Rootkit MBR - Nie działa USB, czytnik kart

[laik30]

Witam

Avast podał informację o wirusie, podjąłem akcję zgodną z zalecaną (nie pamiętam już jaką) i Avast zasugerował ponowne uruchomienie komputera wraz ze skanowaniem - wykonałem i komputer nie włączył się. Dochodził tylko do momentu, w którym pojawia się znaczek windows i natychmiast restartował się.

Postanowiłem wymontować dyski twarde (były dwa), by zainstalować system na innym dysku i wtedy móc odzyskać dane z dotychczasowych dysków.

Okazało się, że po wyjęciu jednego z dysków komputer udało się uruchomić.

Może znaczenie ma to, że na obu dyskach były systemy, ale używałem zawsze tylko jednego, drugi system nie był uruchamiany od dawna.

Problemy są dwa

Po 1 Nie działa port USB oraz czytnik kart SD (oba wbudowane w obudowę).

Objawia się to tym, że po włożeniu karty, pendrive, w chwili próby otwarcia, by wyświetlić zawartość - komputer pokazuje komunikat, że dysk jest niesformatowany i czy chcę go sformatować teraz. Podobnie jest w przypadku podłączenia aparatu fotograficznego za pomocą kabla.

Pendrive staje się widoczny dla komputera, gdy włożę go zanim uruchomi się system.

Skaner, drukarka i kamera, podłączone (na stałe) do USB działają bez problemów

Po 2 Po zalogowaniu się na swój pulpit Avast wyświetla informację o znalezieniu virusa - zalecana akcja - usunięcie. Usuwam go lecz problem pojawia się za każdym razem. "znaleziono rootkita; informacje o rootkicie; nazwa pliku: MBR: \\.\PHYSICALDRIVE0"

Jeszcze jedna kwestia to samoczynne resetowanie się komputera przy uruchamianiu np Nero, albo innego programu do nagrywania. Ale nie jest to regularne - udało mi się nagrać płyty, choć nie za pierwszym razem.

 

Logi: (zrobiłem je korzystając z narzędzi z innego forum, dopiero dziś trafiłem tutaj)

OTL:

otl http://www.wklej.org/id/593352/

extras http://www.wklej.org/id/593351/

 

RSIT:

info http://www.wklej.org/id/593354/

log http://www.wklej.org/id/593355/

 

MBRCheck

http://www.wklej.org/id/593360/

 

Silent runners

http://www.wklej.org/id/593361/

 

czytając temat na fixitpc odnośnie roorkitów https://www.fixitpc.pl/topic/60-diagnostyka-infekcje-typu-rootkit/ , próbowałem zrobić wszystko jak w temacie, ale pobrany z losową nazwą program po uruchomieniu z dwukliku pokazywał jedynie przez ułamek sekundy okienko i potem następowało zresetowanie komputera. Sprawdzałem 3krotnie i za każdym razem nie udało się nic zdziałać. Trochę się boję tych nagłych resetów i nie wiem co dalej robić.

 

ps: link do forum, skąd brałem narzędzia do logów http://forum.pcformat.pl/Nie-dziala-USB-czytnik-kart-oraz-pojawiaja-sie-informacje-o-wirusie-t?pid=2460050#pid2460050

[picasso]

(zrobiłem je korzystając z narzędzi z innego forum, dopiero dziś trafiłem tutaj)

 

Na przyszłość: zawsze należy czytać zasady danego forum (KLIK) i tak np. tu podawanie logów z RSIT i SilentRunners jest zbyteczne, a logi z OTL robi się na innych ustawieniach.

 

 

Po 2 Po zalogowaniu się na swój pulpit Avast wyświetla informację o znalezieniu virusa - zalecana akcja - usunięcie. Usuwam go lecz problem pojawia się za każdym razem. "znaleziono rootkita; informacje o rootkicie; nazwa pliku: MBR: \\.\PHYSICALDRIVE0"

 

Czyli rootkit w MBR dysku. Usuwanie priorytetowe. Avast (choć z silnikiem GMERowym) temu raczej nie podoła, opis jest klasyczny: wykrywanie w kółko obiektu. Musi być użyte narzędzie specjalistyczne, a gdy zawiedzie, należy nadpisać MBR z poziomu płyty startowej.

 

 

Postanowiłem wymontować dyski twarde (były dwa), by zainstalować system na innym dysku i wtedy móc odzyskać dane z dotychczasowych dysków.

Okazało się, że po wyjęciu jednego z dysków komputer udało się uruchomić.

 

Jest możliwe, że drugi dysk także ma MBR zaprawione przez kod rootkita ....

 

 

---

Napoczynając rootkita: Uruchom narzędzie Kaspersky TDSSKiller, gdy cokolwiek wykryje nic jeszcze nie usuwaj i przyznaj wynikom akcję Skip. Masz zaprezentować log z tego narzędzia.

 

 

 

 

.

[laik30]

Na przyszłość: zawsze należy czytać zasady danego forum (KLIK) i tak np. tu podawanie logów z RSIT i SilentRunners jest zbyteczne, a logi z OTL robi się na innych ustawieniach.

 

Nie znam się i pomyślałem, że jak więcej tego będzie, to lepiej. Przepraszam

 

Czyli rootkit w MBR dysku. Usuwanie priorytetowe. Avast (choć z silnikiem GMERowym) temu raczej nie podoła, opis jest klasyczny: wykrywanie w kółko obiektu. Musi być użyte narzędzie specjalistyczne, a gdy zawiedzie, należy nadpisać MBR z poziomu płyty startowej.

 

No właśnie kolega mówił bym włożył płytę XP'ka i tam pojawi się podobno możliwość podmiany MBR, ale wolałem się z tym wstrzymać, bo nie byłem pewien czy czegoś nie uszkodzę

 

Jest możliwe, że drugi dysk także ma MBR zaprawione przez kod rootkita ....

 

Da się to wywalić? Teraz dysk leży obok komputera, mam też taką kieszeń, która umożliwia podłączenie dysku twardego pod kabel USB, może tak będzie bezpieczniej..? Na razie nic nie podłączam

 

Napoczynając rootkita: Uruchom narzędzie Kaspersky TDSSKiller, gdy cokolwiek wykryje nic jeszcze nie usuwaj i przyznaj wynikom akcję Skip. Masz zaprezentować log z tego narzędzia.

 

Zrobiłem.

Oto log http://www.wklej.org/id/594712/

[picasso]

No właśnie kolega mówił bym włożył płytę XP'ka i tam pojawi się podobno możliwość podmiany MBR, ale wolałem się z tym wstrzymać, bo nie byłem pewien czy czegoś nie uszkodzę

 

Ta metoda usuwania rootkita jest alternatywą, gdy zawiodą polubowne metody rozwiązania problemu. Narzędzie, które tu właśnie wykorzystuję, może leczyć MBR bez przepisywania standardowym kodem (o ile wykryje określony znany sobie typ infekcji). Zobaczymy co wyjdzie w praniu.

 

 

Da się to wywalić? Teraz dysk leży obok komputera, mam też taką kieszeń, która umożliwia podłączenie dysku twardego pod kabel USB, może tak będzie bezpieczniej..? Na razie nic nie podłączam

 

Będziemy to diagnozować, kod MBR drugiego dysku da się przepisać. Narzędzi w arsenale jest sporo. Na razie należy wyeliminować problem podstawowy z widzianym tu dyskiem systemowym.

 

 

2011/09/16 11:33:18.0578 0260	Detected object count: 1
2011/09/16 11:33:18.0578 0260	Actual detected object count: 1
2011/09/16 11:33:48.0109 0260	Trojan-Clicker.Win32.Wistler.c(\Device\Harddisk0\DR0) - User select action: Skip 

Kaspersky wykrył znany sobie typ infekcji w MBR. Uruchom TDSSKiller ponownie, ale tym razem zastosuj domyślnie dobraną przez narzędzie akcję Cure i zatwierdź restartem komputera. Po restarcie uruchom TDSSKiller ponownie i przedstaw log wynikowy.

 

 

 

 

.

[laik30]

Oto wynik

http://wklej.org/id/594717/

 

Wow! komputer zauważył pendriva!! Dzięki

[picasso]

Jeśli nikt pod Tobą nie odpisał, by coś dodać proszę korzystaj z opcji Edytuj, zamiast tworzyć X własnych postów w ciągu. Posty połączyłam.

 

 

komputer zauważył pendriva!!

 

Rootkit w MBR dysku ma skutki w samoczynnych restartach systemu / BSOD, a także może zaburzać funkcjonowanie innych podpiętych pod system urządzeń. Stąd usuwanie tej infekcji było tu priorytetem, bez przykładania wagi do dysfunkcji USB na tym etapie. Wygląda na to, że rootkit został usunięty, ale należy obserwować czy się nie objawi ponownie (na forum ostatnio miałam taki przypadek z rootkitem Whistler, gdy to po usuwaniu z nieznanych mi jeszcze powodów odnowił się). "Bez obaw", czy wraca dowiesz się od razu (wznowienie alertów Avast i powrót dewiacji systemowych).

 

Przejrzałam wszystkie dostarczone logi i nie widzę w nich żadnych dodatkowych szkodników, czy rzeczy wymagających natychmiastowej interwencji. Ale wykonaj te kroki:

 

1. Wyczyść lokalizacje tymczasowe za pomocą TFC - Temp Cleaner.

 

2. Wyczyść foldery Przywracania systemu: INSTRUKCJE.

 

3. Uruchom pełne skanowanie za pomocą Kaspersky Virus Removal Tool. Przedstaw do oceny raport, o ile coś w ogóle będzie do prezentacji. Interesują mnie tylko wyniki typu infekcyjnego, zwroty typu OK / Archive / Packed nie.

 

Jeśli skończymy to wszystko pomyślnie, trzeba będzie zabrać się za ten odpięty dysk twardy.

 

 

 

PS. Nie omieszkam skomentować głupot na tamtym forum. Pokazywać zawartość pliku HOSTS? Na litość Boską, to jak oni analizują logi. W OTL zawartość pliku (ta istotna a nie skomentowane linie tekstu opisowego) na tacy:

 

O1 HOSTS File: ([2010-11-27 22:06:30 | 000,000,789 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 	127.0.0.1		localhost

 

.

[laik30]

Jeśli nikt pod Tobą nie odpisał, by coś dodać proszę korzystaj z opcji Edytuj, zamiast tworzyć X własnych postów w ciągu. Posty połączyłam.

Przepraszam, masz rację, powinienem użyć "edytuj"

 

PS. Nie omieszkam skomentować głupot na tamtym forum. Pokazywać zawartość pliku HOSTS? Na litość Boską, to jak oni analizują logi. W OTL zawartość pliku (ta istotna a nie skomentowane linie tekstu opisowego) na tacy

Przyznam, że nie znam się na logach, dla mnie to ciągi niezrozumiałych znaków. Podziwiam Twoją wiedzę i umiejętności. Cieszę się, że trafiłem tutaj

 

Dwa pierwsze punkty zrobione, teraz pobiera się punkt 3ci - wybrałem angielską wersję językową, bo zrozumiałem, że jest nowsza od polskiej Mam nadzieję, że nie zaskoczy mnie niezrozumiałymi dla mnie słówkami Po wykonaniu zamieszczę, co trzeba

[picasso]

wybrałem angielską wersję językową, bo zrozumiałem, że jest nowsza od polskiej

 

Kaspersky Virus Removal Tool nie występuje w polskiej wersji, to tylko artykuł opisowy edycji 2010 jest polski, ale pobierana jest wersja angielska, a masz to nawet zaznaczone w sekcji pobierania przez flagę:

 

Najnowsza wersja produktu: 9.0.0.722 [EXE, ~70 MB]

 

Tak, dostałeś ode mnie link do edycji 2011 a nie 2010:

 

Latest version distributive: 11.0.0.1245 [EXE, ~100 MB]

 

A poza tym: stary "problem", że tłumaczenia artykułów nie nadążają. Ja dość rzadko tu kieruję do polskich tłumaczeń czy wersji artykułów MS, właśnie ze względu na nie bycie au courant i czasami wręcz rażące różnice.

 

 

 

.

[laik30]

W sumie, to nie wiem co podać.

Po przeskanowaniu jest bardzo dużo "ok"

Ogólny komunikat scan of 249083 objects completed; no threats detected

log jest ogromny, czy mam go wklejać?

[picasso]

log jest ogromny, czy mam go wklejać?

 

Nie. Mówiłam:

 

 

Interesują mnie tylko wyniki typu infekcyjnego, zwroty typu OK / Archive / Packed nie.

 

Infekcje nie zostały wykryte: "no threats detected".

 

 

Przejdźmy do tego drugiego dysku. Pytania wstępne:

- co to za typ dysku (SATA/ATA, zewnętrzny USB?)

- czy na nim był zainstalowany jakiś system?

- czy da się go podpiąć tak (hotplug), by nie wykonywać restartu systemu?

 

 

 

.

[laik30]

Nie. Mówiłam:

 

Infekcje nie zostały wykryte: "no threats detected".

 

OK. oprócz zwrotów archive, packed i ok był też zwrot "locked"

 

Przejdźmy do tego drugiego dysku. Pytania wstępne:

- co to za typ dysku (SATA/ATA, zewnętrzny USB?)

- czy na nim był zainstalowany jakiś system?

- czy da się go podpiąć tak (hotplug), by nie wykonywać restartu systemu?

 

To jest 80Gb. dysk twardy, już nie mam do niego opakowania.

ma oznaczenia WD800JB-00JJC0

http://imageshack.us/photo/my-images/37/img0123to.jpg/

http://imageshack.us/photo/my-images/607/img0124y.jpg/

 

Był na nim system, który kiedyś pracował w innym komputerze,

dlatego do niedawna zawsze przy uruchamianiu pojawiała się konieczność wybrania systemu.

Ostatnio uruchomiłem ten system nie wcześniej jak rok temu, potem już nie zaglądałem

aż do czasu ostatnich problemów, kiedy to w sytuacji gdy system nie chciał zastartować, próbowałem wybrać właśnie ten nieużywany.

Oczywiście nie powiodło się, a potem, tak jak pisałem na początku zdecydowałem odłączyć dysk i komp odpalił

Na dysku są dwie partycje, jedna to z tego co pamiętam ntfs a druga fat32

 

Mam taki zestaw do podpinania dysku - nie sprawdzałem go od 2ch lat.

Może zadziała http://imageshack.us/photo/my-images/705/img0125ohq.jpg/

 

PS: Pisanie tego posta zajęło mi bardzo dużo czasu. Komputer wyświetla czcionkę z kilkunasto-sekundowym opóźnieniem.

Co chwilę się zacina. Uruchomię system ponownie, może to coś da.

 

PS2: Muszę na kilka godzin zniknąć z przed komputera. Gdy tylko wrócę, będę dalej wykonywał zalecone działania.

Z góry dziękuję

[picasso]

PS: Pisanie tego posta zajęło mi bardzo dużo czasu. Komputer wyświetla czcionkę z kilkunasto-sekundowym opóźnieniem.

Co chwilę się zacina. Uruchomię system ponownie, może to coś da.

 

Hmmm, te objawy dość pasują do nawrotu infekcji w MBR .... Po restarcie na wszelki wypadek sprawdź co widzi Kaspersky TDSSKiller, a jeśli znów wykryje infekcję, zastosuj ponownie Cure.

 

 

Był na nim system, który kiedyś pracował w innym komputerze,

dlatego do niedawna zawsze przy uruchamianiu pojawiała się konieczność wybrania systemu.

 

Pytanie zadałam nie bez powodu, gdyż obecność innego systemu operacyjnego jest równoznaczna z określoną sygnaturą w MBR, a także dysk może mieć predyspozycje do bootowania (co przy podejrzeniu naruszenia MBR tego dysku jest niedobre). Rozumiem, że miał się ten wybór systemów nie zgłaszać (?). Tu wystarczy wyeliminować nadwyżkę plików startowych + zedytować główny plik boot.ini działającego systemu. Jeśli potwierdzisz, że mam to prowadzić, podam jak.

 

Skoro są tu ewidentnie pliki startowe, może to być problem (dysk może próbować bootować, co akurat jest tu niepożądane). Dobra, podepnij ten drugi dysk.

 

- Jeśli komputer się uruchomi w układzie z nim, zrób logi z: aswMBR (opuść ściąganie definicji Avast, Avast jest tu zainstalowany w postaci pełnej) + MBRCheck

- Jeśli komputer się nie uruchomi, wypnij i zgłoś się tu

 

 

 

.

[laik30]

Hmmm, te objawy dość pasują do nawrotu infekcji w MBR .... Po restarcie na wszelki wypadek sprawdź co widzi Kaspersky TDSSKiller, a jeśli znów wykryje infekcję, zastosuj ponownie Cure.

Nic nie znalazł, a system działał poprawnie po restarcie. (mam wrażenie, że co innego spowolniło komputer - zamknąłem wtedy Kaspersky Virus Removal Tool i coś tam się działo w tle po tym zamknięciu)

 

Pytanie zadałam nie bez powodu, gdyż obecność innego systemu operacyjnego jest równoznaczna z określoną sygnaturą w MBR, a także dysk może mieć predyspozycje do bootowania (co przy podejrzeniu naruszenia MBR tego dysku jest niedobre). Rozumiem, że miał się ten wybór systemów nie zgłaszać (?). Tu wystarczy wyeliminować nadwyżkę plików startowych + zedytować główny plik boot.ini działającego systemu. Jeśli potwierdzisz, że mam to prowadzić, podam jak.

 

Zgłaszanie się wyboru systemów mi nie przeszkadzało, trzymałem ten system, bo uważałem, że jak zawirusuje się bieżący system, to pewnie bez trudu odpalę ten drugi. Teraz rozumiem swoją ignorancję, że wiruski mkną gdzie tylko mogą. W obliczu takiej sytuacji wydaje mi się, że docelowo nie ma sensu abym w ogóle trzymał dwa systemy. Myślę, że najlepszym rozwiązaniem będzie zgranie danych z partycji systemowej tego wyjętego dysku a potem po prostu wyczyszczenie resztek po systemie.

A może warto zainstalować tam jakiegoś linuxa, by w razie awarii cokolwiek działało (?)

 

Skoro są tu ewidentnie pliki startowe, może to być problem (dysk może próbować bootować, co akurat jest tu niepożądane). Dobra, podepnij ten drugi dysk.

Ale mam też ten zestaw kabli do podłączenia dysku za pośrednictwem USB - zewnętrzne zasilanie i przejściówka. czyli mógłbym podłączyć dysk, tak jak pendriva.

To to, co na zdjęciu http://imageshack.us/photo/my-images/705/img0125ohq.jpg/

Czy to nie byłoby bezpieczniejsze (wybacz jeżeli za bardzo mieszam. Po prostu cieszę się, że zaczęło działać i trochę się boję nawrotu - kiedyś straciłem mnóstwo danych i przez wiele tygodni robiłem odzyskiwanie - stąd u mnie tyle dysków twardych)

 

- Jeśli komputer się uruchomi w układzie z nim, zrób logi z: aswMBR (opuść ściąganie definicji Avast, Avast jest tu zainstalowany w postaci pełnej) + MBRCheck

- Jeśli komputer się nie uruchomi, wypnij i zgłoś się tu

Oczywiście postąpię tak jak piszesz, jeśli ten sposób z USB jest złym pomysłem.

[picasso]

(mam wrażenie, że co innego spowolniło komputer - zamknąłem wtedy Kaspersky Virus Removal Tool i coś tam się działo w tle po tym zamknięciu)

 

Możliwe. Przyszło mi to do głowy już nieco później, że może operacja z Kasperskym nie była w pewien sposób ukończona.

 

 

Ale mam też ten zestaw kabli do podłączenia dysku za pośrednictwem USB - zewnętrzne zasilanie i przejściówka. czyli mógłbym podłączyć dysk, tak jak pendriva.

 

Próbuj. Tylko nie jestem pewna jak narzędzia zareagują na tak podpięty dysk, w rozumieniu jak go zdefiniują, ale przekonajmy się o tym namacalnie.

 

 

Oczywiście postąpię tak jak piszesz, jeśli ten sposób z USB jest złym pomysłem.

 

Te dwa logi są do wykonania niezależnie od tego w jaki sposób podepniesz dysk, byle byłby rozpoznany przez skanery.

 

 

A może warto zainstalować tam jakiegoś linuxa, by w razie awarii cokolwiek działało (?)

 

Oczywiście można taki krok wykonać, a odmienność platformy w pewnych warunkach może się okazać cenna. Ponadto, do najbardziej kryzysowych sytuacji, polecam zaopatrzyć się w płytę OTLPE. Jeśli system przestanie w ogóle startować, płyta jak znalazł do: ratowania danych, napraw, produkcji raportów.

 

 

 

.

[laik30]

Dysk podłączyłem zestawem do USB.

Komputer zachował się tak, jak przy podłączaniu dwóch pendrive'ów - dwukrotnie pojawiło się auto-odtwarzanie.

Anulowałem obie akcje szybkim kliknięciem na anuluj.

Zerknąłem do partycji z danymi - foldery wydają się być jak dawniej , ale żadnego z nich nie otwierałem.

Nie zaglądałem do partycji, na której był system.

Zrobiłem aswMBR, ale nie wiem czy dobrze, bo z tego co widzę, to narzędzie zbadało dysk C (z aktualnie pracującym systemem),

a nie ten podpięty dysk przez USB.

Oto wynik http://www.wklej.org/id/595844/ Nie ma nic na czerwono

Teraz zrobię to drugie narzędzie i za moment zamieszczę wyniki.

 

Oto wyniki MBRCheck: http://www.wklej.org/id/595848/

 

PS: dziękuję za sugestię o płycie OTLPE - poczytam na ten temat - nigdy nie wiadomo kiedy może się to przydać

[picasso]

W MBRCheck ten drugi dysk pokazuje się z nieznanym kodem:

 

74 GB  \\.\PhysicalDrive5   RE: Unknown MBR code
            SHA1: 2112DEB97137CBCC5710EFED18ADC8F308731CFF

Dysk był podpięty podczas instalacji rootkita, dysk systemowy nie startował przy jego obecności. Wyszukiwanie SHA1 2112DEB97137CBCC5710EFED18ADC8F308731CFF na Googlezwraca temat gdzie antywirus wykrywa w sektorze dysku 1 "coś", a tenże dysk 1 ma identyczne SHA1: KLIK. EDIT: A dziś na forum kolejny przypadek z tym samym SHA1: KLIK. To wszystko jest dostateczne, by przebić kod w MBR. Nie powiedziałeś jaki system jest na tym drugim dysku, dobieram więc sig zgodny z Windows XP.

 

 

1. Pobierz narzędzie MBRWizard CLI Freeware. Ulokuj dla ułatwienia w C:\Windows

 

2. Start > Uruchom > cmd i wpisz komendę: Mbrwiz /Disk=5 /Repair=xp

 

3. Wygeneruj nowy log z MBRCheck.

 

 

 

.

Edytowane 30 Października 2011 przez picasso
30.10.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso