Infekcja MBR: Whistler-C Rootkit

[Boruta]

Witam

 

Kieruję się z prośbą, gdyż nie wiem co mam począć- antywirus Avast wykrył złośliwe oprogramowanie typu Rootkit [MBR: Whistler-C]

Tutaj screen:

 

 

Po rozruchu komputera i kilku mignięciach białych znaków na czarnym tle system zawiesił sie [ostatnim wierszem na dole było 'boot from cd/dvd]

System nie chciał dalej działać, nie pojawiał się ekran startowy itp. Po wyjęciu płyty i ponownym uruchomieniu wszystko zadziałało.

Lecz antywirus Avast wskazał na złośliwe oprogramowanie Rootkit.

 

Na razie nie odczuwam skutków posiadania tego oprogramowania, prócz komunikatów Avast, który próbował usunąć Rootkita, lecz najwyraźniej nie udało mu się to [stąd ponowne komunikaty]

 

Do załącznika wrzucam logi- OTL, Extras, GMER.

GMER.txt

OTL.txt

Extras.txt

[picasso]

Niewątpliwie mamy rootkita Whistler w MBR dysku.

 

1. Uruchom Kaspersky TDSSKiller i za jego pomocą zlikwiduj tę infekcję. Zresetuj komputer.

 

2. Wygeneruj do oceny nowy log z GMER oraz raport z Kaspersky TDSSKiller.

[Boruta]

Jak rozumiem chodzi tutaj o funkcję Cure czy Restore?

 

 

Nie chciałbym zrobić czegoś źle, stąd moja lękowa dociekliwość.

[picasso]

Kaspersky może leczyć infekcję bez nadpisania całego MBR, dlatego jest ustalone Cure i tę opcję masz zostawić. Restore tylko wtedy się stosuje, gdy Kaspersky sam powie, że się nie da leczyć i musi być przepis całego MBR.

[Boruta]

Oto i logi.

GMER.txt

TDSSKiller.2.5.21.0_12.09.2011_00.15.40_log.txt

[picasso]

Wygląda na to, że problem infekcji rootkit jest rozwiązany. Możemy przejść do innych czynności porządkowych.

 

1. Przejdź do Panelu sterowania i usuń śmieci: zbędny Akamai NetSession Interface, szczątek LiveUpdate 3.2 (Symantec Corporation) oraz odpadek DVDVideoSoftTB Toolbar. Ten ostatni przypuszczanie zwróci błąd usuwania, ale powinna paść propozycja usunięcia pustego wpisu, na co wyraź zgodę.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
SRV - File not found [On_Demand | Stopped] --  -- (npggsvc)
SRV - File not found [On_Demand | Stopped] --  -- (NBService)
SRV - File not found [Auto | Stopped] --  -- (LiveUpdate Notice Ex)
SRV - File not found [Auto | Stopped] --  -- (ircengnt)
SRV - File not found [Auto | Stopped] --  -- (CLTNetCnService)
SRV - [2011-09-11 20:37:51 | 000,592,768 | ---- | M] (Sysinternals - www.sysinternals.com) [On_Demand | Stopped] -- C:\Users\BORYSA~1\AppData\Local\Temp\ZHSPAHMVADJQI.exe -- (ZHSPAHMVADJQI)
SRV - [2011-09-11 20:37:44 | 000,387,968 | ---- | M] (Sysinternals - www.sysinternals.com) [On_Demand | Stopped] -- C:\Users\BORYSA~1\AppData\Local\Temp\JLFUMZTWH.exe -- (JLFUMZTWH)
IE - HKLM\..\URLSearchHook: {872b5b88-9db5-4310-bdd0-ac189557e5f5} -  File not found
IE - HKU\S-1-5-21-3475731570-3686470524-1019051330-1007\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.mywebsearch.com/index.jhtml?ptnrS=ZJfox000&ptb=V4hpxIdCvQVesgi2NVtIHw"
IE - HKU\S-1-5-21-3475731570-3686470524-1019051330-1007\..\URLSearchHook: {872b5b88-9db5-4310-bdd0-ac189557e5f5} -  File not found
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found.
O2 - BHO: (AVG Safe Search) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - Reg Error: Value error. File not found
O2 - BHO: (no name) - {8664889D-ED18-4713-918F-E2BB69D8452B} - No CLSID value found.
O2 - BHO: (DVDVideoSoftTB Toolbar) - {872b5b88-9db5-4310-bdd0-ac189557e5f5} -  File not found
O3 - HKLM\..\Toolbar: (no name) - {8664889D-ED18-4713-918F-E2BB69D8452B} - No CLSID value found.
O3 - HKLM\..\Toolbar: (DVDVideoSoftTB Toolbar) - {872b5b88-9db5-4310-bdd0-ac189557e5f5} -  File not found
O3 - HKU\S-1-5-21-3475731570-3686470524-1019051330-1007\..\Toolbar\WebBrowser: (DVDVideoSoftTB Toolbar) - {872B5B88-9DB5-4310-BDD0-AC189557E5F5} -  File not found
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [scvhost.exe]  File not found
O4 - HKLM..\RunServices: [scvhost.exe]  File not found
O4 - Startup: C:\Users\Iwona\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.0.lnk =  File not found
O8 - Extra context menu item: Free YouTube to Mp3 Converter - C:\Users\Borysław\AppData\Roaming\DVDVideoSoftIEHelpers\youtubetomp3.htm ()
[2010-02-06 16:23:28 | 000,000,000 | ---D | M] (Zwunzi) -- C:\Program Files\Mozilla Firefox\extensions\{F270F1AF-34D6-41CB-A9F5-8200EF7DB41F}
[2011-03-26 00:13:52 | 000,000,000 | -HSD | M] -- C:\Users\Borysław\AppData\Roaming\wyUpdate AU
@Alternate Data Stream - 1280 bytes -> C:\ProgramData\Microsoft:UjoY31FZaw1WbMQbXbZ
@Alternate Data Stream - 1276 bytes -> C:\Users\Borysław\AppData\Local\Temp:c5VWC58yGBDGx8kEWI8B
@Alternate Data Stream - 1238 bytes -> C:\ProgramData\Microsoft:QZXlT34LnsQItesRmOo6DjERJKT
@Alternate Data Stream - 1079 bytes -> C:\Program Files\Common Files\System:mfZ3X1KDLyNXQCFM1uarsiFs
 
:Commands
[emptyflash]
[emptytemp]

Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany, po restarcie powinien się otworzyć log z wynikami usuwania.

 

3. Przedstaw do oceny: log pozyskany z usuwania w punkcie 2, nowy log z OTL z opcji Skanuj (Extras już nie potrzebuję) oraz log z AD-Remover z opcji Scan.

 

 

 

.

[Boruta]

Kilkanaście minut po akcji Wykonaj skrypt pojawia się komunikat 'Program OTL przestał działać'

[picasso]

Przedstaw nowy log z OTL, dla pokazania ile ze skryptu się przetworzyło. Dodaj także ten AD-Remover.

[Boruta]

Niestety za każdym skanem idzie bluescreen. Następnie po kilku sekundach komputer sam się wyłącza dla swego bezpieczeństwa.

[picasso]

Niestety za każdym skanem idzie bluescreen.

 

Podczas opcji Skanuj?

[Boruta]

Tak. Komputer po kilku sekundach pokazuje bluescreen.

[picasso]

Posługiwałeś się OTL w wersji 3.2.27.0. Już jest nowsza 3.2.28.0, pobierz i spróbuj uruchomić.

[Boruta]

Avast znów pokazuje kominikat o Rootkitcie.

Skanowanie nową wersją póki co przebiega poprawnie.

 

Log z OTL

OTL.Txt

[picasso]

Avast znów pokazuje kominikat o Rootkitcie.

 

Poproszę o nowy log z GMER oraz odczyt z Kaspersky TDSSKiller (nie usuwaj jeszcze nic, przyznaj akcję Skip).

[Boruta]

Gmer we wstępnym skanowaniu wykazuje, że rootkit jest obecny.

Po kilku sekundach od zaczęcia akcji Skan komputer wywala bluescreen.

 

TDSSKiller -> http://img703.imageshack.us/img703/3604/tdsd.jpg

[picasso]

Gmer we wstępnym skanowaniu wykazuje, że rootkit jest obecny.

Po kilku sekundach od zaczęcia akcji Skan komputer wywala bluescreen.

 

Nie usunąłeś sterownika SPTD: KLIK.

 

 

Obrazek niestety wymowny i jest niepokojące dlaczego infekcja wróciła, czy coś było niedoczyszczone czy może odnowiłeś ją z tego samego źródła z którego nabyłeś ją w pierwszej kolejności. Nie pozostaje nic innego jak wybór w Kasperskym opcji Cure dla wyniku Trojan... > restart systemu > zrobienie nowego loga z TDSSKiller. Jeśli to nadal będzie nieskuteczne, MBR będzie nadpisywany z poziomu płyty startowej.

 

 

 

.

[Boruta]

TDSS niczego nie odnajduje już.

TDSSKiller.2.5.21.0_16.09.2011_00.27.19_log.txt

[picasso]

Na razie wygląda na to, że część rootkit z głowy, ale sam fakt nawrotu jest niepokojący. Na temat dostarczonego najnowszego OTL: skrypt się wtedy wykonał, bo nie widzę już żadnych wpisów, które uprzednio planowałam do usunięcia, a teraz będą do usunięcia tylko dwa marne zapiski. Prosiłam jednak jeszcze o log z AD-Remover z opcji Scan.

Edytowane 30 Października 2011 przez picasso
30.10.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso