Nieznany rootkit ?

[stalkerama]

Windows vista sp2 64 bit

 

znajomy poprosil mnie o pomoc, trudno powiedziec czego wczesniej probowal. Na pewno odinstalowal AVG

 

 

objawy:

brak mozliwisci zapisywania plikow zarowno IE8 jak i FF

brak mozliwosci urzycia windows update, nie mozna zainstalowac IE9 ani Microsoft security essentials

Nie mozna uruchomic malwarebytes antimalware w zadnym trybie ( blad: brak bazy sygnatur)

tdss killer nic nie wykrywa

gmer wyrzuca blad: c:\windows\system32\config\system the system cannot find the file specified

 

 

 

 

Results of screen317's Security Check version 0.99.11

Windows Vista (UAC is enabled)

Out of date service pack!!

Internet Explorer 8

``````````````````````````````

Antivirus/Firewall Check:

Windows Firewall Enabled!

WMI entry may not exist for antivirus; attempting automatic update.

```````````````````````````````

Anti-malware/Other Utilities Check:

Malwarebytes' Anti-Malware

Java 6 Update 24

Java 6 Update 5

Out of date Java installed!

Adobe Flash Player

Adobe Reader 8.2.6

Out of date Adobe Reader installed!

Mozilla Firefox (x86 en-US..)

````````````````````````````````

Process Check:

objlist.exe by Laurent

``````````End of Log````````````

 

 

prosze o jakies wskazowki.

Dziekuje

OTL.Txt

Extras.Txt

[picasso]

znajomy poprosil mnie o pomoc, trudno powiedziec czego wczesniej probowal. Na pewno odinstalowal AVG

 

Są ślady AVG i Avast. Był tu używany ComboFix. Nie wątpię, że było to bezsensowne. Widzę też pobrany RemoveitPro - trzymaj się od tego z daleka, program kwestionowalnej reputacji.

 

 

gmer wyrzuca blad: c:\windows\system32\config\system the system cannot find the file specified

 

Oczywiście: Windows vista sp2 64 bit. Jest wyraźnie napisane: GMER nie działa na systemach 64-bit. Na takich systemach także infekcje rootkit są mocno limitowane i jedyny mi znany rootkit praktycznie działający w przyrodzie to rootkit TDL4. A Ty mówisz:

 

 

tdss killer nic nie wykrywa

 

Ogólnie też w OTL nie widać żadnych innych znaków infekcji.

 

 

brak mozliwisci zapisywania plikow zarowno IE8 jak i FF

brak mozliwosci urzycia windows update, nie mozna zainstalowac IE9 ani Microsoft security essentials

 

Opisz dokładnie jakie błędy widzisz. Precyzyjnie spisane komunikaty a nie ogólniki.

 

 

 

.

[stalkerama]

 

Opisz dokładnie jakie błędy widzisz. Precyzyjnie spisane komunikaty a nie ogólniki.

.

 

reset IE8 do ustawien domyslnych konczy sie niepowodzeniem.

proba sciagnecia jakiego kolwiek pliku konczy sie kmunikatem: "your courrent security settings do not allow this file to be downloaded". zniana poziomu zabezpieczen na najnizszy i wylaczenie trybu proceted nic nie zmienia.

W Firefoxie sciagany plik pojawia sie na liscie jako Anulowany, reczne uruchomie powoduje start sciagania, widac tymczasowy plik w folderze docelowym ktory po zakonczeniu downloadu zostaje automatycznie usuniety :/

 

Widows update konczy sie niepowodzeniem zakonczonym bledem WindowsUpdate_80070490

 

MSE udalo mi sie zainstallowac recznie, przeskanowal system nie znalazl zagrozen.

 

Instalacja ie9 konczy sie lakonicznym komunikatem, "Internet eksplorer nie zakonczyl instalacji" i odsyla do strony http://support.microsoft.com/kb/2409098

 

w operze portable nie ma problemow z zapisywaniem plikow.

[picasso]

Szczerze wątpię w koncepcję infekcji.

 

 

reset IE8 do ustawien domyslnych konczy sie niepowodzeniem

 

Jakiś szczególny błąd?

 

 

proba sciagnecia jakiego kolwiek pliku konczy sie kmunikatem: "your courrent security settings do not allow this file to be downloaded". zniana poziomu zabezpieczen na najnizszy i wylaczenie trybu proceted nic nie zmienia.

W Firefoxie sciagany plik pojawia sie na liscie jako Anulowany, reczne uruchomie powoduje start sciagania, widac tymczasowy plik w folderze docelowym ktory po zakonczeniu downloadu zostaje automatycznie usuniety :/

 

(...)

 

w operze portable nie ma problemow z zapisywaniem plikow.

 

IE + Firefox bazują na strefach zabezpieczeń Windows, dlatego obie przeglądarki są dotknięte ale nie Opera (niezależna od stref zabezpieczeń). Mówisz o zmianie poziomu zabezpieczeń, ale czy na pewno mamy na myśli to samo miejsce? Opcje internetowe > Zabezpieczenia > Strefa internet > Poziom niestandardowy > na liście:

 

• Sekcja Pobieranie: Pobieranie pliku ustawione na Włącz.
  
• Sekcja Różne: Uruchamianie aplikacji i niebezpiecznych plików ustawione na Monituj (zalecane).
  

 

Widows update konczy sie niepowodzeniem zakonczonym bledem WindowsUpdate_80070490 (...) Instalacja ie9 konczy sie lakonicznym komunikatem, "Internet eksplorer nie zakonczyl instalacji"

 

W pierwszej kolejności doprowadź do ładu ustawienia stref zabezpieczeń. Zastosuj Fix-it resetujące Windows Update w trybie agresywnym oraz "Narzędzie analizy gotowości aktualizacji systemu" i zaprezentuj wynikowy checksur.log. Obie metody są przedstawione w tym tutorialu: KLIK.

 

 

 

.

[stalkerama]

Szczerze wątpię w koncepcję infekcji.

 

chyba rzeczywiście za bardzo sie zasugerowałem

 

Jakiś szczególny błąd?

 

nie, po prostu czerwony X przy przywracaniu ustawień domyślnych.

 

• Sekcja Pobieranie: Pobieranie pliku ustawione na Włącz.
  
• Sekcja Różne: Uruchamianie aplikacji i niebezpiecznych plików ustawione na Monituj (zalecane).
  

 

wszystko bylo ustawione dokładnie tak jak napisałaś.

 

W pierwszej kolejności doprowadź do ładu ustawienia stref zabezpieczeń. Gdy błąd nie ustąpi, zastosuj Fix-it resetujące Windows Update w trybie agresywnym oraz "Narzędzie analizy gotowości aktualizacji systemu" i zaprezentuj wynikowy checksur.log. Obie metody są przedstawione w tym tutorialu: KLIK.

 

Fix-It z artykułu KB971058 naprawił ściąganie niestety dalej jest cos nie tak z WU.

logu %windir%\Logs\CBS\CheckSur.log nie znalazłem

 

Użyłem dla pewności Fix WU Utility, nic nie zmieniło.

 

 

Obecnie jestem na etapie instalacji System Update Readiness tool.

.

[picasso]

wszystko bylo ostawione dokladnie jak napisalas

 

Start > w polu szukania wpisz regedit > z prawokliku wyeksportuj do wglądu klucze:

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones

HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\Zones

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Policies\Microsoft\Windows\CurrentVersion\Internet Settings

 

(uwzględniam 32-bitowe i 64-bitowe ustawienia, choć w gruncie rzeczy pewnie wystarczy sprawdzić tylko obszar 32-bit = Firefox jest 32-bitowy, w domyśle IE został uruchomiony w wersji 32-bit)

 

 

nie, poprostu czerwony X przy przywracaniu ustawien domyslnych.

 

Można też alternatywnie skorzystać z Fix-it z artykułu KB923737.

 

 

logu %windir%\Logs\CBS\CheckSur.log nie znalazlem

 

Uzylem dla pewnosci Fix WU Utility, nic nie zmienilo.

 

 

Obecnie jestem na etapie instalacji System Update Readiness tool.

 

Ten log powstanie dopiero wtedy, gdy ukończy skan narzędzie System Update Readiness Tool (to nie jest instalacja nawiasem mówiąc, tylko skanowanie właściwe pozorujące "instalację").

 

 

 

.

[stalkerama]

=================================

Checking System Update Readiness.

Binary Version 6.0.6002.22574

Package Version 11.0

2011-05-22 13:50

 

Checking Windows Servicing Packages

 

Checking Package Manifests and Catalogs

 

Checking Package Watchlist

 

Checking Component Watchlist

 

Checking Packages

(f) CBS Registry Error 0x80070103 Package_for_KB2360131~31bf3856ad364e35~amd64~~8.0.1.3 failed to get owner for package.

(f) CBS Registry Error 0x80070002 Package_for_KB972145~31bf3856ad364e35~amd64~~6.0.1.5 failed to get CurrentState

(f) CBS Registry Error 0x80070002 Package_for_KB972145~31bf3856ad364e35~amd64~~6.0.1.5 failed to get Visibility

 

Checking Component Store

 

Summary:

Seconds executed: 1651

Found 3 errors

CBS Registry Error Total count: 3

 

Microsoft Fix it 50195 naprawa nie powiodła sie

 

klucze Internet Settings sa puste

HCU_zones.txt

HLM_zones.txt

[stalkerama]

Dziękuję za szybką, fachową pomoc i bardzo pouczającą lekcje.

Komputer wraca do właściciela na backup danych a później czeka go reinstalacja.

 

pozdrowienia

[picasso]

No cóż, te błędy w Checksur, które nie zostały naprawione, prawdopodobnie świadczą o uszkodzonych / niepełnych zapisach rzeczonych łat w kluczach:

 

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Component Based Servicing\Packages\Package_for_KB2360131~31bf3856ad364e35~amd64~~8.0.1.3

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Component Based Servicing\Packages\Package_for_KB972145~31bf3856ad364e35~amd64~~6.0.1.5

 

Gdyby miała tu odbyć się naprawa, należałoby zaimportować do rejestru wpisy tych łat wzięte z innego sprawnego systemu Vista x64. Nie mam pod ręką systemu w takiej wersji z tymi łatkami. Czy komputer wrócił do właściciela już? Jeśli nie, to jeszcze ewentualnie postarałabym się postawić w wirtualnej maszynie Vista x64 i dorobić zapisy tych łat, by pozyskać import do rejestru. Jest to jednak niestety nieco pracochłonne.

 

 

 

.

[stalkerama]

Komputera juz nie mam ale będę mial do niego jeszcze dostęp przed reinstalacja, prawdopodobnie pod koniec tygodnia. Spróbuje zdobyć te wpisy i sprawdzić jaki będzie wpływ na prace systemu.

 

Jeszcze raz wielkie dzięki.

[picasso]

będę mial do niego jeszcze dostęp przed reinstalacja prawdopodobnie pod koniec tygodnia

 

Do tego czasu to ja zdołam skonstruować u siebie to środowisko. Chodziło mi bardziej o to, że na dziś nie dałoby rady (ważna sprawa rodzinna), nie zdążyłabym żadnym sposobem. W ciągu najbliższych dni postaram się tu zapostować z importem rejestru, niezależnie od tego czy naprawa dojdzie do skutku.

[picasso]

Postawiłam system o parametrach wyjściowych tu widocznych: Vista Home Premium SP2 x64 + IE8. Ale zadanie zrobione tylko połowicznie. Załadowałam łatę KB972145 z Windows Update. Natomiast KB2360131 w ogóle nie jest podstawiana w Windows Update, a gdy chcę ją zainstalować z dysku, to otrzymuję błąd o braku zgodności z systemem... Póki co, nie skołowałam wpisów tej łatki i jeszcze będę próbować na innej kopii systemu z innym układem aktualizacyjnym. EDIT: Mam wpis i dla KB2360131. Przeszło dopiero na trzecim systemie, gołej Vista x64 bez żadnego SP, po domontowaniu wymaganych do instalacji IE8 łat plus samego IE8.

 

 

W pierwszej kolejności w rejestrze sprawdź czy w ogóle są takie klucze, a jeśli tak, ile w nich jest:

 

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Component Based Servicing\Packages\Package_for_KB2360131~31bf3856ad364e35~amd64~~8.0.1.3

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Component Based Servicing\Packages\Package_for_KB972145~31bf3856ad364e35~amd64~~6.0.1.5

 

Czyli wyeksportuj do porównania, o ile jest co eksportować.... Przedstawiam w jaki sposób klucze te wyglądają na obu Vista x64:

 

KB972145

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Component Based Servicing\Packages\Package_for_KB972145~31bf3856ad364e35~amd64~~6.0.1.5]
"InstallClient"="Package Manager"
"InstallName"="update.mum"
"InstallLocation"="\\\\?\\C:\\Users\\Computer User\\Desktop\\Vista TEMP\\hsTemp19\\"
"CurrentState"=dword:00000007
"SelfUpdate"=dword:00000000
"Visibility"=dword:00000001
"InstallTimeHigh"=dword:01cc19e8
"InstallTimeLow"=dword:dcb1ea7a
"InstallUser"="S-1-5-21-1686543580-2326358091-30454963-1000"
"Trusted"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Component Based Servicing\Packages\Package_for_KB972145~31bf3856ad364e35~amd64~~6.0.1.5\Owners]
"Package_for_KB972145~31bf3856ad364e35~amd64~~6.0.1.5"=dword:00020007

 

KB2360131

 

Windows Registry Editor Version 5.00

 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Component Based Servicing\Packages\Package_for_KB2360131~31bf3856ad364e35~amd64~~8.0.1.3]
"InstallClient"="WindowsUpdateAgent"
"InstallName"="update.mum"
"InstallLocation"="\\\\?\\C:\\Windows\\SoftwareDistribution\\Download\\222ee4692d7c45998cf6d6d4953f526c\\inst\\"
"CurrentState"=dword:00000007
"SelfUpdate"=dword:00000000
"Visibility"=dword:00000001
"InstallTimeHigh"=dword:01cc1bb7
"InstallTimeLow"=dword:2a8e4477
"InstallUser"="S-1-5-21-908587687-66327829-467088014-1000"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Component Based Servicing\Packages\Package_for_KB2360131~31bf3856ad364e35~amd64~~8.0.1.3\Owners]
"Package_for_KB2360131~31bf3856ad364e35~amd64~~8.0.1.3"=dword:00020007

Trzeba tu dopasować detal InstallUser, czyli konto które użyto do instalacji. Tu figurują SID mojego konta. Wzorując się na dostarczonym wcześniej logu OTL SID bieżącego użytkownika na Twoim komputerze to S-1-5-21-140862942-3505633946-997447935-1001.

 

 

Akcja wyglądałaby następująco:

 

1. Po sprawdzeniu co jest aktualnie w rejestrze + dostosowaniu w/w zawartości do Notatnika wklej teksty > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG.

 

2. Zastartuj regedit na uprawnieniu SYSTEM. Metody przedstawione w tym tutorialu: KLIK.

 

3. Tymczasowo przestaw uprawnienia dla klucza HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Component Based Servicing\Packages, przypisując dla konta SYSTEM Pełną kontrolę. Akcja manipulacji na uprawnieniach również opisana w powyższym tutorialu.

 

4. W regedit z menu Plik > Import > wskaż przygotowany FIX.REG.

 

5. Restart systemu i sprawdź czy działa Windows Update.

 

 

 

---

Na temat komunikatu ze strefami zabezpieczeń w IE + Firefox: szybciej przelecę rejestr własną ręką niż na czuja zadając poszukiwania. Zrób kopię rejestru (KLIK), pliki SOFTWARE + NTUSER.DAT zapakuj do ZIP, shostuj gdzieś i prześlij mi link.

 

 

 

.

Edytowane 24 Czerwca 2011 przez picasso
24.06.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso