Niewykrywalny rootkit

Witam.

System: Vista SP2 Home Premium.

Oprogramowanie: Avast

Opis problemu: Wszystko zaczęło się od alarmu Avasta na przenośnej pamięci flash (G:), sygnalizował pojawienie się pliku asr_18232.exe, identyfikowany jako Win:32 Virtob. Po skasowaniu pliku i sformatowaniu flash’a plik po chwili pojawił się ponownie. Pobrałem szczepionkę na tego wirusa, jednak nie wykryła, by jakikolwiek z plików na dysku był zainfekowany. Przez kilka dni był spokój, po czym nagle sytuacja się powtórzyła. Zapuściłem pełny skan Avasta, niczego na dyskach nie znalazł. Postanowiłem użyć każdej dostępnej broni, na początek użyłem Spybot Search & Destroy, później SUPERAntiSpyware. Bez rezultatu, oprócz niegroźnych plików-ciasteczek z przeglądarki nic nie znalazły. Na kolejny ogień antywirusy w wersji live-cd Arcanix, Dr-Web LiveCD, Gdata, nic nie znaleziono.

Próbowałem też używać Sophos Anti-Rootkit 1.5, znalazł jeden wpis, jednak sytuacja nie uległa poprawie. Dziś mam kolejny alarm od Avasta o utworzeniu pliku asr_******.exe (w miejscu * są losowe numery) i nie wiem już co mam robić. Gmer wyświetla bluescreen po skanowaniu.

Co zauważyłem: Do ataku dochodzi przez Internet, w momencie alarmu proces systemowy (w monitorze zasobów widziany jako “System”) łączy się z adresem IP 84.216.41.16, jest to IP zagraniczne, możliwe że to jakiś inny komputer-zoombie. Pobiera od niego exe i próbuje zapisać na moje dyski wymienne. Pliki te wyłapuje Avast, jednak w systemie Windows są niewidoczne, nawet w trybie awaryjnym (widać je np. przez Ubuntu). Wniosek jest taki, że rootkit kamufluje swoją obecność i chowa pobrane wirusy. Najprawdopodobniej jest to rootkit dość nowy, bo żaden popularny antywirus go nie wykrywa.

Bardzo proszę o pomoc, sam sobie nie poradzę.

Zamieszczam logi z:

ComboFix:

http://www.wklej.org/hash/5bec6dfa90/

OTL:

http://www.wklej.org/id/215389/

Hijackthis:

http://www.wklej.org/id/215395/

Niestety ComboFix nie widzi go w całości. Wklej do notatnika

Zapisz jako CFScript.txt. Ten plik przeciągasz na ikonę ComboFix’a. Wklej log wynikowy.

Pobierz SystemLook, wklej do niego

Kliknij Look i pokaż log jaki wyskoczy.

Wklej do notatnika

Zapisz jako, Wszystkie pliki plik.bat , uruchom go i wklej log jaki wyskoczy.

Spróbuj jeszcze uruchomić GMER.

Wklej też log z RootRepeal

Zakładka Report , Scan , zaznaczasz wszystko => OK

ComboFix log nr 2:

http://www.wklej.org/hash/c07079488f/

SystemLook:

http://www.wklej.org/id/215540/

Ten plik z pulpitu sam stworzyłem dla testu, wcześniejsze generowane przez rootkita od razu kasowałem Avastem. Teraz, mimo że ma 0 bajtów nie mogę go skasować. “nie można ukończyć tej akcji, ponieważ plik jest otwarty w innym programie”.

%windir%\swreg.exe export HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet ccs.txt

notepad ccs.txt

Czy to polecenie jest prawidłowe? Zapisałem jako plik.bat, uruchomiłem, wyświetla się okienko, proces zajmuje 50% mocy procesora, jednak od godziny nic nie wyświetla.

RootRepeal:

http://www.wklej.org/id/215543/

No a po co? Taki plik jest błędny i proces explorer nie może zebrać potrzebnych informacji o nim (czyli będzie go więził w nieskończoność) możesz go usunąć jedynie z wiersza poleceń zabijając wcześniej proces explorer lub zewnętrznym narzędziem - Unlocker’em.

Tak. U mnie zajęło ok 6-7 minut, być może przez infekcję program się zawiesza.

Spróbujemy trochę inaczej.

W OTL wklej

Kliknij Run Scan. Przypuszczam, że znowu może się zawiesić (jeśli po 20-30 minutach nie wyświetli loga zabij proces OTL przez Menadżer zadań).

Jeśli log się pokaże może być spory dlatego najlepiej shostuj go na www.speedyshare.com i daj link.

Start => Uruchom => cmd, wpisz

Pobierz go na nowo, w momencie pobierania zmień mu nazwę na losową, uruchom i wklej log.

Próbowałem uruchomić ponownie Gmera, kolejny raz bluescreen. Tym razem uszkodził coś w rejestrze, musiałem użyć “narzędzia naprawy uruchamiania systemu Windows”, żeby uruchomić system.

Błędny plik z pulpitu skasowałem unlockerem. Zaraz wykonam resztę poleceń.

Dodane 25.11.2009 (Śr) 16:22

OTL:

http://www.speedyshare.com/files/19469928/OTL.Txt

Dodane 25.11.2009 (Śr) 16:24

Microsoft Windows [Wersja 6.0.6002]

Copyright (c) 2006 Microsoft Corporation. Wszelkie prawa zastrzeżone.


C:\Users\Piotr>combofix /uninstall

Nazwa 'combofix' nie jest rozpoznawana jako polecenie wewnętrzne lub zewnętrzne,


program wykonywalny lub plik wsadowy.


C:\Users\Piotr>

Moja pomyłka, combofix /uninstall wpisz w Start => Uruchom. Jeśli i to nie pomoże to kliknij w OTL CleanUp.

Wklej oczywiście nowy z ComboFix.

W logu z OTL nie ma tego czego szukałem.

Jak wygląda teraz sytuacja?

Pierwsza opcja zadziałała. Odinstalował się.

Pobrałem od nowa i odpaliłem, oto log:

ComboFix 3:

http://www.wklej.org/hash/174385572d/

Ciężko określić. Nie ma wyraźnych objawów, żeby od razu to sprawdzić. Na razie mam zablokowane połączenia na porty przychodzące przez sprzętowy firewall. Ataki nie są regularne, ostatnio wydawało się że jest ok, nie było żadnej infekcji przez sieć przez 3 dni, aż do dzisiaj.

ComboFix zrobił mały burdel na dysku, cześć programów sygnalizuje o utraconych plikach, cześć plików przestała być ukryta, da się to jakoś naprawić?

Nie wiem czy to faktycznie przez ComboFix’a bo tutaj były usuwane jedynie szkodliwe usługi.

ComboFix jednak mógł mieć z czymś problem bo po jego działaniu ta usługa powinna przestać istnieć

a była widoczna w logu po zastosowaniu skryptu.

Jakie programy wyświetlają błędy? Co dokładnie zawierają?

Możesz próbować przywrócić system do stanu sprzed użycia skryptu.

Dodatkowo przeskanuj system Dr.WEB CureIt, wklej log.

Postanowiłem, że jutro sformatuje dysk i postawie od nowa system. Wcześniej zrobię backup plików takich jak *.jpg, *.avi.

Czy powinienem dla pewności wyczyścić MBR? Jak to zrobić krok po kroku? Nie mam stacji dyskietek - pracuje na laptopie.

Nie widzę takiej potrzeby.