Rootkit kontra avast

[sayuri]

Witam!

Otóż system mój załapał wirusidło - rootkita, z tego, co zdążyłam się zorientować. Avast mi go dość sprawnie blokuje, przenosi do kwarantanny, ale wkurzają mnie wyskakujące ciągle komunikaty o zagrożeniu. 

Co należy zrobić w takiej sytuacji?

 

Zagrożenie opisywane jest jako Win64: Evo-gen [susp], atakuje pliki tymczasowe.

 

EDIT:

 

Przed chwilą Norton zablokował mi próbę włamania do kompa. Załączam zrzut ekranu. 

 

Shortcut.txt

FRST.txt

Addition.txt

Edytowane 27 Października 2017 przez Miszel03
Łącze posty. //Miszel03

[Miszel03]

W harmonogramie zadań widoczne jest podejrzane zadanie, które usuwam. Oprócz tego czyszczę sekcje tymczasową oraz sprzątam resztki po wcześniej odinstalowanym oprogramowaniu. 

 

1. Dwa oprogramowania zabezpieczające to nie jest dobry pomysł - będą się nawzajem sprzeczać. Odinstaluj jedno z nich. 

 

2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

 

CloseProcesses:
CreateRestorePoint:
HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe 
SearchScopes: HKU\S-1-5-21-4232830119-3495102340-3832682489-1001 -> DefaultScope {648D4209-5686-4EBD-BB7C-607C7F255EA9} URL =
SearchScopes: HKU\S-1-5-21-4232830119-3495102340-3832682489-1001 -> {648D4209-5686-4EBD-BB7C-607C7F255EA9} URL =
R2 ibtsiva; %SystemRoot%\system32\ibtsiva [X]
S3 NAVENG; \??\C:\Program Files\Norton Security\NortonData\22.9.1.12\Definitions\SDSDefs\20171013.010\NAVENG.SYS [X]
S3 NAVEX15; \??\C:\Program Files\Norton Security\NortonData\22.9.1.12\Definitions\SDSDefs\20171013.010\NAVEX15.SYS [X]
C:\Users\Kowalscy\frst.exe
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku
Task: {98639E73-FD7F-424F-88BB-82EF82F922F5} - System32\Tasks\LaunchPreSignup => C:\Program Files (x86)\OLBPre\OLBPre.exe 
C:\Program Files (x86)\OLBPre
C:\Users\Kowalscy\Documents\!!! poli\zarzuty\Skrót do zarzuty.lnk
C:\Users\Kowalscy\Documents\!!! poli\pomoc prawna\Skrót do pomoc prawna.lnk
C:\Users\Kowalscy\Desktop\Stacja dysków CD — skrót.lnk
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.  

 

3. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 

 

4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

[sayuri]

Zrobiłam wszystko według poleceń. Załączam pliki. 

 

 

Addition.txt

FRST.txt

raport.txt

[Miszel03]

Raport Search kasuje, chodzi o plik Fixlog, czyli raport wynikowy ze skryptu - znajduję się w tym samym co został uruchomiony FRST.

[sayuri]

Raport Search kasuje, chodzi o plik Fixlog, czyli raport wynikowy ze skryptu - znajduję się w tym samym co został uruchomiony FRST.

 

Chodzi o ten?

Fixlog.txt

[Miszel03]

Tak, o ten plik mi chodziło. Wszystko pomyślnie wykonane, rozumiem, że akcje z pkt. 1 zostawiłaś sobie na koniec. 

 

1. Detekcje wykryte przez Malwarebytes z wyjątkiem PUP.Optional.AshampooDriverUpdater daj do kasacji. 

 

2. Podsumuj obecny stan systemu, czy Avast i Norton nadal wykrywają jakieś zagrożenia? Jeśli tak to proszę podaj dokładną lokalizacje obiektów (powinno być na komunikacie). 

[sayuri]

Niestety nadal wykrywa zagrożenia i dokładnie takie same. 

 

Mam dylemat, którego antywirusa odinstalować, bo Norton jest fabryczny, ale to Avast wykrywa mi zagrożenia. W zasadzie nic się nie zmieniło, co jakiś czas avast informuje o zagrożeniu, wyskakuje raz po raz kilkanaście komunikatów, przy czym jako zagrożenie podawana jest nazwa jak w pierwszym poście, ale nazwy plików mają inne numery. Poniżej przykład takiego zarażonego pliku, wyciągnięty z kwarantanny avasta. Nie mogę nigdzie znaleźć raportu:\  

 

[Chest] C:\Program Files\Intel\Intel® Rapid Storage Technology\00001786.tmp

 

Nie mam pewności, po czym to się stało, ale w sumie zbiegły się dwa takie istotne zdarzenia: zmiana routera (internet na wszystkich naszych urządzeniach przez wifi) oraz instalacja Ashampoo.

 

Edit: 

 

Norton wychwytuje mi próby włamania. Nie wiem, czy to jest to samo, co wykrywa Avast.  

[Miszel03]

Dziwna sprawa. Być może jest to fałszywy alarm, bo detekcje Evo są raczej wykrywane przez kontrole zachowań.
 
Przeskanuj całościowo system za pomocą oprogramowania Avast. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 
 

Nie mam pewności, po czym to się stało, ale w sumie zbiegły się dwa takie istotne zdarzenia: zmiana routera (internet na wszystkich naszych urządzeniach przez wifi) oraz instalacja Ashampoo.

Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK.

Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK.

[sayuri]

Avast nie wykrył problemów, dostęp do panelu zarządzania zamknięty, artykuły przeczytałam, DNS jest różny od tych podanych w artykule. Test wyszedł pomyślnie. 

 

Który antywirus radzisz odinstalować? 

[sayuri]

nadal wywala mi zagrożenia. Załączam skan ścieżki pliku. 

[Miszel03]

Według mnie to są fałszywe alarmy, ale skonsultuje się jeszcze z picasso.

[sayuri]

Bardzo bardzo dziękuję. 

[Miszel03]

Picasso podziela moje zdanie, więc uznaję, że możemy kończyć. Pamiętaj o aktualizowaniu antywirusa, by wyeliminować ten błąd. Ja zgłoszę to do support'u Avast. 

 

Zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.