi przed dane połączenie. W kwestii dostarczonego obrazka:

 

Start > w polu szukania wklep regedit > z prawokliku Uruchom jako Administrator > z prawokliku wyeksportuj te dwa klucze do wglądu:

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318}

 

 

No to jest dysk który sie podłącza żeby zgrać na niego ważne informacje i ja podłączałem go i chciałem sprawdzić przez gmer czy nie dostały sie tam wirusy

 

Wiem co to jest "dysk zewnętrzny" i tym bardziej do czego może służyć. To nie było pytaniem. Pytaniem było: po co o nim wspominasz przy skanie ... GMER i co Ty właściwie chcesz tym osiągnąć. GMER nie skanuje żadnego dysku pod kątem wirusów w rozumieniu dosłownym (nie działa jak tradycyjny skaner AV), to program tylko do rootkitów i to rootkitów, które są czynne. To oznacza, że rzecz dotyczy przede wszystkim dysku systemowego (rootkit musi mieć środowisko pod którym działa), a przy dysku zewnętrznym właściwie sprawa się ogranicza tylko do ewentualnego sprawdzenia MBR..... W podsumowaniu: Twoje akcje były bez sensu. A świadczy o tym dostarczony log z GMER, który jawnie punktuje tylko aktywność dysku systemowego.

 

 

Gmer w ogóle nie działa ;/

 

Nawet w Trybie awaryjnym? To nie musi oznaczać niczego niedobrego, nie jest dowodem na infekcję. Może tak być na pewnych czystych systemach, tak było na jednej z moich Vista. Skoro odznaczenie IAT/EAT jest nieskuteczne, próbuj po kolei odznaczać kolejne sekcje, aż trafisz na tę która tworzy problem i uniemożliwia skan.

 

I nie wiemy czy GMER działałby prawidłowo gdyby nie było Kasperskiego, zbyt pośpiesznie przeskoczyłeś z Avast na Kacpra.

 

 

.

Odnośnik do komentarza

beztytuuad.th.jpg << Chodziło o to ?

 

Start > w polu szukania wklep regedit > z prawokliku Uruchom jako Administrator > z prawokliku wyeksportuj te dwa klucze do wglądu:

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318}

 

Ja mam wysłać te pliki czy jakoś otworzyć ?

 

@Edit;

http://wklej.to/LPSU4/text << o to chodzi ?

http://wklej.to/pG2ch/text

 

Wiem co to jest "dysk zewnętrzny" i tym bardziej do czego może służyć. To nie było pytaniem. Pytaniem było: po co o nim wspominasz przy skanie ... GMER i co Ty właściwie chcesz tym osiągnąć. GMER nie skanuje żadnego dysku pod kątem wirusów w rozumieniu dosłownym (nie działa jak tradycyjny skaner AV), to program tylko do rootkitów i to rootkitów, które są czynne. To oznacza, że rzecz dotyczy przede wszystkim dysku systemowowego (rootkit musi mieć środowisko pod którym działa), a przy dysku zewnętrznym właściwie sprawa się ogranicza tylko do ewentualnego sprawdzenia MBR..... W podsumowaniu: Twoje akcje były bez sensu. A świadczy o tym dostarczony log z GMER, który jawnie punktuje tylko aktywność dysku systemowego.

Myślałem że jak dysk został podłączony to mógł się zarazić i podejrzewałem to własnie ale teraz już sie więcej dowiedziałem i na przyszłość będę pamiętał

 

 

@@EDIT;

Jeżeli chodzi o Gmer to ten Blue Error pojawia sie w rożnych czasach raz na początku raz na końcu skanowania a raz mi doszło do końca ale przy zapisywaniu Error

Odnośnik do komentarza
Chodziło o to ?

 

Nie. I teraz widzę, że nie sprawdziłeś wcale tego pierwszego miejsca. Ja zaś zapomniałam, że w Vista opcja ma nieco inną nazwę niż w Windows 7. Masz po lewej stronie w tym oknie wybrać funkcję "Zarządzaj połączeniami sieciowymi" i dalej jak mówiłam wcześniej:

 

(...) > dla wszystkich widzialnych połączeń z prawokliku wybierasz Właściwości > w pierwszej karcie patrzysz jakie komponenty są używane przez połączenie > szukaj wejść należnych do Avast. Jeśli będą takie pozycje, podświetl je i odinstaluj przyciskiem, a po tym zresetuj komputer. (...) W razie wątpliwości zrób zrzut ekranu do prezentacji (byle czytelny).

 

Zanim podam (już przygotowane) instrukcje usuwania składników sieciowych Avast (klucze z rejestru z właśnie dostarczonych importów + dwa czynne sterowniki sieciowe), muszę się upewnić, że we Właściwościach połączenia nie ma filtrów, bo jeśli ich nie zdejmiemy, po usunięciu szczątków Avast padnie sieć.

 

 

Jeżeli chodzi o Gmer to ten Blue Error pojawia sie w rożnych czasach raz na początku raz na końcu skanowania a raz mi doszło do końca ale przy zapisywaniu Error

 

Jeszcze zobaczymy co będzie po usunięciu kaleki-Avast, to jak widzisz w toku. Przy zapisywaniu = a w jaki sposób? Zamiast funkcji zapisu bezpośrednio do pliku stosuj opcję Kopiuj i przeklejaj do Notatnika.

 

 

.

Odnośnik do komentarza

Jest tam tylko Kaspersy anty-virus NDIS 6 Filter

 

beztytuuprg.th.jpg

 

Jeszcze zobaczymy co będzie po usunięciu kaleki-Avast, to jak widzisz w toku. Przy zapisywaniu = a w jaki sposób? Zamiast funkcji zapisu bezpośrednio do pliku stosuj opcję Kopiuj i przeklejaj do Notatnika.

Chodzi o to że od razu jak się skończył o skanowanie kliknąłem na program i od razu zawiecha systemu nie mogłem ruszać myszką a na jednostce centralnej świeciła sie stałym kolorem czerwona dioda

Odnośnik do komentarza

W takim razie podaję instrukcje wymontowania Avast z układu sieciowego. Operacje stopniowane i z zachowaniem środków ostrożności:

 

1. Od Avast pochodzą te dwa zapisy:

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\SW_ASWNDISMP]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\SW_ASWNDISMP\0000]

"ClassGUID"="{4d36e972-e325-11ce-bfc1-08002be10318}"

"Class"="Net"

"HardwareID"=hex(7):73,00,77,00,5f,00,61,00,73,00,77,00,4e,00,64,00,69,00,73,\

00,4d,00,50,00,00,00,00,00

"Driver"="{4d36e972-e325-11ce-bfc1-08002be10318}\\0086"

"Mfg"="@oem126.inf,%sw%;ALWIL Software"

"Service"="aswNdis"

"DeviceDesc"="@oem126.inf,%aswndismp_desc%;avast! Firewall NDIS Filter Miniport"

"ConfigFlags"=dword:00000000

"Capabilities"=dword:00000000

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\SW_ASWNDISMP\0000\Device Parameters]

"InstanceIndex"=dword:00000001

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\SW_ASWNDISMP\0000\Control]

 

+

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E972-E325-11CE-BFC1-08002BE10318}\0086]

"NewDeviceInstall"=dword:00000001

"NetCfgInstanceId"="{A17D9D12-7170-4D61-991C-E6DF4A085A8F}"

"*IfType"=dword:00000001

"Characteristics"=dword:00000009

"NetLuidIndex"=dword:00000009

"ComponentId"="sw_aswndismp"

"InfPath"="oem126.inf"

"InfSection"="aswNdisMP.ndi"

"ProviderName"="ALWIL Software"

"DriverDateData"=hex:00,00,99,2a,72,1c,ca,01

"DriverDate"="8-14-2009"

"MatchingDeviceId"="sw_aswndismp"

"DriverDesc"="avast! Firewall NDIS Filter Miniport"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E972-E325-11CE-BFC1-08002BE10318}\0086\Linkage]

"RootDevice"=hex(7):7b,00,41,00,31,00,37,00,44,00,39,00,44,00,31,00,32,00,2d,\

00,37,00,31,00,37,00,30,00,2d,00,34,00,44,00,36,00,31,00,2d,00,39,00,39,00,\

31,00,43,00,2d,00,45,00,36,00,44,00,46,00,34,00,41,00,30,00,38,00,35,00,41,\

00,38,00,46,00,7d,00,00,00,00,00

"UpperBind"=hex(7):00,00

"Export"=hex(7):5c,00,44,00,65,00,76,00,69,00,63,00,65,00,5c,00,7b,00,41,00,31,\

00,37,00,44,00,39,00,44,00,31,00,32,00,2d,00,37,00,31,00,37,00,30,00,2d,00,\

34,00,44,00,36,00,31,00,2d,00,39,00,39,00,31,00,43,00,2d,00,45,00,36,00,44,\

00,46,00,34,00,41,00,30,00,38,00,35,00,41,00,38,00,46,00,7d,00,00,00,00,00

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E972-E325-11CE-BFC1-08002BE10318}\0086\Ndi]

"Service"="aswNdis"

 

Na początek usuwanie tylko jednego, tego pierwszego klucza. Uruchom regedit jako Administrator i odszukaj ten klucz:

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\SW_ASWNDISMP

 

Z prawokliku na ten klucz wybierasz opcję Uprawnienia, na górze okna na liście kont podświetl grupę Wszyscy i zaznacz dla niej Pełną kontrolę. Spróbuj skasować z prawokliku klucz SW_ASWNDISMP. Po jego skasowaniu powinna zniknąć "karta sieciowa" Avast z widoku Kart sieciowych w Menedżerze urządzeń.

 

 

2. Następnie trzeba się pozbyć dwóch czynnych sterowników sieciowych Avast:

 

DRV - [2010-12-30 20:04:20 | 000,099,792 | ---- | M] (AVAST Software) [Kernel | System | Running] -- C:\Windows\System32\drivers\aswFW.sys -- (aswFW)

DRV - [2010-12-30 20:03:08 | 000,189,776 | ---- | M] (AVAST Software) [Kernel | Boot | Running] -- C:\Windows\System32\drivers\aswNdis2.sys -- (aswNdis2)

 

Uruchom program Autoruns i w karcie Drivers odptaszkuj (nie usuwaj tego) te dwie pozycje: aswFW + aswNdis2.

 

 

3. Restart komputera. Jeśli padnie sieć, otwórz Autoruns i zaptaszkuj ponownie uprzednio odfajkowane zapisy + restart komputera. Jeśli sieć natomiast będzie działać, sprawdź jeszcze raz Menedżer urządzeń czy przypadkiem tych sterowników Avast jednak tam nie ma, tylko w innym miejscu niż uprzednio sprawdzana gałąź Karty sieciowe. Nie zapomnij włączyć ukrytych urządzeń w menu Widok. Szukaj urządzeń o nazwach aswFW + aswNdis2 w gałęzi Sterowniki niezgodne z Plug and Play. Jeśli takie urządzenia znajdziesz, odinstaluj + restart komputera.

 

 

 

.

Odnośnik do komentarza

Pewnie trzeba resetować wszystkie obiekty podrzędne. Uprośćmy zadanie. Przypuszczalnie (jak dla innych kluczy w gałęzi Root) pełny dostęp ma konto SYSTEM. Toteż zastartuj regedit na uprawnieniu konta SYSTEM za pomocą narzędzia Process Hacker. Operacja opisana w tutorialu na forum: KLIK. Jeśli w taki sposób wywołasz regedit, nie trzeba już zmieniać uprawnień, od razu kasuj klucz SW_ASWNDISMP.

 

 

Zastanawia mnie czy istnieje taka możliwość napisania skryptu .reg który usuwa to automatycznie . Można tak jak wyskakuje tutaj błąd ?

 

Import REG napotka ten sam problem = uprawnienia.

 

 

 

.

Odnośnik do komentarza

Na wszelki wypadek pokaż jeszcze nowy log z OTL (przypominam: nie wklejaj nic do pola na dole).

 

 

Wszystko pomyślnie działają już strony www gdy jest włączony antywirus .

 

Czy to znaczy, że znalazłeś w Menedżerze urządzenia aswFW + aswNdis2 i odinstalowałeś? Nie zakończyłeś akcji tylko na Autoruns?

 

 

Mogę dodać że zauważyłem że podczas grania gry nawet na najniższych detalach sie zacinają mimo iż usunąłem wirusy .

 

Owe "wirusy" / malware (z pokazywanych skanów MBAM i Kasperskiego) nie były czynne w sensie procesów, bez związku. Natomiast inaczej ma się sprawa z Kasperskym jako takim, to proces który może mieć coś do rzeczy. Wreszcie: problem może być czysto sprzętowy.

 

 

Teraz został problem tego gmera i tego czegoś co tam może być .

 

Przy wyłączonym Kasperskym (co i tak go wcale do końca nie wyłącza, bo to niemożliwe do zrobienia ręcznie w sposób prosty i łatwy...) wróć do tego ustępu instrukcji:

 

Skoro odznaczenie IAT/EAT jest nieskuteczne, próbuj po kolei odznaczać kolejne sekcje, aż trafisz na tę która tworzy problem i uniemożliwia skan.

 

 

 

 

.

Odnośnik do komentarza
GMER odznaczyłem Pliki

 

Wyniki niezmienne, jakiś proces jest oznaczony jako ukryty i nie wiem co o tym sądzić, gdyż to nie jest jednoznaczny dowód na rootkita. Nie widać o co chodzi GMER, to wada GMER w prezentacji wyników z procesów / modułów. Sprawdź co powie na ten temat alternatywny program: Rootkit Unhooker (wejdź do karty Report > klik w Scan > pozostaw zaznaczone wszystko).

 

 


Komentując logi:

 

1. Sterowniki Avast nadal są, choć już nieczynne (pomyślnie wyłączone w Autoruns):

 

DRV - [2010-12-30 20:04:20 | 000,099,792 | ---- | M] (AVAST Software) [Kernel | Disabled | Stopped] -- C:\Windows\System32\drivers\aswFW.sys -- (aswFW)

DRV - [2010-12-30 20:03:08 | 000,189,776 | ---- | M] (AVAST Software) [Kernel | Disabled | Stopped] -- C:\Windows\System32\drivers\aswNdis2.sys -- (aswNdis2)

 

W sumie mogłoby już tak zostać (nie ładują się), choć warto sprawdzić czy nie da się tego kompletnie wymontować naturalnymi drogami w Windows. Czy na pewno w Menedżerze urządzeń po włączeniu ukrytych nie masz żadnych obiektów Avast w Sterownikach niezgodnych z Plug and Play z możliwością deinstalacji? Oto z mojej wirtualnej maszyny wyniki po zainstalowaniu Avast Internet Security:

 

 

avastfw.png

 

  • aswFW = nazwa wyświetlana avast! TDI Firewall Driver
  • aswNdis2 = nazwa wyświetlana avast! Firewall Core Firewall Service

(Na obrazku wszystkie pozycje z wyjątkiem "Ancillary ..." są od Avast)

 

 

2. Nabawiłeś się nowego śmiecia - sponsor DAEMON Tools Toolbar. Następnym razem będziesz uważniejszy przy instalacji = należy ten pasek narzędziowy odznaczyć i nie dopuścić do montażu w Windows. Przejdź do Dodaj / Usuń programy i odinstaluj go. Następnie:

 

 

3. Drobnostki, czyli wyliczone przeze mnie na samym początku śmieci po pasku narzędziowym SweetIM oraz "not found". Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com"
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = t& "http://home.sweetim.com" [binary data]
[2011-01-02 00:02:15 | 000,000,000 | ---D | M] (SweetIM Toolbar for Firefox) -- C:\Users\Rafal\AppData\Roaming\mozilla\Firefox\Profiles\syq9rs6d.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}
O4 - HKLM..\Run: [Adobe Reader Speed Launcher]  File not found
O4 - HKLM..\Run: [sunJavaUpdateSched]  File not found
O4 - HKCU..\Run: [EA Core]  File not found
O4 - HKCU..\Run: [sony Ericsson PC Suite]  File not found
O4 - HKCU..\Run: [WMPNSCFG]  File not found

 

Klik w Wykonaj skrypt. Po operacji utwórz nowy log z OTL do oceny.

 

 

4. Na samym końcu, gdy wszystko załatwimy, system musi zostać zaktualizowany, jesteś do tyłu o dwa Service Packi i łaty krytyczne opublikowane po SP2:

 

Windows Vista Home Premium Edition  (Version = 6.0.6000) - Type = NTWorkstation

Internet Explorer (Version = 7.0.6000.16982)

 

 

 

.

Odnośnik do komentarza

http://wklej.to/v58kn/text << Rootkit Unhooker

http://wklej.to/ZIn7T/text << Usuwanie

http://wklej.to/N0wdF/text << OTL

http://wklej.to/M2ZgC/text << Extras

 

http://imageshack.us/f/15/beztytuuws.jpg/ << Były tam te od avasta ale usunąłem 2 pozycje gdzie pisze Avast

 

2. Nabawiłeś się nowego śmiecia - sponsor DAEMON Tools Toolbar. Następnym razem będziesz uważniejszy przy instalacji = należy ten pasek narzędziowy odznaczyć i nie dopuścić do montażu w Windows. Przejdź do Dodaj / Usuń programy i odinstaluj go. Następnie:

Już usunąłem

 

@@ I jak z Logami ?

Odnośnik do komentarza

1. Rootkit Unhooker nie wskazuje na rootkita, w części procesów nie ma nic zbliżonego do odczytów GMER. Nie wiem o co chodzi GMER. Sprawdź czy to samo widać w GMER, jeśli system zastartujesz w takich kombinacjach: na czystym rozruchu (KB929135) oraz w Trybie awaryjnym. Podaj wyniki.

 

 

2. Z OTL prawie skończyliśmy. Drobniutka poprawka, w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = my.daemon-search.com
[2011-02-18 17:42:17 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Rafal\AppData\Roaming\mozilla\Firefox\Profiles\syq9rs6d.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.

 

Klik w Wykonaj skrypt. Logów nie muszę już oglądać. Wywołaj funkcję Sprzątanie.

 

 

3. Ze względu na liczne zmiany w konfiguracji wyczyść foldery Przywracania systemu: KLIK.

 

 

4. Zalecane aktualizacje w oprogramowaniu:

 

Windows Vista Home Premium Edition  (Version = 6.0.6000) - Type = NTWorkstation

Internet Explorer (Version = 7.0.6000.16982)

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F83216016FF}" = Java™ 6 Update 16

"{AC76BA86-7AD7-1045-7B44-A91000000001}" = Adobe Reader 9.1 - Polish

"{D2D3D146-67BC-43D0-9015-2E7BAC2E032B}" = OpenOffice.org 3.1

"{FFFF6D5C-E2F1-4B40-BC89-8923312E89EB}}_is1" = ACE Mega CoDecS Pack

"Gadu-Gadu 10" = Gadu-Gadu 10

"Mozilla Firefox (3.5.4)" = Mozilla Firefox (3.5.4)

 

  • Łatanie luk systemu (instalacja pakietów SP1 i SP2 oraz najnowszej wersji IE) i innych wyliczonych tu aplikacji. Szczegóły aktualizacyjne: KLIK.
  • ACE Mega CoDecS Pack - Bez przesady. Nie dość, że to próchno z przestarzałymi kodekami z roku ... 2004 (gdzie to do Vista!), to jeszcze jest tu K-Lite. Odmontuj ACE i nie próbuj go nawet powtórnie ładować.
  • Gadu-Gadu 10 - Nieoptymalizowany zasobożerny potwór, którego główna funkcja to zbieranie kasy a nie komunikacja. W Twojej sytuacji, gdy coś się "tnie", wręcz zalecane odpuścić w procesach. Są lekkie alternatywy bardzo dobrze obsługujące sieć Gadu i cechy nowego protokołu (długie numery, szyfrowanie, multilogowanie...). Skocz sobie w temat: Darmowe komunikatory. Proponuję: WTW lub Mirandę. Porównaj sobie opisy i tabelki obsługi sieci Gadu.

 

Były tam te od avasta ale usunąłem 2 pozycje gdzie pisze Avast

 

Podałeś mi wadliwy link do obrazka. Nie jestem w stanie linka otworzyć.

 

 

 

.

Odnośnik do komentarza
Podałeś mi wadliwy link do obrazka. Nie jestem w stanie linka otworzyć.

 

beztytuu12jl.th.jpg

 

Jak widać chyba już nie ma nic z avasta ;]

 

3. Ze względu na liczne zmiany w konfiguracji wyczyść foldery Przywracania systemu

To wykonałem.

 

 

Łatanie luk systemu (instalacja pakietów SP1 i SP2 oraz najnowszej wersji IE) i innych wyliczonych tu aplikacji.

 

Tego niestety nie mogę wykonać bo tam piszę chyba że trzeba mieć service pack 2 ? a ja niestety nie mogę zainstalować service packa 1 nawet wyskakuje error

 

beztytuudkw.th.jpg

 

IE8 już jest ale problem z service pack vista.

 

Już sie biorę za pozostałe aktualizacje programów ;))

Odnośnik do komentarza

Nie napisałeś nic o wynikach z czystym rozruchem i Trybem awaryjnym = czy w tych dwóch sytuacjach GMER także daje "odczyty rootkit"?

 

 

Tego niestety nie mogę wykonać bo tam piszę chyba że trzeba mieć service pack 2 ? a ja niestety nie mogę zainstalować service packa 1 nawet wyskakuje error

 

SP2 nie można zainstalować bez uprzedniego nałożenia SP1. Na Vista SP nie są zamienne jak w XP i muszą być instalowane po kolei. Natomiast, w kwestii błędu aktualizacji 0x800F082F, może wstępnie wypróbuj:

- Narzędzie Fixit MS resetujące komponenty Windows Update. Użyj je z zaznaczonym trybem agresywnym.

- Narzędzie analizy gotowości aktualizacji systemu i przedstaw jego raport CheckSur.log

Oba narzędzia linkowane i opisane tu: KLIK.

 

 

 

 

.

Odnośnik do komentarza
Nie napisałeś nic o wynikach z czystym rozruchem i Trybem awaryjnym = czy w tych dwóch sytuacjach GMER także daje "odczyty rootkit"?

Nawet na trybie awaryjnym jak dojdzie do końca świeci sie czerwona dioda na jednostce centralnej i system nie reaguje ( zawiecha )

 

Coś z tym Gmer chyba nie wyjdzie same problemy .

Odnośnik do komentarza
1. użyłem tego narzędzia fix it ale żaden log sie nie pokazał tylko po ukończeniu komputer sie restartował

 

Ale miałeś użyć dwa narzędzia, a log produkuje to drugie:

 

- Narzędzie Fixit MS resetujące komponenty Windows Update. Użyj je z zaznaczonym trybem agresywnym.

- Narzędzie analizy gotowości aktualizacji systemu i przedstaw jego raport CheckSur.log

 

Jak mniemam, po zastosowaniu pierwszego Fixit nie nastąpiła żadna poprawa i SP nie chcą się instalować? Dlatego oczekuję na wyniki z drugiego narzędzia ...

 

 

 

.

Odnośnik do komentarza

Kurde no nie wiem jak to zrobić z ściągnąłem te 2 programy fix it coś sie ładował i kazał komputer zrestartować i ściągnąłem ten drugi co miał 110 mb " Windows6.0-KB947821-v11-x86 " i zaczęło mi aktualizować samo i żadnego loga nie było ;/

 

Zainstalowałem program wtw z linka który był tutaj na stronie o po zainstalowaniu kaspersy pokazał mi komunikat że ma keylogera.

 

beztytuurom.th.jpg

 

To jest prawdziwy keylogger czy tylko fake ?

Edytowane przez picasso
Posty połączone. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...