Ms4Hd rootkit - pomóżcie wytropić i usunąć :(

Dla specjalistów Bezpieczeństwo
#1

Po skanowaniu systemu HijackThis v 1.99.x w dodatkowych informacjach o item 023 otrzymałem taką uwagę. “Note: The Ms4Hd rootkit parasite (and possible other rootkits) will crash HijackThis when it scans the NT Services section. Revert to HijackThis 1.98 or another version to complete scaning.” Zainstalowałem więc ostatnią wersję i przeskanowałem. Różnice w logach są dość znaczne …

http://wklej.org/id/7d3761e047

http://wklej.org/id/ff00f6fa03

Potrafi ktoś może jednoznacznie zinterpretować logi i podsunąć pomysł na wytropienie i usunięcie rootkita ?

#2

Zacznijmy może od pytania: skąd pewność, że w systemie jest ten rootkit?

  • Pobieżne spojrzenie na oba logi nie wskazuje na to, że HijackThis wykrył obecność tego rootkita.

Nie podajesz, ze skanowanie wersją 1.99 zakończyło się niepoprawnie lub nieoczekiwanym zamknięciem programu, tymczasem

oznacza: “Pasożytujący rootkit Ms4Hd (i zapewne inne rootkity) wywołają nieoczekiwane zamknięcie programu HijackThis podczas gdy będzie skanował część usług NT. Wróć do wersji HijackThis 1.98 lub użyj innej wersji, aby dokończyć skanowanie.”

Piszesz:

Które to konkretnie znaczne różnice?

  • Czy użyłeś innych programów diagnostycznych, szczególnie z kategorii anty-rootkit? Ani słowa.

Może najpierw poczytaj i sprawdź:

GMER

http://www.gmer.net/index.php?lang=pl

http://dobreprogramy.pl/index.php?dz=2&id=2348&t=55

AVG Anti-Rootkit Free 1.1.0.42

http://dobreprogramy.pl/index.php?dz=2&id=2181&t=55

RootkitRevealer 1.71

http://dobreprogramy.pl/index.php?dz=2&id=1497&t=55

Pozdrawiam.

#3

Myślę, że gdybym miał tą pewność, to poradziłbym sobie sam z problemem.

Aktywność CTFMON.EXE wykrywana przez jedną wersję HijackThis a inną nie. Ten legalny proces monitorowania nie powinien sprawiać kłopotu żadnej z wersji, chya że jest wypaczony i ukryty. IMHO

Dziękuję za radę. Włącznie z zawartą w niej ironią. Czytam od kilku dni i sprawdzam różnymi programami, w tym i polecanym przez Ciebie AVG, który nic nie wykrył. Ale nie on jeden. Inne niestety wykrywają i co ciekawsze są zgodne w ocenie. Zawsze jednak istnieje możliwość, że błędnie interpretują legalny proces. Stąd zwróciłem się do bardziej zaawansowanych w tym temacie z prośbą o interpretację. Ponadto winien Ci jestem wyjaśnienie. System jest postawiony od kilku dni na nowo, bo stary posypał się do tego stopnia, że nie mogłem się praktycznie nigdzie zalogować. Nawet bank zablokował mi dostęp do konta i musiałem odkręcać :frowning: Może więc jestem przeczulony na wszelkie objawy nieprawidłowej pracy różnych aplikacji, ale moje podejrzenia potwierdzają McAfee i RootKit Hook Analizer. Tu są wyniki:

http://img.wklej.org/images/68178Captur … .35.51.jpg

http://img.wklej.org/images/86753Captur … .37.04.jpg

http://img.wklej.org/images/8840Capture … .38.03.jpg

http://img.wklej.org/images/17005Captur … .58.14.jpg

Oczywiście jeszcze sprawdzę GMERem i RootkitRevealer’em w/g Twoich zaleceń. Pozdr. :slight_smile:

#4

Użyj FixWareOut - http://downloads.subratam.org/Fixwareout.exe

Daj log z ComboFix

#5

Witaj,

W mojej radzie nie było ironii, natomiast być może, że było lekkie poirytowanie, że przedstawione informacje są niekompletne i nieprecyzyjne, a wnioski stanowczo przedwczesne (by nie powiedzieć: nieuzasadnione).

Wcale jednak nie oczekuję, że zaraz sam postawisz trafną diagnozę, zaaplikujesz leczenie i tylko zapytasz czy dobrze idzie.

Podsumujmy fakty:

  • Była poważna infekcja, jeden lub więcej koni trojańskich zostało wykorzystanych do przejęcia kontroli nad systemem, atakujący mógł przechwycić różne dane użytkownika (np. dane kont, identyfikatory, hasła, itp.).

  • Podjęto decyzję o ponownym postawieniu systemu Windows XP SP2

  • Już po kilku dniach w nowo postawionym systemie masz ponownie obawy, że w systemie może być koń trojański

  • Używasz zaawansowanych programów ochronnych i skanujących, ale wiesz, że nie jesteś w stanie samodzielnie ocenić podawanych przez nie informacji.

Moje sugestie (nadal bez ironii):

  • Jeżeli to możliwe, wykonaj kopię zapasową systemu programem, który pozwala na odtwarzanie całej zawartości partycji (np. Norton Ghost lub inny program wykonujący obraz partycji lub dysku na drugą partycję lub dysk).

Wyłącz wbudowaną w Windows usługę przywracania systemu, bo jak już zauważyłeś, nie daje 100% gwarancji na powrót do stanu systemu, który możesz uznać za pewny i bezpieczny. Dodatkowo pozbędziesz się katalogów z punktami przywracania i plikami, które były na pierwszym obrazku (_Restore…).

Upewnij się, że skopiowałeś wszystkie ważne dane i masz aktualne kopie wszystkich dokumentów - być może będziesz formatował dysk przy ponownym stawianiu systemu, a nie chcesz już nic stracić. Zadbaj o zmianę haseł na każdym z kont pocztowych i serwisów, które tego wymagają.

  • Użyj programów diagnostycznych i zapisuj logi i zrzuty ekranu w sposób systematyczny (do osobnych katalogów, z datą w nazwie itd.). Notuj każdą poważną wątpliwość, a następnie sprawdzaj, czy była uzasadniona. Na przykład: Obrazek nr 3 - nieznany plik sterownika: cmdGuard.sys

Podejrzenie: rootkit? Wyszukanie dodatkowych informacji:

http://www.runscanner.net/process.aspx?p=cmdguard.sys

Wniosek: część od zainstalowanego firewalla Comodo. Fałszywy alarm.

Jeżeli diagnoza wykryje jednak ponad wszelką wątpliwość nową infekcję, to zrób kopię zapasową i ponownie postaw system tym razem nie popełniając błędów, które doprowadziły do jego ponownej infekcji. Zmień programy, które zawiodły. Jeżeli Avast pracował nie sygnalizując obecności koni trojańskich, które później zostały wykryte, to odinstaluj go i zainstaluj inny program antywirusowy. Jeżeli firewall nie był wystarczająco łatwy w konfiguracji i nie sygnalizował nowych programów, które łączyły się z internetem, to zmień na taki, który będzie to robił.

  • Dopóki nie masz poważnych podstaw, by podejrzewać infekcję, nie zakładaj, że już nastąpiła. Zapisz sobie na kartce wszystkie powody, dla których uważasz, że ponownie system jest zarażony, a dopiero później spokojnie punkt po punkcie sprawdź, czy obserwacja na pewno jest konkretna i jednoznaczna.

  • Zastanów się długo i spokojnie nad okresem poprzedzajacym decyzję postawienia systemu od nowa. Zrób listę wszystkich możliwych przyczyn, które doprowadziły lub mogły doprowadzić do infekcji. Analizując punkt po punkcie odpowiedz sobie, czy te same przyczyny rzeczywiście zaistniały ponownie? Co mogłeś zrobić, aby temu zapobiec?

  • Weź poprawkę na to, że programy diagnostyczne będą (lub nie) wyświetlać informacje o właściwościach, procesach i plikach, które choć mało znane lub niewidoczne dla użytkownika, mogą być poprawnymi i bezpiecznymi częściami systemu lub programów ochronnych. Błędne wnioski mogą prowadzić do uszkodzenia/niepoprawnej pracy systemu.

  • Na koniec, choć nie jest to miłe: pamiętaj, że programy nie są nieomylne. Wiele razy miałem do czynienia z sytuacjami błednęgo rozpoznania plików poprawnych jako plików wirusów. Także i z odwrotnymi sytuacjami, kiedy pliki szkodliwe nie były wykrywane. Staraj się zawsze weryfikować to co znajdziesz.

Jeśli np. chcesz się dowiedzieć, co o podejrzanym pliku sądzi ponad 30 silników antywirusowych z bieżącymi definicjami, to wyślij plik do analizy korzystając ze strony VirusTotal:

http://www.virustotal.com/pl/

Napisałeś:

Jesteś przeczulony (co po poprzedniej infekcji jest normalne), ale moim zdaniem załączone informacje i obrazki nie potwierdzają podejrzenia.

Szukaj dalej. Cokolwiek znajdziesz, zawsze to coś nowego.

#6

Hokku , ale się rozpisałeś :lol:

Właśnie skończyłem skanowanie SDFix’em i ComboFix’em

Wyniki:

http://www.wklej.org/id/d20c979eea

http://www.wklej.org/id/0ffa6c60bf

Tym razem powstrzymam się od wszelkich komentarzy, bo Gutek2222 strasznie się denerwuje i krzyczy :smiley:

Co o tym myślicie ? :expressionless:

#7 
C:\WINDOWS\system32\guard32.dll.vir

przeskanuj plik na http://virusscan.jotti.org/

#8

Przeskanowałem. Nic nie znaleziono. :?

#9

To nic nie widać, pokaż log z FixWareOut

#10

Problem, z którym tak wytrwale walczysz to Twój Firewall Comodo.

Nawet ComboFix go nie toleruje i listuje:

#11

Dzięki Barnaba, że zajrzałeś. Każdy głos jest wnikliwie analizowany. Taka burza mózgów :slight_smile:

Gutku, zrobiłem skan FixWareOut, ale wpierw wolałbym abyś przeczytał o osiągnięciach dzisiejszej nocy (nie martw się, żona spała :))

Poszedłem za radą Hokku. Odinstalowałem prawie wszystkie programy, coby sytuacja była bardziej klarowna. Wyczyściłem dysk CCleaner’em i odkurzaczem i zacząłem instalować Kaspersky IS v.7.0.0.125. Ponieważ robiłem to po raz n-ty, mogę z całym przekonaniem stwierdzić, że instalacja przebiegła bezproblemowo. Restart i ściąganie bazy wirusów. Również bezproblemowo. Ponowny restart i Kaspersky zainstalowany testuje wstępnie pamięć. Ustawiam parametry najdokładniejszego skanu i uruchamiam. W połowie Kasper wyrzuca mi zarażone pliki wirusem Heur.Invader (modyfity). Są to … SDFix i ComboFix, instalki ściągnięte wieczorem, oraz przekopiowane w inne miejsce te same instalki użyte do uruchomienia. Oczywiście podejmuję decyzję “neutralizować” i w tym samym momencie dostaję odpowiedź, że obiekty zneutralizowane bo… nie znaleziono do nich ścieżki dostępu ?! A ja tą ścieżkę mam wyraźnie wypisaną na ekranie. Idę więc pod wskazany adres a pliki czują się świetnie ! Robię się bardziej podejrzliwy i uruchamiam skaner ponownie nie usuwając jeszcze plików. Tym razem Kasper nie widzi problemów. Zaglądam więc do ostatniego raportu. Ostatni wpis jest z pierwszego skanowania i informuje, że wykryto próbę modyfikacji ważnych plików Kaspra, ale system autoochrony poradził sobie z problemem i nie trzeba podejmować żadnych innych działań (sic). Zapisów z drugiego skanowania brak. Trafiony-zatopiony. Usuwam więc SDFix i ComboFix (kosz zamknięty) i deinstaluję Kaspra. Czyszczę dysk i rejestr z pozostałości instalacji, restaruję kompa i uruchamiam instalację od nowa.

Sama instalacja przebiega bezproblemowo. Schody zaczynają się tym razem przy aktualizacji bazy wirusów. Kasper zatrzymuje się kilka razy i w końcu każe restartować. Po restarcie ponownie aktualizuje bazę. Trzeci restart i stoi. Zagladam co robi. Testuje pamięć i obiekty startowe, ale zatrzymuje się co chwilę a potem, jakby nadrabiał - dorzuca nagle kilkadziesiąt plików do przetestowanych. Wrzucam mu “skanuj obszary krytyczne”, oczywiście na najdokładniejszym szukaniu a on robi to w pół sekundy oczywiście niczego nie znajdując. Moja diagnoza - zatopiony. Chyba, że macie inne wytłumaczenie :?:

Gaszę kompa i idę do pracy :roll:

Gutku, czy w dalszym ciągu interesuje Cię log z FixWareOut ? Wierzysz, że będzie lepszy od raportów Kaspra ?

Ja poszukam coś o tym zmodyfikowanym “Heur.Invader”. Może Kasper podał choć jedną prawdziwą wiadomość przed śmiercią :slight_smile:

Pozdrawiam wszystkich.

#12

Daj nowy log z Combo w tej sytuacji, każdy antywirus jaki będzie miał, będzie krzyczał, że to narzędzie to wirus :wink:

#13

Popełniłeś jednak błędy w swojej analizie.

Po zainstalowaniu Kasperskiego nie przeprowadziłeś skanowania systemu np. za pomocą RootKit Hook Analyzer, wtedy zobaczyłbyś nowe “śmieci” w Twoim systemie, lecz teraz to by były zhookowane usługi przez sterowniki Kasperskiego (poprzednio przez sterowniki Comodo).

Również po zneutralizowaniu SDFix i ComboFix przez Kasperskiego, nie spróbowałeś uruchomić tych programów. AV usuwają tylko niektóre moduły tych programów, a nie całe programy.

Pewna bardzo mądra kobita napisała:

Życzę dalszej miłej zabawy.

#14

Barnaba, domyślam się, że popełniłem błędy i dlatego tu jestem :slight_smile:

Gutek, to są logi sprzed chwili. Chyba nie jest źle :smiley:

http://www.wklej.org/id/212f2c7634

http://www.wklej.org/id/b38d20de89

Przepraszam Panowie, ale dostałem jednak urlop o który zabiegałem, więc się pakuję i zamykam kompa w takim stanie jak jest na 3 tygodnie. Może się odezwę w tym czasie z innego, bo córka też ma problemy “nie do rozwiązania”

Dzięki za dotychczasowe rady i sugestie. Pozdro. :lol:

#15

W logach nic nie widzę