Infekcja rootkitem

KubotaMC · 18 Październik 2011 18:59

Witam z góry mówię że nie jestem za bardzo doświadczony w tych sprawach. Chciałbym wiedzieć czy z moim systemem jest wszystko ok. Zrobiłem loga z combofixa dodaje linka.

pawcio1212 · 18 Październik 2011 19:23

jest źle zacznijmy od użycia combofixa a skączymy na tym że masz infekcje

combofixa się nie używa od tak sobie on jest zbyt niebezpieczny może uszkodzić system

Malwarebytes AntiMalware przeskanuj tym i antywirusem czyli avirą

zainstaluj to SP3

anon89827741 · 18 Październik 2011 21:57

KubotaMC , proszę zapoznaj się z tą stroną oraz tym tematem, a następnie popraw tytuł tematu, używając przycisku image.php?album_id=20&image_id=4038

spandaupol · 19 Październik 2011 07:11

pawcio1212

W tym konkretnym przypadku mamy infekcje rootkitem zeroaccess Użycie Combofixa jest wskazane. Co nie znaczy, że to co napisałeś jest błędem

KubotaMC to jeszcze nie wszystko

Przeskanuj plik c:\windows\system32\ isftrm.sys tutaj http://www.virustotal.com/ podaj raport na forum

wklej do notatnika:

Zapisz plik jako CFScript.txt najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe

Przeciągnij i upuść plik CFScript na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum.

KubotaMC · 19 Październik 2011 13:21

Przeskanowałem ten plik isftrm.sys żaden antyvir na tamtej stronie co podałeś nic nie wykrył.

To z Combofixem zrobiłem jak pisałeś oto log:

spandaupol · 19 Październik 2011 15:50

Odinstaluj Combofixa Start - Uruchom - wpisujesz

"c:\program files\gry programy itp nie usuwac\logi\combo fix\ComboFix.exe" /uninstall i Enter

Ten plik nadal widać w logu Znajdź i usuń go ręcznie przez Shift + Del Ma atrybut systemowy, ukryty W rzeczywistości plik infekcji zeroaccess Jeśli nie będziesz mógł go znaleźć nie przejmuj się znajdzie go skaner o ile jest. Pobierz Kasperski Virus Removal Tool http://www.dobreprogramy.pl/Kaspersky-V … 12768.html wykonaj pełny skan Jak program coś znajdzie nic nie usuwaj tylko pokaż raport na forum. Podaj także raporty OTL instrukcja otl-gmer-rsit-dss-inne-instrukcje-t370405.html

Start - Uruchom - wpisujesz regedit i Enter

Idziesz do klucza

HKEY_LOCAL_MACHINE\System\ControlSet001\Services

Zobacz czy jest cdrom czy .cdrom czy może są obydwie To samo sprawdź czy jest wartość redbook czy może .redbook lub są obydwie

KubotaMC · 19 Październik 2011 17:33

Odinstalowałem Combofixa. Pliku c_49630.nl_ nie mogłem znaleźć więc pobrałem tego kasperskiego, coś tam znalazł ale jak mówiłeś nie usuwałem oto raport:

Programem OTL również przeskanowałem oto raporty:

A co do tego ostatniego to mam .cdrom i cdrom tak samo mam .redbook i redbook

spandaupol · 20 Październik 2011 07:20

To nie jest cały raport Kasperskiego nie mogę go ocenić Raport po prostu się nie zmieścił wklej go na http://www.wklej.org

Podałeś dwa razy raport Extras.txt brak raportu OTL.txt

Wartości z kropką dodane przez rootkita. Zanim jednak przejdziemy do usuwania sprawdzę co tam jest Więc tak:

Start - Uruchom - wpisujesz regedit i Enter Idziesz do klucza

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services klikasz prawym przyciskiem myszy na cdrom (bez kropki) z menu wybierasz Exportuj Zapisujesz plik.reg Proszę wysłać go na jakiś hosting a w poście podać linka do niego Następnie ponownie Idziesz do klucza

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services klikasz prawym przyciskiem myszy na redbook (bez kropki) z menu wybierasz Exportuj Zapisujesz plik.reg Proszę wysłać go na jakiś hosting a w poście podać linka do niego

KubotaMC · 20 Październik 2011 14:34

Sorki za to wszystko, dobra link do OTL.txt

raport kaspersky:

cdrom.reg:

redbook.reg:

spandaupol · 21 Październik 2011 07:47

Rejestr zostawię na koniec ponieważ

Kasperski twierdzi, że ten sterownik jest zainfekowany. Log OTL także wskazuje ten plik chociaż wielkość i data się zgadzają to brak podpisu Microsoftu.

Rzecz w tym że uruchomiliśmy Combofix dwukrotnie i program ani raz nie pokazał infekcji w tym sterowniku. Nasuwa się więc pytanie czy infekcja nie powróciła dlatego będziemy podmieniać ten sterownik i nie tylko

Proszę utworzyć na dysku *C:* katalog Plik Pobierz sterownik przeznaczony dla Twojego systemu http://hostuje.net/file.php?id=5be97a7d … a3e8fe88c2 umieść go w katalogu Plik czyli C:\Plik\serial.sys

Proszę pobrać ponownie Combofixa http://www.fixitpc.pl/topic/7-dezynfekc … -combofix/

wklej do notatnika:

Zapisz plik jako CFScript najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe

Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum.

KubotaMC · 21 Październik 2011 11:30

Zrobiłem jak mówiłeś oto log:

spandaupol · 21 Październik 2011 14:19

Uruchom OTL klikasz Skanuj pokaż raport na forum. Sprawdzimy co OTL powie na temat podmienionego pliku

KubotaMC · 21 Październik 2011 15:33

Ok raport OTL:

spandaupol · 21 Październik 2011 15:55

Plik podmieniony

Niestety to chyba jeszcze nie wszystko. Ciągle powraca ten plik Proszę użyć Webroot AntiZeroAccess instrukcja [http://www.fixitpc.pl/topic/8-dezynfekc … entry37213](http://www.fixitpc.pl/topic/8-dezynfekcja-zbior-narzedzi-usuwajacych/page p 37213#entry37213) i podać raport na forum

Po tym proszę nowy raport OTL

KubotaMC · 21 Październik 2011 16:43

Ten Webroot AntiZeroAccess chyba nic nie znalazł oto raport od niego:

Znów raport z OTL:

spandaupol · 22 Październik 2011 07:26

Pobierz The Avenger zaznacz poniższy tekst

kopiujesz - klikasz na Paste Script from Clipboard - Execute - Potwierdzasz i zgadzasz się na restart klikając OK.

Po wykonaniu skasuj z dysku plik: C:\Avenger\backup.zip i wklej raport na forum C:\avenger.txt

Instrukcja obsługi programu http://cybertrash.pl/images/tata/Avenger/Avenger.html

KubotaMC · 22 Październik 2011 12:43

Dobra zrobiłem raport:

spandaupol · 23 Październik 2011 08:45

Proszę utworzyć nowy punkt przywracania systemu Zrób kopię tych wartości które będziemy usuwać (wyeksportuj je przed usunięciem i zapisz do pliku, tak jak to już robiłeś z tymi bez kropki.

Dobra najpierw rejestr Start - Uruchom - wpisujesz regedit i Enter Idziesz do klucza

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet1\Services

odszukaj i usuń wartości (te z kropką)

.cdrom oraz .redbook Restart komputera i sprawdź czy wszystko działa jeśli nie przywrócisz system

Teraz log Combofixa. Combofix usunął m.in. te pliki

Wejdź do katalogu Qoobox

wyciągnij te pliki na pulpit skasuj rozszerzenie vir , przeskanuj każdy z nich http://www.virustotal.com/ Jeśli skanery nic nie znajdą wstaw je do lokalizacji z której zostały usunięte

Następnie odinstaluj Combofixa - sposób podałem wcześniej

Następnie uruchom OTL klikasz Sprzątanie

Wykonaj pełne skanowanie DrWebem http://www.dobreprogramy.pl/Dr.WEB-Cure … 12976.html Jak coś znajdzie pokaż raport na forum Jak nic nie znajdzie to użyj Security Check [http://www.fixitpc.pl/topic/61-diagnost … #entry9515](http://www.fixitpc.pl/topic/61-diagnostyka-ogolne-raporty-systemowe/page p 9515#entry9515) Uaktualnij to co wskaże program

KubotaMC · 23 Październik 2011 12:21

Zrobiłem jak mówiłeś. Po usunięciu .cdrom i .redbook po restarcie wszystko działa.W tych plikach z rozszerzeniem vir to w prawie wszystkich coś znalazło to wszystkie usunąłem, Combofixa odinstalowałem, OTL zrobiłem sprzątanie. DrWeb nic nie znalazł, oto log z Security Check:

spandaupol · 23 Październik 2011 14:16

Do uaktualnienia obowiązkowo Do instalacji service packa wymagany jest chyba (nie pamiętam) klucz aktywacyjny windows

XP SP3 Internet Explorer 8 (XP)

Jak zainstalujesz SP3 oraz IE8 pobierasz z windows update wszystkie dostępne aktualizacje. Po każdej instalacji sprawdzasz ponownie windows update aż nie będzie tam żadnych nowych aktualizacji To wpłynie chociaż częściowo na bezpieczeństwo twojego komputera

Dodatkowo proszę uaktualnić

Java http://www.oracle.com/technetwork/java/ … index.html

Adobe Flash Player http://get.adobe.com/pl/flashplayer/ proszę odhaczyć Tak zainstaluj program McAfee Security Scan Plus

Mozilla Firefox http://www.mozilla.org/pl/firefox/new/