Problem z Rootkit.HiddenFile@0

Dla specjalistów Bezpieczeństwo
#1

Skaner Comodo wykrył w trakcie skanowania obecność - Rootkit.HiddenFile@0

Comodo część wykrytych zagrożeń usunął. W raporcie są tylko te z którymi był problem.

Efekty działania:

  • ikonki programów instalowanych bez logo programu ( puste, lub domyślne logo Windows )

  • instalacja nie zawsze we wskazane miejsce

  • proces de-instalacji trwa bardzo długo.

  • ikony instalowane przez program na pulpit, po zakończeniu instalacji znikają, są przenoszone w dowolnie wybrane miejsce.

Skanery Dr WEB, Kaspersky nie wykrywają nic.

W załączeniu

Comodo - raport - http://wklej.to/B4coD

OTL - raport - http://wklej.to/cobAm

OTL - extras - http://wklej.to/k9GPi

Gmer - http://wklej.to/V7YZF

PS. Format w tym przypadku to dla mnie ostateczność. Na laptopie mam materiały dotyczące pracy zawodowej.

Dodane 15.08.2011 (Pn) 8:51

Temat rozwiązany.

Rootkit.HiddenFile@0 to wykrywanie przez Comodo braku ochrony przez Windows dla - *.lnk.

Miała być stosowna łata !?

Firma Comodo jako jedna z nielicznych podjęła się rozwiązania tego problemu.

Problem z Rootkit.HiddenFile@0 był już wcześniej zgłaszany na Forum / Bezpieczeństwo.

Pomocne okazało się narządzie firmy Sophos - http://www.hotfix.pl/bezplatne-narzedzi … -n4040.htm.

Prośba o sprawdzenie logów i pomoc w usunięciu pozostałości.

otl - http://wklej.to/ueROb

otl-Extras - http://wklej.to/OOvxH

#2

To gratuluje firmie Comodo :slight_smile:

I była jakiś rok temu http://di.com.pl/news/32948,0,Luka_w_ob … atana.html

Jak to infekcja i ta ewoluuje można o tym przeczytać tutaj http://support.kaspersky.pl/about.html? … ewsid=1413

Jeśli chodzi o log OTL to jest jakiś problem z rozszerzeniem exe

OTL pokazał także sterownik tcpip.sys

Czy Ty coś modyfikowałeś a jeśli tak dlaczego?

#3

Nie modyfikowałem nic w systemie. Nie robiłem też re-instalacji systemu. Mam system na ukrytej partycji.

Zauważyłem tylko, że są dni w których laptop zaczyna się dziwnie zachowywać. Zwalniać, zawieszać się itp.

Dziękuje za informacje na temat zabezpieczenia *.lnk / ze strony Windows.

Proszę też o dalszą pomoc w usunięciu nieprawidłowosci

#4

Najpierw rozszerzenia przy okazji opróżnimy katalogi Tmp itp

W okno Własne opcje skanowania / skrypt w OTL wklej:

Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum

Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.

Nie zwróciłem wcześniej uwagi na raport Gmera bo myślałem że wszystko już OK Co do raportów to użyłeś Combofixa i nie zaprezentowałeś raportu z pracy narzędzia to po pierwsze Po drugie na jakich ustawieniach Gmera wykonałeś skan bo wygląda mi na to że miałeś zaznaczoną tylko opcje Usługi Miałeś jakieś problemy z Gmerem? Jak przygotować system pod skan Gmerem, ustawić Gmera i wykonać skan, znajdziesz tutaj http://www.fixitpc.pl/topic/60-diagnost … u-rootkit/ Dodatkowo poproszę o raport Kasperski TDSSKiller Instrukcja [http://www.fixitpc.pl/topic/8-dezynfekc#entry6814](http://www.fixitpc.pl/topic/8-dezynfekcja-zbior-narzedzi-usuwajacych/page p 6814) Jak program coś znajdzie wybierasz opcje Skip

W raporcie Gmera można znaleźć:

Ta usługa pochodzi od Sophos Anti-Rootkit Czy korzystałeś z tego narzędzia?

Piszesz że skanowałeś Kasperskim Czy był to Kasperski Virus Removal Tool?

#5

  1. Wykonałem skanowanie skanerem ( ISO ) Kaspersky Rescude Disk 10

  2. Raport z ComboFix - mam, załączę. Aktualnie w pracy.

  3. Wiem że to co otrzymałem z GMER jest niekompletne. Załączę nowe logi zgodnie z zaleceniami.

  4. Uruchomiłem Sophos AntiRootit. tak po prawdzie z ciekawości, czy wykryje coś konkretnego.

Zalecone skanowania po powrocie z pracy.

Dodane 17.08.2011 (Śr) 19:20

Witam.

W załączeniu zalecone skanowania:

1/ OTL - http://wklej.to/Jptnt

2/ OTL - http://wklej.to/W0afe

3 / GMER - http://wklej.to/HbE16

4/ ComboFix - http://wklej.to/kmLVZ

5/ TDSSKiller - http://wklej.to/6UWeh

PS. Nie jestem pewien skanowania nr 2. Wykonałem je na takich ustawieniach OTL jakie są dostępne po wgraniu na laptopa.

Powstał tylko jeden raport.

#6

Skrypt został źle wklejony ale tym zajmiemy się później Aby powstał raport Extras.txt Opcja Rejestr skan dodatkowy musi być ustawiona na Użyj filtrowania Ale takie raporty już mamy.

Jeszcze pytanie Czy masz miałeś zainstalowane

StopZilla http://www.programosy.pl/program,stopzilla.html bo jeśli nie to chyba http://www.threatexpert.com/files/szkg.sys.html

Immunet Protect http://www.dobreprogramy.pl/Immunet-Pro … 21016.html

#7
  1. Immunet Protect, był zainstalowany i odinstalowany przez mojego poprzednika.

Miałem nieco problemów po instalacji COMODO.

Nie bardzo wiem jak się tego pozbyć całkowicie.

  1. StopZilla - był, de-instalacja programem Revo-Uninstaller
#8

Widać to w logu Extras.txt ale to chciałem zostawić na koniec Dobra po kolei

Proszę utworzyć punkt przywracania systemu jak coś pójdzie nie tak przywrócisz system

Pobierz The Avenger zaznacz poniższy tekst

kopiujesz - klikasz na Paste Script from Clipboard - Execute - Potwierdzasz i zgadzasz się na restart klikając OK.

Po wykonaniu skasuj z dysku plik: C:\Avenger\backup.zip i wklej raport na forum C:\avenger.txt

Instrukcja obsługi programu http://cybertrash.pl/images/tata/Avenger/Avenger.html

Po tym pokaż nowy log OTL

#9

W załączeniu zalecone skany. Przy wykonywaniu restartu na polecenie Avenger-a było lekkie zawahanie. Uruchomienie nastąpiło przy drugim podejściu, bez ingerencji z mojej strony

avenger - http://wklej.to/ON2is

OTL - http://wklej.to/UJrS5

OTL-Extras - http://wklej.to/Klp6F

PS. skanowanie OTL zostało wykonane przy ustawieniu: Rejestr / Wszystko.

#10

Dlatego prosiłem o utworzenie punktu przywracania ale wszystko się usunęło więc przeczyścimy jeszcze foldery tmp kosz itp Ale po kolei

Odinstaluj Combofixa w ten sposób

Start - Uruchom - wpisujesz

"e:\instalcyjne\Adware i Antywir-inne\ComboFix.exe" /uninstall

Czy usunąłeś folder Avengera? Jeśli nie to zrób to np przez Shift+Del

W okno Własne opcje skanowania / skrypt w OTL wklej:

Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum

Następnie uruchom OTL klikasz Sprzątanie

Pokaż raport Autoruns Instrukcja http://helpc.eu/topic/1545-tworzenie-lo … -autoruns/

Napisz jak zachowuje się system w tej chwili Tych błędów miejmy nadzieje już nie będzie Jeśli się pojawią to reinstalacja Comodo Jak to zrobić podam w razie problemów.

Pobierz Driver Max wykonaj skan i zaprezentuj wynik na forum http://www.programosy.pl/program,drivermax.html jak skończymy odinstalujesz program

#11

Procedura czyszczenia:

Wyniki dla polecenia Autoruns

Po wykonaniu polecenia sprzątanie - wykonany został restart i OTL został usunięty ??. Brak raportu.

Czy uruchomić jeszcze raz OTL i przy jakich ustawieniach

System pracuje stabilnie.

#12

Mam zapytanie odnośnie wykrycia przez Comodo AV obecności - Rootkit.HiddenFile@, czy masz zainstalowane na kompie któryś z tych programów Spybot Search & Destroy lub SpywareBlaster. Ma to o tyle znaczenie, że oba programy mają w swoim zestawie listę do blokowania niebezpiecznych witryn internetowych co zapobiega przed dostaniem się robali przez internet. Comodo wykrywa jako zagrożenie pod nazwą- Rootkit.HiddenFile i nie potrafi ich usunąć ani wysłać do analizy, gdyż wpisy blokowane są przez te programy przed ich usunięciem. One nie stanowią zagrożenia dla komputera, a są potrzebne do ochrony komputera w necie. Tyle z mojej strony o wyjaśnienia tych wpisów z raportu Comodo AV.

#13

Brakujący raport z DriverMax - http://wklej.to/WfrKE

PS. --> arapo brałem to pod uwagę.

#14

Powinno być dobrze Oczywiście żadnej infekcji tutaj nie było To co usuwaliśmy to szczątki po źle odinstalowanym oprogramowaniu ochronnym Nie musisz już podawać logów

Co do raportu

Chodziło mi o coś takiego http://www.drivermax.com/driver/drivers … er=2355207 żebym łatwo mógł zobaczyć jakie drivery ewentualnie potrzeba uaktualnić

#15

Pragnę podziękować za okazaną pomoc. Mój stary LENOVO - 3000 N100 oddycha normalnie.

Pozdrawiam i życzę wszystkiego najlepszego. :smiley:

PS. Do identyfikacji zainstalowanego oprogramowania wykorzystałem - DriverScaner. Udało mi się w oparciu i informacje ( nr seryjne ) zaktualizować już znaczną część sterowników. Były i 10 letnie.