Packed.Generic.238 nieusunięty przez NIS


(23pepe) #1

Witam.

Jak w temacie NIS wykrył ale nie usunął, bo jak widać w logu z combofix

podczepia się pod uruchomione procesy jako bibilioteka o przedziwnej nazwie,

a we wskazanym katalogu jej nie znalazłem.

Pomóżcie mi się pozbyć tego robala :D.

log z combofixa >>>> log.txt


(Henio Mazurek) #2

Wklej do notatnika

Zapisz jako CFScript.txt. Przeciągasz na ikonę ComboFix'a. Wklejasz powstały log.

Dorzuć też log z gmer.

http://www.gmer.net/


(23pepe) #3

ComboFix nie kilną tego (no chyba , że coś źle zrobiłem).

Gmer pokazał że mam rootkita, ale nie znam Gmera i nie wiem co dalej.

log ComboFix >>> ComboFix.log

log Gmer>>>Gmer.log

Dzięki za pomoc :smiley:


(Henio Mazurek) #4

Prawdę mówiąc to z czymś takim się jeszcze nie spotkałem.

Nie widać lokalizacji tego pliku. Z loga wynika tylko, że jest ładowany przed systemem.

Wpisz w wyszukaj

I napisz gdzie to zostało znalezione.


(23pepe) #5

No właśnie o to chodzi, że nawet z zaawansowanymi opcjami nie znajduje tego pliku w żadnej lokalizacji.

Przeszukałem cały dysk i nic.

A może to wina NIS2009, może tego robala, gdzieś zbunkrował, robal działa a system właśnie dlatego znaleźć go nie może.

-- Dodane 14.07.2009 (Wt) 16:12 --

A to jest zrzut tego jak to zgłasza NIS2009 >>> Packed.Generic.238

Ciekawe jet to, że zgłasza pmięć podręczną przeglądarki.

A może rootek sobie utknął w sektorze rozruchowym.


(Henio Mazurek) #6

Ciekawe akurat wczoraj czytałem o czymś podobnym, chodzi o wirtualizację plików jako zabezpieczenie nakładane przez przeglądarkę, tutaj do poczytania

http://blogs.technet.com/markrussinovic ... 74194.aspx

Bo to wygląda podobnie.

Z jakiej przeglądarki korzystasz?

Użyj ATF - wszystko do zaznaczenia i opróżnienia

http://cybertrash.pl/images/tata/ATF/ATF.html

Potem wykonaj dokładny skan Dr.WEB CureIt - lecz\usuń jak coś znajdzie i wklej log

http://dobreprogramy.pl/index.php?dz=2& ... WEB+CureIt!

Teraz to prawdę mówiąc mam wątpliwości czy to jest szkodliwy program.

Czy ogólnie są jakieś problemy z komputerem?


(23pepe) #7

Korzystam z przeglądarki IE8, wnida XP Home SP3.

System jest świeżutki tydzień od postawienia i nie wykazywał żadnych wcześniejszych dziwnych zachowań.

NIS2009 próbowałem odinstalować, ale nawet removal toolem nie idzie (komputer mieli mieli i nic).

Przepraszam, że tak późno ale wczoraj musiałem wyjści z robotki troszkę wcześniej niż zwykle.

Jestem w trakcie wykonywanie sulucji odezwe się po wykonaniu zadania.

No i teraz to zaczyna się bajka jak z westernu

NIS2009 sobie chodzi (i jest na zielono) a tu zonk >>> Zapora systemu zgłasza problem.

Reszta problemu narazie bez zmian.

WebCruelt nie startuje >>> tzn. odpalam go i system go zamyka zgłaszając do wysłania raport (krytyczne zamykanie aplikacji)


(Henio Mazurek) #8

Nie kazałem żebyś odinstalował Nortona.

Jak przeskanujesz Dr.WEB to wklej jeszcze log z mbr.exe (na stronie gmera).

Z gmer ten log to się wyświetlił zaraz po uruchomieniu? Jeśli tak to teraz kliknij szukaj (ma być wszystko zaznaczone do skanu, tzn usługi, procesy itp, jeśli o dyski chodzi to nie przestawiaj, ma być tylko C).

Poza tym w gmer w zakładce procesy podświetl jakiś i w dolnym okienku sprawdź czy coś nie jest na czerwono, jeśli będzie to wynotuj. To samo zrób dla innych zakładek.


(23pepe) #9

NIS2009 próbowałem odinstalowywać zanim zacząłem ten wątek (myślę, że to ważna informacja).

Poprostu trzymałem się wskazówek jakie znalazłem na stronie Nortona (myślałem, że jest uwalony i potrzebuje naprawy >>> niestety bez powodzenia).

Dr. Web nie startuje jak wczesniej w edytowanym poście napisałem.

-- Dodane 15.07.2009 (Śr) 7:31 --

Taki mi błąd wywala po odpaleniu Dr. WEB >>> błąd


(Henio Mazurek) #10

No to zrób z gmer i mbr.exe jak chciałem.

Jak Dr.WEB nie działa to spróbuj przeskanować system Kaspersky'm on-line

Wklej log.


(23pepe) #11

Z Gmer zrobiłem ssy, bo nie wiem czy o to chodziło, jak coś źle to się poprawi.

Gmer początek skanowania

Gmer zakładka rootkit malware

Gmer procesy >> w każdym procesie zaznaczonym na czerwono

w dolnym okienku też pokazuje bibliotekę na czerwono

(zawsze taki sam wpis, czyli >> "\?\globalroot\systemroot\system32\geyekjithwimu.dll")

robie teraz MBR

-- Dodane 15.07.2009 (Śr) 8:02 --

log z MBR >>> mbr.log


(Henio Mazurek) #12

Wygląda na to, że ta biblioteka podczepia się pod wszystkie exe oprócz dwóch plików systemowych.

Wejdź w tryb awaryjny i tam odpal Cr.WEB Cure It. Pobierz też Malwarebytes Anti-Malware, zainstaluj i uruchom go w awaryjnym, usuń co znajdzie i pokaż log.

http://dobreprogramy.pl/index.php?dz=2& ... ntiMalware


(23pepe) #13

Wynik skanowania Kacprem >>> Kaspersky.log

-- Dodane 15.07.2009 (Śr) 14:02 --

Robię teraz resztę poleceń :smiley:

-- Dodane 15.07.2009 (Śr) 15:06 --

Malwarebytes >>> log skanowania w trybie awaryjnym Malwarebytes.log

Malwarebytes >>> log skanowania w trybie normalnym Malwarebytes_normal.log

Dr. Web nie zaskoczył w awaryjnym (to samo co poprzednio).

Martwi mnie dopisek w Malwarebytes (Trojan.TDSS)-> No acition taken. :frowning:

-- Dodane 15.07.2009 (Śr) 15:15 --

Zaciągam Dr. Web Life CD...


(Henio Mazurek) #14

No to przynajmniej wiadomo co to jest.

Trzeba było usunąć to co znalazł Malwarebytes. Przeskanuj jeszcze raz i usuń jak coś znajdzie.

Zobaczymy czy Avenger coś da skoro masz go już na dysku. Wklej do niego

Klikasz Execute.

Pobierz od nowa ComboFix, już w momencie pobierania zmień nazwę na losową i uruchom. Wklej log.

Jeśli i to zawiedzie to trzeba będzie robić skan przez płytę ratunkową.


(23pepe) #15

Usunąłem to co było ... ale po drugim skanowaniu znowu były 2 wpisy, których nie wywyliło.

Mam drugi komputer na który zassałem juz Dr. Web Life CD.

Spróbuję najpierw wykonać podane przez Ciebie instrukcje.

-- Dodane 16.07.2009 (Cz) 10:16 --

Witam

Wracamy do tematu (przepraszam, ale muszę robić to z doskoku >> wyjady służbowe :D).

Po wykonaniu podanych przez Ciebie instrukcji niestety stan jest bez zmian i logi są podobne do wcześniejszych.

Od ranka zapodalem Dr. Web Life CD i o dziwo wykrył geyekjithwimu.dll w katalogu c:/windows/system32 i nawet to usunął.

Po restarcie przez pewien czas było czysto i Malwarebytes Anti-Malware nie wykazywał robala.

Więc zrobiłem czyszczenie CCleanerem i ATF przejrzałem logi Hijackiem.

Ale po odpaleniu ponownym Malwarebytes Anti-Malware znowu wykył to badziewo (po ok 3-4 minut od ostatniego czystego skanowania).

i co dalej? .... proszę o pomoc.. :smiley:


(Henio Mazurek) #16

On tego w ogóle nie pokaże. To jest rootkit i to ciężki w usunięciu. Wcześniejsze jego wersje ComboFix usuwa automatycznie. Skoro wrócił to gdzieś jest źródło zakażenia którego nie usunął Dr.WEB. Wyłącz na czas operacji przywracanie systemu.

Wejdź do rejestru => szukaj => wpisz geyekrjithwimu , napisz dokładnie gdzie to zostało znalezione.

Zrób jeszcze raz ten skan z Dr.WEB Live CD, potem pobierz ComboFix i w momencie pobierania zmień nazwę na losową a rozszerzenie na .com. Potem wklej do notatnika (dorzucę jeszcze driver, choć nie wiem czy potrzebnie)

Zapisujesz jako CFScript.txt. Przeciągasz na ComboFix i wklejasz powstały log.


(23pepe) #17

Próbowałem usunąć Qooboxa z dysku C: i lipa system krzyczy , ze nie moze usunąc jakiegoś pliku z rozszerzeniem .vir.

Avenger'em próbowałem za pomocą poniższej instrukcji usunąć ten plik, ale nie dało się.

Reszta w trakcie wykonywania... wyniki za 30 min.

-- Dodane 16.07.2009 (Cz) 14:14 --

  1. wyłączone przywracanie

  2. Teraz w rejestrze nie znalazłem narazie ale 2 razy usuwałem wpis z lokalizacji:

3.Live CD Dr. Web usunął c:\windows\system32\geyekrjithwimu.dll

  1. ComboFix + skrypt :

a) Na początku w pierszym niebieski okienku combo zgłasza

(nie wiem czy to ważne ale piszę, bo widzę to pierwszy raz >>> kilka razy Combo używałem i nie było takiego zapisu)

b) Combo wykonuje eatpy od 1 do 50 ( w tym 6A, 19B, 32A) na wysokości 32A windows zgłasza problem z aplikacją

c) następne niebieskie okienko z Find3M i znowu zgłaszanie problemu >>> Za mało pamieci głównej do zakończenia sortowania

d) i na koniec Combofix.log


(Henio Mazurek) #18

Z loga wynika, że tego śmiecia już nie ma.

Pev.cfexe to składnik ComboFix'a i możliwe, że podczas pobierania został usunięty.

Co do braku pamięci to też z tym pierwszy raz się spotykam.

Start => Uruchom => wpisz Combofix /u lub ręcznie usuń folder C:\Qoobox i instalkę Combofix z dysku.

Wyłącz na chwilę przywracanie systemu.

http://support.microsoft.com/kb/310405/pll

Wykonaj pełny skan Malwarebytes Anti-Malware, jeśli coś znajdzie - usuń i wklej log.

http://dobreprogramy.pl/index.php?dz=2& ... ntiMalware

Przeczyść dysk i rejestr CCleaner'em

Za jakiś czas przeskanuj się gmer'em, żeby sprawdzić czy to znów nie wróciło.


(23pepe) #19

Na koniec troszeczkę ciekawostek. :smiley:

Tak... tak.. log wyglądał na czysty ale cholera się znowu pojawiła. :smiley:

Ale... walka do końca!... i porobiłem troszeczkę rzeczy we własnym zakresie. :smiley:

  1. Zainstalowałem program AVG Anti-Rootkit Free, skanowanie i znalazł rootkita, ale w innej jak dotąd lokalizacji.

Całej nazwy znalezionego pliku nie wpisuję, bo reszta to przypadkowe literki i cyferki.

Wywalenie tego pliku, to był strzał w dziesiątkę. :smiley: Restart i o dziwo wyszukiwanie plików z zaawansowanymi opcjami w windzie działa. :smiley:

  1. Ale coś nie tak było, bo wyszukiwarka się zapętliła i mogła by tak wyszukiwać i wyszukiwać.

dziwnie działająca wyszukiwarka

  1. Zatrzymałem wyszukiwanie i usuwałem to, co było możliwe do usunięcia. Do kosza i czyszczenie kosza, przeglądnięcie rejestru z wyszukiwaniem wyrażenia "geye" i czyszczenie wszystkich znalezionych wpisów.

czyszczenie rejestru

Wyłączenie przywracania systemu i Restart. :smiley:

  1. Czyszczenie CCleanerem, zapuszczenie GMERA uff... czysto :D, sprawdzenie działania wyszukiwania... oj znowu pętelka :/... sprawdzenie rejestru... i czysto. Wyłączenie przywracania systemu i Restart.

  2. Wyłączenie osłony rezydentalnej i innych funkcji NIS2009 i puszczenie ComboFix. Poszło gładko bez żadnych głupich wpisów o małej ilości pamięci i innych krzaków i nieprawidłowym działaniu aplikacji. Wyłącznie przywracania systemu i restart.

ComboFix.log

  1. Usunięcie Qoobox odbyło sie tym razem bez problemu. Czyszczenie kosza, CCleanerem czyszczenie plików i rejestru. Sprawdzenie działania Wyszukiwarki plików w Windzie. Działa poprawnie! :smiley:

  2. Włączenie wszystkich funkcji NIS2009. Restart.

  3. Pełnie skanowanie NIS2009, skanowanie Gmerem, Skanowanie Dr. Web Cure It (ooo poszło normalnie :D) ... i czysto :D... uff.

Spostrzeżenia: Już po susunięcu geye... .sys wykrytego przez AVG Anti-Rootkit Free i zapuszczeniu skanowania GMEREM, GMER zaczął skanować system normalnie (pełne skanowanie z rootkitem zajmowało GMEROWI ok 30 sek, po wywaleniu geye... .sys GMER skanował dyski ponad 4 minuty :D). Od razu można było w wyszukiwarce w windzie znajdywać pliki ukryte i systemowe, o czym z żywym rootkitem można było zapomnieć. Pliki rootkita zagnieżdżały się w lokalizacjach:

C:\Windows\temp

C:\Windows\system32

wszystkie pliki z początkową frazą w nazwie pliku "geye" z różnymi rozszerzeniami.

To by było na tyle. Proszę o sprawdzenie loga z ComboFix zamieszczonego powyżej. :smiley:


(Henio Mazurek) #20

Teraz w logu jest czysto.