Rootkit blokujący pobieranie aktualizacji i antywirusów

[misiekg3]

Witam,

problem pojawił się jakiś czas temu. Był robiony format bo poprostu system miał troche czasu i pomyślałem o nowej kopi. Ale niestety nie dało to rezultatów, komputer się przywiesza, tzn nie reaguje na nic innego jak

alt+clrt+del po wciśnięciu jakby magiczną różdżką zaczyna spowrotem działać. Internet jest z neostrady i rozbity jest przez router, u siebie odbieram go przez bluetake ale non stop padają sterowniki. Dopiero po wyłączeniu oprogramowania jakoś magicznie internet się uchuchamia. Pozatym przy wyłączaniu wyskakuje jakiś błąd, tzn słychać dzwięk, ale okienko tylko "mrygnie" i znika. Co więcej nie moge pobrać aktualizacji, żadnego antywirusa. Jedyne co mi się udało to spyware terminator ale bez zintegrowanego claimAV bo odrazu odmawia dostępu. Nie próbowałem żadnych innych środków ani sposobów na czyszczenie. Odrazu zgłaszam się tutaj. Daemon tools został usunięty ale nie mogłem pobrać tego SPDT dla x86 więc skorzystałem z defoggera. Nie mogłem dodać załącznika z niego się jest tu http://wklej.org/id/607845/

System to windows xp professional x86

Prosze o pomoc, mam nadzieje że zrobiłem wszystko jak trzeba.

log gmer.txt

OTL.Txt

Extras.Txt

[picasso]

Owszem, jest tu infekcja (i log z GMER w części wygląda podejrzanie):

 

SRV - [2009-07-01 01:02:59 | 000,158,715 | RHS- | M] () [Auto | Stopped] -- C:\WINDOWS\system32\qbiksphf.dll -- (ewelgzbt)

 

Dodatkowo, nieprawidłowa wartość Userinit + znaki podpinania zarażonego USB przenośnego (i nieznana zawartość ukrytego autorun.inf):

 

O20 - HKLM Winlogon: UserInit - (EXPLORER.EXE) -C:\WINDOWS\explorer.exe (Microsoft Corporation)
 
O32 - AutoRun File - [2009-07-01 01:03:00 | 000,059,308 | RHS- | M] () - H:\autorun.inf -- [ FAT32 ]
O33 - MountPoints2\{4e99c465-8d38-11e0-af3c-000272588d6c}\Shell - "" = AutoRun
O33 - MountPoints2\{4e99c465-8d38-11e0-af3c-000272588d6c}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE      .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
O33 - MountPoints2\{4e99c466-8d38-11e0-af3c-000272588d6c}\Shell - "" = AutoRun
O33 - MountPoints2\{4e99c466-8d38-11e0-af3c-000272588d6c}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE      .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
O33 - MountPoints2\{ee4908cc-7a55-11e0-99ee-fa739711786c}\Shell - "" = AutoRun
O33 - MountPoints2\{ee4908cc-7a55-11e0-99ee-fa739711786c}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE      .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn

 

Rozpocznij od pobrania (mam nadzieję, że będzie to możliwe) i uruchomienia zgodnie z wytycznymi ComboFix. Przedstaw wynikowy raport.

 

 

Nie mogłem dodać załącznika

 

Załączniki przyjmują tylko rozszerzenie *.TXT a nie *.LOG.

 

 

,

[misiekg3]

Zgodnie z instrukcją pobrałem i uruchomiłem combofixa. Potem chciałem go usunać przez combofix /uninstal a on się rozpakował i zaczął ponowne skanowanie i usunął poprzedniego loga... nie mam pojęcia co teraz zrobić

[picasso]

Potem chciałem go usunać przez combofix /uninstal a on się rozpakował i zaczął ponowne skanowanie i usunął poprzedniego loga... nie mam pojęcia co teraz zrobić

 

Posunąłeś się za daleko. Przecież deinstalacja oczywiście likwiduje wszystko. Miałeś go tylko uruchomić i przedstawić raport. A teraz to kawa w piwnicy, nic kompletnie nie wiadomo co narzędzie robiło, mogły zostać utajone jakieś istotne kasacje / operacje. I tego się już nie dowiem co zostało wykonane.

 

Uruchom narzędzie ponownie i przedstaw wyniki jego pracy, dodaj także nowe logi z OTL i GMER.

 

 

.

[misiekg3]

Wszystko zrobione i przedstawiam tu wyniki. Miałem duże problemy z internetem, sterowniki non stop padały, a połączenia bezprzewodowe w windowsie nie wykrywaly sieci.

A co do tego że usuwa wszystko to nie miałem pojęcia. Ale obserwowałem jego prace i pamietam że usunął dwie rzeczy

C:\WINDOWS\system32\qbiksphf.dll

i jakiś autorun.inf

OTL.Txt

log gmer.txt

ComboFix.txt

[picasso]

Ale obserwowałem jego prace i pamietam że usunął dwie rzeczy

C:\WINDOWS\system32\qbiksphf.dll

i jakiś autorun.inf

 

ComboFix usunął dokładnie to co wskazywałam, została też skorygowana wartość Userinit oraz usunięte wpisy MountPoints2. W GMER ustały wszystkie uprzednio widoczne czynności. W aktualnych logach nie widzę nic czynnego i strony z programami antymalware + aktualizacje Windows powinny już działać. Pozostał niegroźny już wpis autoryzacji infekcji w zaporze Windows. Są tu jeszcze te obiekty na urządzeniu H:

 

O32 - AutoRun File - [2009-07-01 01:03:00 | 000,059,308 | RHS- | M] () - H:\AUTORUN.FCB -- [ FAT32 ]
O32 - AutoRun File - [2011-10-16 10:30:52 | 000,000,089 | ---- | M] () - H:\AUTORUN.INF -- [ FAT32 ]

 

Do wykonania są następujące rzeczy:

 

1. Odinstaluj wtręt sponsoringowy czyli DAEMON Tools Toolbar. Tego Spyware Terminatora też możesz usunąć, bo on tu nie zdziała za wiele, inny skaner zostanie użyty potem.

 

2. Korekta dedykująca autoryzację rootkita w zaporze Windows, owe niesprecyzowane pliki autorun z urządzenia H oraz czyszczenie lokalizacji tymczasowych. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"2892:TCP"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
:Files
H:\AUTORUN.*
 
:Commands
[emptyflash]
[emptytemp]

 

Rozpocznij przez Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami usuwania.

 

3. Zrób nowy log z OTL na dostosowanym warunku, przedstawiający jaka jest zawartość głównego katalogu dysku H. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

H:\*.*

 

Klik w Skanuj (a nie Wykonaj skrypt!). Dołącz też log z wynikami usuwania pozyskany w punkcie 2.

 

 

 

.

[misiekg3]

Usunełem toolbar i spyware. Wykonałem skrypt i komputer się zrestartował ale nie otrzymałem żadnego loga. Do pkt nr 3 nie przechodziłem

( nawiasem chciałbym niedługo przesiaść się na win7 wiec może to są kroki nieobowiązkowe?)

[picasso]

Wykonałem skrypt i komputer się zrestartował ale nie otrzymałem żadnego loga.

 

Szukaj w katalogu C:\_OTL. Jeśli będzie, przechodź do kolejnych punktów.

 

 

( nawiasem chciałbym niedługo przesiaść się na win7 wiec może to są kroki nieobowiązkowe?)

 

Dopóki jesteś w XP, kroki obowiązkowe. Poza tym, poprosiłam o skan z urządzenia H, to urządzenie będzie mieć wpływ na dowolny system do którego zostanie podpięte.

 

 

 

.

[misiekg3]

Znalazłem faktycznie log. No i dorzucam ten drugi utworzony z wklejonym skryptem.

Urządzenie H to chyba mój pendrive i troche boje się spowrotem go podpiąć.

OTL.Txt

10162011_200505.txt

[picasso]

Akcja w skrypcie prawie wykonana, z wyjątkiem usuwania plików z:

 

 

Urządzenie H to chyba mój pendrive i troche boje się spowrotem go podpiąć.

 

Tak, wiem że to Twój pendrive, dlatego ustalałam tu określone czynności. Skoro odpiąłeś urządzenie, akcja usuwania z tego urządzenia plików autorun załączona w skrypcie oraz tworzenia OTL z warunkiem skanowania tego urządzenia bez sensu. Jak sobie wyobrażasz wykonanie tych akcji bez podpiętego urządzenia? Zastosuj opcję Computer Vaccination w Panda USB Vaccine i zresetuj system. Następnie podepnij pendrive, uruchom OTL i tym razem wszystkie opcje ustaw na Brak+Żadne, a do skanu wklej X:\*.* pod X podstawiając literę pod jaką zostanie zmapowany pendrive (to niekoniecznie będzie H jak poprzednio).

 

 

 

.

[misiekg3]

Log z OTL, pendriva wcześniej zaszczepiałem pandą, a teraz po podpięciu nie znalazło szczepionki ciekawe.

Nie wyobażałem sobie tej akcji, w skryptach, programowaniu itp czuje się słaby dlatego wszystko dość "bezmyślnie wykonuje".

OTL.Txt

[picasso]

Na wszelki wypadek zapytam: czy zaszczepiłeś system Pandą z opcji Computer Vaccination? To jest różne od:

 

 

pendriva wcześniej zaszczepiałem pandą, a teraz po podpięciu nie znalazło szczepionki ciekawe.

 

Ja tu nie widzę pliku Pandy. Pliki autorun.inf zrobione Pandą powinny ważyć 16 bajtów. Na urządzeniu są aktualnie te dwa (żaden nie spełnia tego warunku), jeden ukryty, drugi odkryty:

 

[2009-07-01 01:03:00 | 000,059,308 | RHS- | M] () -- H:\AUTORUN.FCB
[2011-10-16 10:30:52 | 000,000,089 | ---- | M] () -- H:\AUTORUN.INF

 

Całkiem możliwe, że ten nieukryty jest nieszkodliwy, gdyż na urządzeniu leży plik setupSNK.exe od kreatora sieci bezprzewodowej, który to występuje w parze z autorun.inf. Otwórz oba pliku w Notatniku i przeklej co one mają w środku.

 

 

 

.

[misiekg3]

Nieodpisywałem ze wzglęgu na ograniczony czas ostatnio.

 

 

 

Na wszelki wypadek zapytam: czy zaszczepiłeś system Pandą z opcji Computer Vaccination?

 

Odpowiem tak że to jest inny komputer i staram się go naprawić, pendrive zaszczepiany był na drugim komputerze ale nigdzie nie było computer vacc

AUTORUN FCB.txt

AUTORUN INF.txt

[picasso]

1. Ad plików na urządzeniu:

 

H:\AUTORUN.FCB = ukryty plik infekcji, kieruje do pliku szkodnika .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx. Przez SHIFT+DEL skasuj ten plik z urządzenia.

H:\AUTORUN.INF = prawidłowy plik od kreatora sieci bezprzewodowej (KB878475). Możesz go skasować razem z powiązanym plikiem setupSNK.exe. Po kasacji zaszczep urządzenie posługując się opcją USB Vaccination w Panda.

 

2. Posprzątaj po używanych narzędziach: odinstaluj ComboFix (o ile już tego nie wykonałeś po raz drugi), następnie uruchom Sprzątanie w OTL.

 

3. Uzupełnij antywirusa, nic tu nie było jeszcze doinstalowane ze względu na oczywisty problem tytułowy. Wykonaj pełny skan systemu na wszelki wypadek.

 

4. Zainstalowane oprogramowanie:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java™ 6 Update 22
"{AC76BA86-7AD7-1033-7B44-AA0000000001}" = Adobe Reader X (10.0.1)
"{D6F879CC-59D6-4D4B-AE9B-D761E48D25ED}" = Skype™ 5.3
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Nowe Gadu-Gadu" = Nowe Gadu-Gadu

 

- Wymienione do aktualizacji, Java ze względu na pakiet OpenOffice.org może być zaktualizowana max do wersji Java SE 6 Update 29 (wersja 7 instalowana niezależnie). Szczegóły aktualizacyjne: INSTRUKCJE.

- (Opcjonalnie) Nowe Gadu można wymienić lżejszym programem. Do wglądu artykuł Darmowe komunikatory i opisy AQQ, Kadu, WTW, Miranda.

 

 

I to by było na tyle w temacie. Podsumuj czy wszystko działa.

 

 

 

.

[misiekg3]

Wszystko zrobione i działa jak należy, doinstalowałem aktualizajce i antywirusa.

Dzięki wielkie za pomoc:)