Infekcja BOO/Whistler na Master Boot Sector - wszystkie partycje

[LordDestroyer]

Witam

Od kilku dni z nieznanych mi przyczyn, Avira wyrzuca mi komunikaty tego typu:

 

"2011-09-10,22:19:42 [DETECTION] The boot sector of Master boot sector HD0 contains code from 'BOO/Whistler"

 

przy czym czasem zamiast HD0 występują wszystkie litery partycji jakie mam na dysku twardym, od C do F.

Po kliknięciu w przycisk "skasuj" Avira zaczyna pełne skanowanie systemu, po czym znów wyrzuca podobny błąd.

 

Dysk przeszukałem Malwarebyte's Anti Malware w najnowszej wersji PRO (trial na 14-dni) ale znalazł tylko dwa cracki do gier, które niezwłocznie wyrzuciłem... a problem występuje nadal. Nadmienię tylko, że te gry siedzą u mnie na kompie już od pół roku z okładem i wcześniej podobny problem nie występował, więc pozwolę sobie założyć, że jedno z drugim niewiele ma wspólnego.

Zauważyłem również dziwne artefakty graficzne (zaczernione okno, które staje się ponownie widoczne dopiero po minimalizacji okien i ich ponownym przywróceniu) od momentu akutalizacji Firefox'a do wersji 6.

 

Jako ochronę przed infekcjami mam od dość dawna zainstalowane kilka programów polecanych m.in. na searchengines w takiej kombinacji:

- Avira jako antywir i skaner rezydentny

- Comodo wyłącznie włączony jako firewall

- Malwarebyte's Anti Malware profilaktycznie od czasu do czasu.

 

Comodo nie widzi nic, Anti Malware nadgorliwie blokuje uTorrenta, ale dopiero do jego aktualizacji do trailowego PRO. Przypuszczam, że ma to związek z płatnymi funkcjami programu, monitorującymi ruch p2p.

Najbardziej niepokoi mnie to, co Avirę - Boo/Whistler. Brzmi groźnie z tym infekowaniem boot sektorów, a do tego to przemieszczanie się z partycji na partycję...

 

Jedyne podjęte przeze mnie kroki to uruchomienie standartowych procedur programów antywirusowych jakie wymieniłem wyżej i oczyszczenie kwarantanny ze śmieci.

Usunąłem też Daemona oraz Alcohol 120 wg wskazówek Picasso.

 

Wklejam raporty z OTL oraz uzupełniający z Security Check:

 

Results of screen317's Security Check version 0.99.18

Windows XP Service Pack 3

Internet Explorer 8

``````````````````````````````

Antivirus/Firewall Check:

Avira AntiVir Personal - Free Antivirus

Antivirus up to date! (On Access scanning disabled!)

```````````````````````````````

Anti-malware/Other Utilities Check:

Malwarebytes' Anti-Malware

CCleaner

Java 6 Update 22

Out of date Java installed!

Adobe Flash Player 10.3.183.5

Mozilla Firefox (x86 pl..)

Mozilla Thunderbird (6.0.2)

````````````````````````````````

Process Check:

objlist.exe by Laurent

Malwarebytes' Anti-Malware mbamservice.exe

Malwarebytes' Anti-Malware mbamgui.exe

Malwarebytes' Anti-Malware mbam.exe

Avira Antivir avgnt.exe

Avira Antivir avguard.exe

Comodo Firewall cmdagent.exe

Comodo Firewall cfp.exe

``````````End of Log````````````

 

EDIT:

Przepraszam za niedoczytanie części zasad zamieszczania logów w określonych tematach. Na polecenie Landuss'a próbowałem wykonać skan GMERem - niestety, wystąpiło kilka problemów:

- po uruchomieniu programu nie zaproponował skanu wstepnego, od razu pokazał, że wykrył coś co nosi znamiona infekcji rootkit i propozycję pełnego skanu. Z braku innych opcji, dałem na tak.

- po kilkugodzinnym skanowaniu wyrzucił mi tylko informację, że znalazł infekcję, w oknie raportowym widniał na czerwono znaleziony rootkit boo/whistler

- Windows wyświetlił komunikat błędu o "niepowodzeniu wykonania opóźnionego zapisu", powtarzający się każdorazowo po wciśnięciu OK.

- niestety nie byłem w stanie zrobić screenshota ani skopiować loga do notatnika, ze względu na

-- wyłączenie się po chwili myszy/lub jej lasera (nie jestem pewien) tak czy inaczej, niemożność ruchu kursorem

-- niemożność otwarcia painta z Start->Uruchom, aby wkleić tam screena

(zamiast tego uparcie próbował utworzyć skrót czegoś na dysku, a raczej odmawiał tej nieporządanej przeze mnie operacji wymigując się jakimś błędem)

-- pod Start->Programy pojawiała się wyłącznie pozycja "(pusto)"

 

Normalną sytuację przywrócił dopiero reset komputera (komunikat Aviry o boo/whistlerze w kilku miejscach ukazuje się co chwila - tu bez zmian)

 

Dlatego zamiast GMER'a zamieszczam alternatywny log z RootRepeal

OTL.Txt

Extras.Txt

RootRepeal report 09-11-11 (22-15-36).txt

[Landuss]

Nie wykonałeś obowiązkowego loga z GMER więc zrób to bo tylko tak można sprawdzić infekcję rootkit.

[picasso]

Na polecenie Landuss'a próbowałem wykonać skan GMERem - niestety, wystąpiło kilka problemów:

- po uruchomieniu programu nie zaproponował skanu wstepnego, od razu pokazał, że wykrył coś co nosi znamiona infekcji rootkit i propozycję pełnego skanu. Z braku innych opcji, dałem na tak.

- po kilkugodzinnym skanowaniu wyrzucił mi tylko informację, że znalazł infekcję, w oknie raportowym widniał na czerwono znaleziony rootkit boo/whistler

 

To był właśnie skan wstępny (on nie jest "proponowany", idzie z automatu natychmiast przy starcie GMER), dlatego nastąpiła błyskawiczna detekcja i propozycja skanu pełnego. Uruchom Kaspersky TDSSKiller (wykrywa Whistler) i przedstaw log. Nie podejmuj jeszcze żadnych akcji na wpisach, wszędzie ustaw Skip, tylko zaprezentuj raport wstępny co narzędzie widzi.

 

 

 

.

[LordDestroyer]

zachowując ciągłość "dyskusji" na prośbę Picasso - log z kasperskyego (wybacz ciągłe edytowanie pierwszego posta - trochę "zwyrodniałe dobre nawyki")

TDSSKiller.2.5.21.0_11.09.2011_23.03.29_log.txt

[picasso]

1. TDSSKiller widzi infekcję, dlatego też uruchom go z domyślnie przyznaną przez narzędzie opcją czyszczenia MBR i zatwierdź restartem komputera.

 

2. Po restarcie wygeneruj nowy odczyt z TDSSKiller. Jeśli infekcja zostanie pomyślnie usunięta, otrzymasz dodatkowe instrukcje natury kosmetycznej.

[LordDestroyer]

Zadanie wykonane.

Kaspersky pokazał, że whistler jest, cure/reboot (tu niestety zamykanie windowsa trwało tak długo, że zrobiłem reset łopatologicznie, z obudowy) - to niestety zdaża się czasami, również przy przelogowywaniu kont z mojego na żony lub odwrotnie.

Tak na marginesie - czy tu wpływ może mieć to, że oba konta mają uprawnienia admina?

 

Kolejny skan kasperskiego dla pewności - pisze ze nic nie wykrył. Avira też siedzi cicho.

 

Dzięki Ci Picasso! Ratujesz mi wieczór, bym mógł naściągać więcej wirusów

ps. Skąd Twoim zdaniem mogło się wziąć to robaczydło na mojej maszynce i jakie szkody mogło czynić?

[picasso]

(tu niestety zamykanie windowsa trwało tak długo, że zrobiłem reset łopatologicznie, z obudowy) - to niestety zdaża się czasami, również przy przelogowywaniu kont z mojego na żony lub odwrotnie.

Tak na marginesie - czy tu wpływ może mieć to, że oba konta mają uprawnienia admina?

 

Długie zamykanie przy obecności rootkita + procesie leczenia może mieć swoje uzasadnienie. Natomiast występowanie tego ot tak (na czystym systemie) wymaga diagnostyki - konkretne błędy z Dziennika zdarzeń należy brać pod uwagę. Poobserwuj system, gdy się to zdarzy ponownie, wtedy się temu przyjrzymy. A konta administracyjne nie powinny mieć związku, już prędzej usługi załadowane w tle / oprogramowanie zabezpieczające, względnie mało dostępnej pamięci.

 

 

ps. Skąd Twoim zdaniem mogło się wziąć to robaczydło na mojej maszynce i jakie szkody mogło czynić?

 

Prawdopodobnie zwizytowałeś stronę, która załadowała to, lub pobrałeś jakąś paczkę wątpliwego pochodzenia .... Trudno mi to teraz ustalić. Potencjalne szkody: hasła mogły wycieknąć, dlatego jest tu punkt 1.

 

1. Zmień wszystkie hasła logowań w serwisach

 

2. Możemy przejść do obiecanej kosmetyki, czyli usuwanie wpisów pustych, resztek śmieci i kwestionowalnej reputacji zynga Toolbar w Firefox (KLIK), plus czyszczenie lokalizacji tymczasowych. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKU\S-1-5-21-1708537768-220523388-725345543-1004\..\URLSearchHook: {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - Reg Error: Key error. File not found
O3 - HKU\S-1-5-21-1708537768-220523388-725345543-1003\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O4 - HKU\S-1-5-21-1708537768-220523388-725345543-1004..\Run: [DAEMON Tools Pro Agent]  File not found
O4 - HKU\S-1-5-21-1708537768-220523388-725345543-1004..\Run: [EA Core]  File not found
O9 - Extra Button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} -  File not found
O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} "http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab" (Reg Error: Key error.)
O16 - DPF: DirectAnimation Java Classes "file://C:\WINDOWS\Java\classes\dajava.cab" (Reg Error: Key error.)
O16 - DPF: Microsoft XML Parser for Java "file://C:\WINDOWS\Java\classes\xmldso.cab" (Reg Error: Key error.)
FF - prefs.js..extensions.enabledItems: {7b13ec3e-999a-4b70-b9cb-2617b8323822}:3.3.3.2
[2011-08-16 23:14:42 | 000,000,000 | ---D | M] (Zynga Community Toolbar) -- C:\Documents and Settings\Lord_Destroyer\Dane aplikacji\Mozilla\Firefox\Profiles\u2p5vbix.default\extensions\{7b13ec3e-999a-4b70-b9cb-2617b8323822}
[2009-10-11 18:34:11 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Asiuczek\Dane aplikacji\pdfforge
[2009-10-11 18:34:14 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Asiuczek\Dane aplikacji\Search Settings
@Alternate Data Stream - 100 bytes -> C:\Program Files\Media Player Classic.exe:KAVICHS
 
:Commands
[emptyflash]
[emptytemp]

Klik w Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z usuwania, ten mi zaprezentuj.

 

 

 

 

.

[LordDestroyer]

1. hasła pozmieniałem do najważniejszych miejsc

2. log z OTL pod spodem

 

09122011_004518.txt

[picasso]

Skrypt OTL kilku rzeczy nie przetworzył nie widząc ich, ale za to wykonał dobrą robotę w czyszczeniu lokalizacji tymczasowych, jesteś ~3GB do przodu (Total Files Cleaned = 3 045,00 mb).

 

1. Te wpisy starych kontrolek Java zapewne nadal są w logu z OTL:

 

O16 - DPF: DirectAnimation Java Classes "file://C:\WINDOWS\Java\classes\dajava.cab" (Reg Error: Key error.)
O16 - DPF: Microsoft XML Parser for Java "file://C:\WINDOWS\Java\classes\xmldso.cab" (Reg Error: Key error.)

Możesz to usunąć stosując plik BAT z tego posta: KLIK.

 

2. W OTL uruchom Sprzątanie. To usuwa kwarantannę OTL i program z dysku, ale też rekonfiguruje opcje widoku do poziomu domyślnego (jeśli to Ci nie pasuje, sam już popraw w Opcjach folderów).

 

3. Wykonaj aktualizacje oprogramowania (ważne pod kątem łatania luk):

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java™ 6 Update 22
"{AC76BA86-7AD7-1033-7B44-A93000000001}" = Adobe Reader 9.3
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Gadu-Gadu 10" = Gadu-Gadu 10

- Szczegóły aktualizacyjne rozpisane tu: INSTRUKCJE.

- (Opcjonalnie) proponuję też wymianę potwora GG10 alternatywą. W temacie Darmowe komunikatory są stosowne opisy (AQQ, Kadu, WTW i Miranda), a proponuję WTW.

 

4. Na koniec wyczyść foldery Przywracania systemu: INSTRUKCJE.

 

 

I to byłoby na tyle w kwestii czyszczenia infekcji.

 

 

 

 

.

[LordDestroyer]

Dziękuje raz jeszcze!

 

Poczyściłem co radziłaś, faktycznie dysk mi się odchudził

Najnowsze wersje programów poinstalowane, dziwne - z reguły byłem na czasie, ostatnio jakoś przegapiłem parę aktualizacji...

Pewnie ma to coś wspólnego z założeniem rodziny i brakiem czasu na ślęczenie przed flashowymi gierkami, e-bookami i innymi Javami... ale jak względy bezpieczeństwa, to nie ma to tamto!

 

Odzyskiwanie systemu wyłączyłem.

 

Gadulec... hmm. nienawidzę go od wersji 3.

Niestety - czynnik rodzinny nie pozwala na deinstalację. Żona, mówiąc precyzyjniej. Nie zna i nie ufa alternatywom (proponowałem AQQ i leciutkiego acz potężnego Pidgina... nic z tego. Gadu Gadu zna, reszty nie i koniec.) Niestety - w kwestii komputerów to Twoje kompletne przeciwieństwo

Ja tego ustrojstwa od roku chyba nie włączałem, ale jak wyinstaluję, to i z jej profilu zniknie, więc mamy pat i jakoś muszę z tym żyć ;D

 

Pozdrawiam!

[picasso]

Gadulec... hmm. nienawidzę go od wersji 3.

 

Jest pewna nadzieja w nadchodzącym GG11. Podobno ma być bardziej ludzkie ... Acz, nie uwierzę, póki tego nie zobaczę na własne oczy.

 

 

(proponowałem AQQ i leciutkiego acz potężnego Pidgina... nic z tego. Gadu Gadu zna, reszty nie i koniec.)

 

Pidgin akurat ma najsłabszą obsługę Gadu z wszystkich tu wyliczanych, i ledwo wyciągnął podstawową zgodność z protokołem GG8/10. Dobry jako multikomunikator ale nie jako samodzielny klient Gadu. W propozycjach były podane tylko te komunikatory, które obsługują najwięcej pożądanych cech, a mój faworyt jako jedyny umie importować archiwa GG10.

 

 

Temat tu będziemy zamykać. Jeśli ujawni się ten efekt:

 

 

zamykanie windowsa trwało tak długo (...) to niestety zdaża się czasami, również przy przelogowywaniu kont z mojego na żony lub odwrotnie

 

... załóż dedykowany temat w dziale Windows XP, dostarczając pełne Dzienniki zdarzeń do analizy.

 

 

 

.

[LordDestroyer]

Ok, wygląda na to, że wszystko śmiga i whistler zdechł.

 

Komputer wyłącza się poprawnie, choć jeszcze przelogowywania nie sprawdzałem, ale w razie kłopotu przejdę do poleconego przez Ciebie działu.

Wydaje mi się, że ten niekończący się reset był spowodowany czyszczeniem kompa ze śmieci wg. Twojego przepisu, tylko mi cierpliwości brakło i zrobiłem hard reset - stąd pewnie nie do końca usunięte śmiecie, które wymiotłaś mi do końca poleconym .bat'em.

 

Dziękuję BARDZO za okazaną pomoc i niezmiernie żałuję, że nie mogę w realu postawić Ci za to piwa/drinka - cokolwiek preferujesz.

 

Cóż... z Katowic do Holandii:

[picasso]

Wydaje mi się, że ten niekończący się reset był spowodowany czyszczeniem kompa ze śmieci wg. Twojego przepisu, tylko mi cierpliwości brakło i zrobiłem hard reset - stąd pewnie nie do końca usunięte śmiecie, które wymiotłaś mi do końca poleconym .bat'em.

 

Ten przedłużony reset był przy używaniu TDSSKiller, a nie późniejszego skryptu OTL. Natomiast to co jest usuwane za pomocą BAT nie zostało usunięte przez OTL, bo OTL tego nie widzi w rejestrze (mimo że wykrywa to w logu) i to nie pierwszy przypadek na forum, że te dwie stare kontrolki nie mogą być usunięte za pomocą skryptu OTL.

 

 

Ukończyliśmy temat infekcji rootkit. Temat zamykam. Za piwo dziękuję.

 

 

 

.