Rootkit+backdoor+keylogger wykryte przez Comodo

[dkdnt]

XP(32)+SP3 zainstalowany na C:

Większość pozostałych programów na G:

 

Witam proszę o sprawdzenie loga po infekcjach wykrytych przez comodo dzisiaj,

między innymi RootKit+BackDoor+kaylogger

(2 dni temu zauważyłem problemy ze stabilnością połączenia internetowego...

zrywane połączenia ftp i http zwiechy firefoxa, potem wszystko wróciło do normy

myślałem że to coś z łączem)

 

Poniżej podaję operacje i raporty w kolejności w jakiej je wykonywałem:

 

Raport comodo o wykryciu zagrożeń i jego reakcja: comodo

 

Raport comodo - zagrożenia których nie udało mu się usunąć ... comodo nie usunął

 

dodatkowe skanowanie programem AdAware nic nie wykryło(starsze wersje chyba lepiej sobie radziły)

 

Na dysku C: dodatkowo pojawił się kilka dni temu ukryty katalog VirtualRoot (testowałem wtedy różne

sterowniki+programy do ati...). Katalog usunąłem ręcznie po restarcie utworzył się na nowo. Trojan nie

uruchamia drugiego procesu explorera ...i nie udało mi się go usunąć wg instrukcji znalezionych na innym forum.

 

Kaspersky TDSSKiler nic nie wykrył

 

Gmer uruchomiany z losową nazwą pliku tylko partycja C:

normalne uruchamianie XP > administrator > gmer = zwiecha

awaryjne uruchamianie XP > administrator > gmer = zwiecha

normalne uruchamianie XP > administrator > wiersz poleceń(cmd) > gmer -killall > gmer > raport gmer

 

raport OTL: + OTL extras

 

Catchme: nic nie wykrył

 

z góry dziękuję za pomoc osobie która pomoże mi rozwiązać problem

pozdrawiam

dkdnt

 

 

PS1

Próba pobrania aktualizacji do programu malwarebytes zakończona errorem

Program_error_updating(2,0,Timeout)

 

PS2

awaryjne uruchamianie XP > administrator > aktualizacja zakończona powodzeniem

awaryjne uruchamianie XP > administrator > skan malwarebytes = 3 infekcje znalezione w kwarantannie comodo...usunąłem.

[picasso]

Nic nie wskazuje tu na infekcję w systemie, a zwłaszcza nie potwierdzają tego ... wyniki ze skanera.

 

 

Raport comodo o wykryciu zagrożeń i jego reakcja: comodo

 

Wszystkie wyniki określone jako Heur.Suspicious czy Heur.Packed (plus ich duplikaty w System Volume Information) wyglądają na fałszywe alarmy na kompresjach plików. W UnclassifiedMalware kierujące do instalatora xampp także nie wierzę. Wyniki z katalogu System Volume Information (katalog Przywracania systemu), w tym ów "keylogger", są niewiadome czy to prawda czy fałsz, gdyż foldery Przywracania systemu stosują alfanumeryczną zmianę nazwy (nie widać obiektu oryginalnego / to są tylko kopie), ale i tak nie mają znaczenia (folder izolowany, możesz go wyczyścić sposobem: KLIK). A Rootkit.HiddenKey@0:

 

 

Raport comodo - zagrożenia których nie udało mu się usunąć ... comodo nie usunął

 

To nie są żadne rootkity tylko sterowniki pozostałe po niedokończonej deinstalacji ESET. W OTL widać je jako:

 

DRV - [2010-12-21 15:04:06 | 000,141,264 | ---- | M] (ESET) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\eamon.sys -- (eamon)
DRV - [2010-12-21 15:04:06 | 000,115,008 | ---- | M] (ESET) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ehdrv.sys -- (ehdrv)
DRV - [2010-12-21 13:47:38 | 000,094,872 | ---- | M] (ESET) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\epfwtdir.sys -- (epfwtdir)

 

Do uprzątnięcia szczątków skorzystaj z firmowego narzędzia ESET Uninstaller.

 

 

Na dysku C: dodatkowo pojawił się kilka dni temu ukryty katalog VirtualRoot (testowałem wtedy różne

sterowniki+programy do ati...). Katalog usunąłem ręcznie po restarcie utworzył się na nowo.

 

[2011-10-09 18:55:42 | 000,000,000 | -H-D | C] -- C:\VritualRoot

 

To jest katalog COMODO i dopóki masz aplikację folder będzie powracał. Konkretnie funkcja Sandbox. Folder ma umyślną "literówkę" Vritual zamiast Virtual (KLIK).

 

 

(2 dni temu zauważyłem problemy ze stabilnością połączenia internetowego...

zrywane połączenia ftp i http zwiechy firefoxa, potem wszystko wróciło do normy

myślałem że to coś z łączem)

 

(...)

 

Próba pobrania aktualizacji do programu malwarebytes zakończona errorem

Program_error_updating(2,0,Timeout)

 

Być może zbytnia przedsiębiorczość zapory COMODO. Wpływ mogą też mieć odpadki po ESET.

 

 

dodatkowe skanowanie programem AdAware nic nie wykryło(starsze wersje chyba lepiej sobie radziły)

 

Nie wiem jak bardzo stare wersje masz na myśli. Te bardzo stare to tylko antyspyware, nowsze (wersje "Ad-aware Internet Security") jeżdżą już na podwójnym silniku antyspyware + antywirus. A tak poza tym nie dręcz tego systemu. Skoro masz COMODO (rozumiem, że to wersja pełna CIS), to Ad-aware to przerost formy nad treścią i sugeruję deinstalację.

 

 

---

Komentarze poboczne:

 

1. Możesz sobie tylko skorygować wpisy "not found" i te błędy sterownika tabletu + usługi Java w Dzienniku zdarzeń:

 

Error - 2011-10-06 14:38:27 | Computer Name = ASUSA7N8X | Source = Service Control Manager | ID = 7000
Description = Nie można uruchomić usługi Java Quick Starter z powodu następującego
 błędu:   %%3
 
Error - 2011-10-06 14:38:27 | Computer Name = ASUSA7N8X | Source = Service Control Manager | ID = 7026
Description = Nie można załadować następujących sterowników startu rozruchowego 
lub systemowego:   PenClass 

 

W OTL w sekcji Własne opcje skanowania / skrypt wklej co podane niżej i klik w Wykonaj skrypt:

 

:OTL
SRV - File not found [Auto | Stopped] -- G:\ProgramFiles2\java6-26\bin\jqs.exe -- (JavaQuickStarterService)
DRV - File not found [Kernel | Boot | Stopped] -- C:\WINDOWS\System32\Drivers\penclass.sys -- (PenClass)
O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - No CLSID value found.
O2 - BHO: (no name) - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - No CLSID value found.
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab" (Reg Error: Key error.)

 

Po ukończeniu zadania użyj Sprzątanie w OTL.

 

2. Zainstalowane software:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216026FF}" = Java™ 6 Update 26
"{AC76BA86-7AD7-1045-7B44-A92000000001}" = Adobe Reader 9.2 - Polish
"Gadu-Gadu" = Gadu-Gadu 6.1
"Mozilla Firefox 5.0 (x86 pl)" = Mozilla Firefox 5.0 (x86 pl)
"Opera 11.50.1074" = Opera 11.50
"Tlen.pl" = Tlen.pl

 

- Szczegóły podstaw aktualizacyjnych: INSTRUKCJE.

- GG 6.1 = Mój Boże. Toż to męczenie trupa, brak pełnej obsługi własnej sieci + bardzo niski poziom bezpieczeństwa (zupełny brak szyfrowania). Do wglądu mój artykuł Darmowe komunikatory. W nim są opisane alternatywy z obsługą sieci Gadu, a obecnie liczą się tylko: AQQ, Kadu, WTW i Miranda. Tlen nie jest tu wyliczany: wersja 6 to podobne męczenie jak stare Gadu, a wersja 7 nie dość że beta to jeszcze są subtelne znaki ostatnimi czasy, iż program nie jest rozwijany ... Osobiście szczerze polecam WTW: portable, zero reklam, obsługa wszystkich ważnych cech protokołu GG10.

 

 

 

.

[dkdnt]

Nic nie wskazuje tu na infekcję w systemie, a zwłaszcza nie potwierdzają tego ... wyniki ze skanera.

dziękuję za sprawdzenie

 

 

Wszystkie wyniki określone jako Heur.Suspicious..., możesz go wyczyścić

zrobione

 

 

To nie są żadne rootkity tylko sterowniki pozostałe po niedokończonej deinstalacji ESET. ...

Do uprzątnięcia szczątków skorzystaj z firmowego narzędzia

właśnie znalazłem informacje w google na ten temat:) i zacząłem się zastanawiać czy przypadkiem nie jestem przewrażliwiony;) i na to wygląda, że chyba jestem;)

...deinstalacja wykonana bez problemowo:)

 

 

[2011-10-09 18:55:42 | 000,000,000 | -H-D | C] -- C:\VritualRoot

To jest katalog COMODO i dopóki masz aplikację folder będzie powracał. Konkretnie funkcja Sandbox. Folder ma umyślną "literówkę" Vritual zamiast Virtual

faktycznie trzeba przyznać, że bardzo zabawne z ich strony z nazwą tego folderu i literówką

 

 

Nie wiem jak bardzo stare wersje masz na myśli. Te bardzo stare to tylko antyspyware, nowsze (wersje "Ad-aware Internet Security") jeżdżą już na podwójnym silniku antyspyware + antywirus.

Informacje comodo(mam od niedawna) o infekcji wziąłem bardzo poważnie do siebie i zdziwiłem się że AdAware nic nie wykrył a zawsze

uważałem to narzędzie za skuteczne... stąd moja opinia...oczywiście błędna...

 

 

A tak poza tym nie dręcz tego systemu. Skoro masz COMODO (rozumiem, że to wersja pełna CIS), to Ad-aware to przerost formy nad treścią i sugeruję deinstalację.

na co dzień go tak nie dręczę AdAware doinstalowuję w awaryjnych sytuacjach w razie potrzeby(mam zbyt stary pc żeby nadwyrężać tray)...Comodo wersja CIS

 

 

1. Możesz sobie tylko skorygować wpisy "not found" i te błędy sterownika tabletu + usługi Java w Dzienniku zdarzeń...

...Wykonaj skrypt...

...Po ukończeniu zadania użyj Sprzątanie w OTL.

ok dzięki

 

 

2. Zainstalowane software...

dzięki za linki

 

 

GG 6.1 = Mój Boże. Toż to męczenie trupa,...

Hehe:D to fakt ...trzymam tą zabytkową wersję bo dobrze współpracowała z tlenem(już nawet nie pamiętam co w gg się gryzło z tlenem;) )... a muszę mieć czasami dostęp do tego komunikatora...ale widzę, że znajdę coś alternatywnego w Twoim artykule:)

 

Osobiście szczerze polecam WTW: portable, zero reklam, obsługa wszystkich ważnych cech protokołu GG10.

...rzeczywiście ciekawie wygląda ten WTW...chyba zagości w mojej blaszanej skrzynce:)

 

Serdeczne dzięki za pomoc

 

PS z innej beczki;)

od dawna trafiam na Twoje artykuły w sieci i wiele się z nich nauczyłem...Wielki szacuneczek dla Ciebie za to co robisz...

pozdrawiam dkdnt

[picasso]

Temat zdaje się być rozwiązany, toteż daj sygnał dymny do zamykania.

 

 

AdAware doinstalowuję w awaryjnych sytuacjach w razie potrzeby(mam zbyt stary pc żeby nadwyrężać tray)...

 

Nie wydaje Ci się to zbyt potężne jak na czasokres przetrzymywania i wagę narzędzia? Ad-aware to jest gruba paczka z rozbudowanym systemem modyfikacji systemowych, to nie ma po prostu charakteru chwilowego pobytu. Przy każdej awarii instalacja i deinstalacja tego w kółko to wg mnie takie jakby "brudzenie". Zdrowsze jest posługiwanie się narzędziami rzeczywiście przeznaczonymi do akcji jednorazowych (np. Kaspersky Virus Removal Tool) oraz dodatkowa trwała instalacja darmowego skanera na żądanie, który nie zabiera zasobów, gdyż jest pozbawiony rezydenta (Malwarebytes' Anti-Malware).

 

 

od dawna trafiam na Twoje artykuły w sieci i wiele się z nich nauczyłem...Wielki szacuneczek dla Ciebie za to co robisz...

 

Dziękuję.

 

 

.

[dkdnt]

...Ad-aware to jest gruba paczka z rozbudowanym systemem modyfikacji systemowych,...do akcji jednorazowych (np. Kaspersky Virus Removal Tool) oraz dodatkowa trwała instalacja darmowego skanera na żądanie, który nie zabiera zasobów, gdyż jest pozbawiony rezydenta (Malwarebytes' Anti-Malware).

 

W AdAware też można wyłączyć rezydenta ale faktycznie to grubas. ...

 

Problem rozwiązany - temat można zamknąć

dziękuję i pozdrawiam

dkdnt