Problem z rootkitem


(Gorgoroth) #1

Witam wszystkich czytających treść tego tematu!

Ostatnio przeskanowałem komputer pod kątem rootkitów i znalazłem jednego. Sprawa jest o tyle ciekawa, że program antywirusowy usuwa go, jednak mimo tego przy następnym skanowaniu (po restarcie kompa - AVG wymaga restartu przy usuwaniu tego rootkita) rootkit znowu jest lecz tym razem ma inną nazwę.

Nie mam pojęcia jak go usunąć. Być może ktoś spotkał się z tego typy "syfem" i wie jak pozbyć się go...

Poniżej zamieszczam screen wyniku skanowania:

schowek02l.jpg

Jeśli niezbędne jest stworzenie jakiś logów to na pewno je stworze.

Bardzo proszę o pomoc doświadczonych forumowiczów :slight_smile:

Logi z OTL'a:

Logi z SDFix'a:


(Henio Mazurek) #2

Na rootkita użyj ComboFix, uruchom i wklej log

Podczas pobierania i skanu ComboFix'em wyłącz antywirusa i zapory.

Logi wklej na wklej.org lub wklej.to a tutaj tylko link do wklejki.


(Gorgoroth) #3

Log z ComboFix'a: http://www.wklejto.pl/40045

Dodam jeszcze, że logi tworzę spod XP znajdującego się na partycji E, natomiast Win 7 mam na C, a to właśnie na C jest rootkit. Moje logi mają jakikolwiek sens? Niestety innego wyjścia nie ma - pod 7 mało co działa :lol:


(Henio Mazurek) #4

Na 7 działa GMER i wklej z niego log w takim razie.


(Gorgoroth) #5

GMER nie znalazł żadnych modyfikacji w systemie...


(Leon$) #6

powinieneś OTL lub Combofix uruchomić spod Win7 (uruchom jako administrator)

narzędzia te działają na Viście to i na 7 powinny zadziałać

:slight_smile:


(Gorgoroth) #7

Niestety ComboFix nie uruchamia się na Win 7 x64:

combom.jpg

Produkcja OTLa:

http://michal.waligora.dl.interia.pl/OTL.Txt

Z tego co mi się obiło o uszy OTL powinien tworzyć 2 pliki raportu jednak mi stworzył tylko jeden...


(Henio Mazurek) #8

W gmer kliknij Szukaj, potem Kopiuj i wklej log. Nie zawsze gmer wyświetla monit o znalezieniu czegoś w systemie, co nie znaczy, że nic nie ma.


(Gorgoroth) #9

Problem w tym, że w GMERze nic nie pojawia się po ukończonym skanowaniu. Klikam na Kopiuj, otwieram notatnik i nic się nie wkleja.. Czyżbym był za głupi na ten program? :smiley:

gmerr.jpg


(Henio Mazurek) #10

Skoro nic się nie pojawia to znaczy, że nic nie ma. Ten ukryty sterownik gdyby był szkodliwy zostałby pokazany. W tym wypadku wygląda, że nic tutaj nie ma. Tak więc albo to pomyłka AVG, albo zostało to usunięte a trzecia możliwość jest taka, że to też może być prawidłowy sterownik.


(Gorgoroth) #11

Czyli AVG jest przewrażliwiony?

Swieży skan:

rootr.jpg

Czyli bez zmian. A nazwa pliku jest co najmniej ciekawa :]

Pomijam fakt, że po każdym usunięciu tego rootkita pojawia się znowu tyle, że pod inną nazwą...


(Henio Mazurek) #12

Jeszcze możesz wkleić log z mbr.exe (na stronie gmer'a).

Na Windows 7 nie da się zaznaczyć do skanu niczego oprócz Usługi/Rejestr/Pliki? Bo coś mi się wydaje, że właśnie gdzie indziej może to siedzieć, ale to raczej nie jest nic groźnego.


(Gorgoroth) #13

Log z mbr'a:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, http://www.gmer.net


device: opened successfully

user: MBR read successfully

kernel: error reading MBR

Niestety aktywne są tylko opcje Usługi, Rejestr i Pliki. Tak jak widać na screenie. Widzę, że nie wytępimy tego :smiley:


(Henio Mazurek) #14

Widzę, że mbr.exe też ma problem z tym systemem. Tak jak pisałem to niekoniecznie musi być coś groźnego, takie ukryte sterowniki mogą pochodzić również od wirtualnych napędów lub innych urządzeń. Poza tym rootkity najczęściej lokują się w usługach a tutaj nic nie ma. Według mnie w tym wypadku to fałszywy alarm AVG

Możesz jeszcze spróbować Malwarebytes Anti-Malware, jeśli on nic nie znajdzie to znaczy, że nic nie ma.


(Gorgoroth) #15

Malwarebytes Anti-Malware wyczaił 3 syfy: http://wklej.to/Dwwl

Wynika z tego, że nie warto bawić się w jakieś shity typu combofix czy otl :lol: Lecę dalej z koksem i instaluję specjalistyczny soft... Może jeszcze coś wynajdę - dam znać.

Programem a-squared Free znalazłem jednego trojana... To najważniejsze znalezisko i chyba na tym zakończę, powinno być dobrze ;]