Rootkit.TDSS!sd6 oraz RougeAntiSpyware_LLC - pomocy z logami


(Oleevier) #1

Witajcie świadomi użytkownicy komputerów :slight_smile:

Przedwczoraj na mój firmowy lap wkradło się "coś".

Próbowałem go usunąć róźnymi antywirami,antyspyware'ami itp. (panda,eTrust,Spyware Doctor)

Rootkita wykrywa tylko Spyware Doctor , ale nie potrafi sobie z nim poradzić - często tylko informuje że zablokował jego działanie z jakimś plikiem .dll

Jedyne objawy to wolna praca i przejęcie częściowej kontroli nad przeglądarką IE.

Surfowanie jest powolne i nie ktore witryny w ogole sie nie otwierają (niby brak połączenia)

Co 2,3 resetowania nie chce się włączyć normalnie winxp tylko muszę przez F8 i ostatnia dobra konfiguracja.

HJ nie chce się włączyć oraz COmbofix też nie.

Użyłem DDS oraz SilentDunners do zrobienia logów.

LOGI :

http://www.wklejto.pl/26736

http://www.wklejto.pl/26737

http://www.wklejto.pl/26738

Bardzo proszę o pomoc w usunięciu tego badziewia ,

z góry serdecznie dziękuję :slight_smile:


(jessica) #2

Ja nie widzę tu Rootkita "TDSS".

Uruchom OTmoveIt, w oknie instrukcji wklej:

:Files

c:\windows\syssvc.exe

c:\windows\svcho.exe

c:\windows\system32\windrv.sys


:Reg

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]

"svcho"=-


:Commands

[emptytemp]

[Reboot]

Klik w "MoveIt" i daj z tego narzędzia log.

jessi


(Oleevier) #3

Oto log :

http://www.wklejto.pl/26755

teraz w ogóle komp mi nie startuje , udało się wyłuskać plik w trybie awaryjnym.

Pomocy !!

-- Dodane 18.02.2009 (Śr) 13:35 --

http://www.wklejto.pl/26756

chyba o ten chodziło ,

poprzedni wydaje sie byc niekompletny

POMOCY :slight_smile:


(jessica) #4

W takim razie, skoro poszło "coś nie tak", to spróbuj zastartować do "Ostatnia dobra konfiguracja" - powinna tam być taka opcja do wyboru.

Lepiej chyba będzie żyć z tą infekcją, niż w ogóle nie móc korzystać z komputera, no nie?

jessi


(Oleevier) #5

hmmmm pewnie że lepeij by było , ale ostatnia dobra konfiguracja daje tyle samo co rozruch normalny czyli po załadowaniu systemu a przed logowaniem do systemu mam caly niebieski ekran i kursor :frowning:

teraz działa tylko tryb awaryjny.

ZObaczie logi , moze coś sie uda zrobic ,

jak odesle im (do firmy ) kompa to nie bede go mial 2 tygodnie , a potrzebuje do pracy :frowning:


(jessica) #6

Eee, to wygląda na awarię karty graficznej, a nie na efekt usuwania.

Ale spróbuj jeszcze, tak na wszelki wypadek, zrobić (oczywiście w Trybie Awaryjnym) - "Przywracanie Systemu" do jakiejś daty, kiedy był utworzony punkt przywracania.

jessi


(Technos) #7

Rootkit.TDSS!sd6 - mnie tez to dziadowsto dopadlo

u mnie explorer7 robi co chce

bledy typu "Zły obraz....." przy otwieraniu aplikacji (ale tylko wtedy gdy działa w tle monitoring PC TOOLS - akurat u mnie "pakiet security")

jezeli go zdezaktywuje bledow nie ma ale rootkit dziala w tle i Bog wie co on tam wyprawia

w HJackThis zadnych podejrzanych wpisow (zadnych odwolan do dziwnych plikow exe czy dll)

chcialbym wiedziec gdzie to siedzi

napisalem mejla do PC TOOLS'a jak ręcznie to usunąć moze cos wymyślą

jak bede cos wiedzial to napisze

jakby ktos mial jakies pomysly to bede wdzieczny

merti@poczta.fm

dzieki


(Oleevier) #8

ok , dziekuje za info , wylaczylem pc tool'a ale niektore strony i tak sie nie otwieraja , zwlaszcza te gdzie trzeba sie zalogowac :frowning:

no coz poczekamy na rozwiazanie , moze ktos jeszcze to rozkmini :slight_smile:

dziekuje za zainteresowanie i pomoc doraźną :slight_smile:


(jessica) #9

@ merti1985

Gdyby w tym temacie był rzeczywiście ten Rootkit, to dałabym usuwanie wg jednego z poniższych sposobów:

-------- I sposób:

Ściągnij -->Avenger.

wklej do niego ten tekst:

Files to delete:

C:\WINDOWS\system32\drivers\tdssserv.sys

C:\WINDOWS\system32\tdssadw.dll

C:\WINDOWS\system32\tdssl.dll

C:\WINDOWS\system32\tdssserf.dll

C:\WINDOWS\system32\tdssmain.dll

C:\WINDOWS\system32\tdssinit.dll

C:\WINDOWS\system32\tdsslog.dll

C:\WINDOWS\system32\tdssservers.dat

C:\WINDOWS\system32\TDSSerrors.log

C:\WINDOWS\system32\tdssserf1.dll


Registry keys to delete:

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\tdssserv.sys

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\tdssserv.sys

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata

HKLM\SOFTWARE\tdss


Drivers to delete:

tdssserv

Kliknij w " Execute" i zatwierdź restart komputera.

Zrestartuj komputer.

Daj Raport z Avengera z C:\avenger.txt.

------------- II sposób:

Ściągnij stąd COMBOFIX > http://www.speedyshare.com/711436867.html, zapisz go przy ściąganiu pod taką nazwą, jaką mu nadałam ( "cosa.com").

Daj log z niego.

Wybór sposobu pozostawiłabym użytkownikowi.

Ale w tym temacie nic nie wskazywało na tego Rootkita.

jessi


(Technos) #10

dzieki jessi poprobuje

(jestem w szoku ze jestes kobietą - nie spotkalem sie zeby plec piekna interesowala sie takimi tematami - nie jestem szowinistą ale to zadki widok :slight_smile: )

Lubie combofixa ale na niego terz trzeba uwazac - bo czasami trzeba po nim system poprawiac :slight_smile:

(jestem w szoku ze jestes kobietą - nie spotkalem sie zeby plec pieklna interesowala sie takimi tematami)

sprobuje uzyc Avenger'a i napisze co i jak

"Gdyby w tym temacie był rzeczywiście ten Rootkit..." taki alert wyskakuje na pakiecie PC TOOLS'a "Rootkit.TDSS!sd6" zaraz po starcie systemu blokujesz go ale pozniej znowu

wiem ze on tworzy jakies pliki *.dll o losowych nazwach i tu jest dramat..

PS TOOLS ODPISAŁ:

Najpierw prosimy Panstwa o usuniecie tymczasowych plikow internetowych:

  1. Z menu "Narzedzia" Internet Explorera nalezy wybrac "Opcje

internetowe".

  1. Kliknij przycisk "Usun pliki cookie" i potwierdz przyciskiem "OK".

  2. Kliknij przycisk "Usun pliki", a nastepnie zaznacz opcje "Usun cala

zawartosc offline".

  1. Na potwierdzenie kliknij przycisk "OK".

  2. W prawym dolnym rogu okna "Opcje internetowe" kliknij przycisk "Wyczysc

historie", a nastepnie kliknij przycisk "OK".

  1. Kliknij przycisk "OK" na dole okna Opcji internetowych.

  2. Zamknij i ponownie uruchom przegladarke.

Nastepnie prosze uruchomic komputer w trybie Awaryjnym, aby przeprowadzic

pelny skan.

  1. Kliknij na "Start"

  2. Wybierz "Zamknij lub "Uruchom Ponownie"

  3. Podczas ponownego uruchamiania komputera, prosimy o przytrzymanie

wcisnietego przycisku F8, az pojawi sie Menu Startowe.

  1. Nastepnie nalezy wybrac za pomoca strzalek nawigacyjnych na klawiaturze

opcje "Tryb Awaryjny"

  1. Jezeli bedzie to konieczne, prosze sie zalogowac.

  2. Zaczekac az komputer zostanie uruchomiony w trybie awaryjnym.

  3. Uruchomic PC Tools Internet Security i wykonac pelny skan. Usunac

infekcje. Czynnosc powtorzyc dwukrotnie.

Prosimy o ponowne uruchomienie komputera.

:slight_smile:


(Oleevier) #11

jessica , czy to tyczy się także rozwiązania dla mnie ? czy tylko dla merti1985 ?


(jessica) #12

To jest dla wszystkich mających tego Rootkita.

Ale zaznaczam, że to, co podałam, t o jest dopiero początek usuwania , bo potem dalsze usuwanie trzeba podjąć na podstawie logu ComboFixa - po prostu ten Rootkit u każdego inaczej nazywa swoje pliki.

EDIT:

W Avengerze muszą być zaznaczone dwie opcje:

otwórz avengera, zaznacz fajkę przy "scan for rootkits" i "automatically disable any rootkits found".

jessi


(Oleevier) #13

a rzućcie okiem na to

czy to może być coś podejrzanego ?

http://rapidshare.com/files/199717745/bez_tytu__322_u1.JPG.html

-- Dodane 18.02.2009 (Śr) 21:37 --

to printscreen z wyników antywira


(jessica) #14

Szkoda,że dla mnie nie wolno korzystać z "rapidshare".

Może przynajmniej napisz, co tam jest.

I czy próbowałes z Avengerem?

jessi


(Technos) #15

CO DO TEGO PRINTSCREENA - U MNIE IDENTYCZNIE TO WYGLADA - WSZYSTKO TO SAMO

MAMY IDENTYCZNY PROBLEM

-- Dodane 18.02.2009 (Śr) 22:05 --

DODAM TYLKO ZE ZAINSTALOWALEM KASPERSKYEGO NAJNOWSZY SECURITY I NIC NIE WYKRYWA CHYBA WRACAM DO PC TOOLSA


(Oleevier) #16

To jest log z PC Tools SPyware Doctor :

Nazwa zagrożenia : Rootkit.TDDS!sd6

Szczegóły : pc tool zablokował próbę : dostęp do pliku

Poziom ryzyka : Wysokie

Infekcja : c:\windows\system32\UACSTQNQYQ.DLL

-- Dodane 18.02.2009 (Śr) 22:12 --

Avengerem jeszcze nie robiłem , czekam aż się skończy skan ktory przeszukuje rootkity.

Ale napewno sprobuje i wkleje logi.

Jedyny problem jaki mam to przegladarka bardzo wolno chodzi i nie otwiera co-drugiej strony.

Wyswietla ze nei ma połączenia z netem.

I za chwile działaja inne strony i za chwile znow nie ma sieci.

A inne aplikacje ktore nonstop korzystaja z neta dzialaj bez zarzutu :frowning:


(Technos) #17

Logfile of The Avenger Version 2.0, © by Swandog46

http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.

Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

Hidden driver "UACd.sys" found!

ImagePath: \systemroot\system32\drivers\UACrivbqiel.sys

Start Type: 1 (System)

Rootkit scan completed.

Error: file "C:\WINDOWS\system32\drivers\tdssserv.sys" not found!

Deletion of file "C:\WINDOWS\system32\drivers\tdssserv.sys" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

--> the object does not exist

Error: file "C:\WINDOWS\system32\tdssadw.dll" not found!

Deletion of file "C:\WINDOWS\system32\tdssadw.dll" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

--> the object does not exist

Error: file "C:\WINDOWS\system32\tdssl.dll" not found!

Deletion of file "C:\WINDOWS\system32\tdssl.dll" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

--> the object does not exist

Error: file "C:\WINDOWS\system32\tdssserf.dll" not found!

Deletion of file "C:\WINDOWS\system32\tdssserf.dll" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

--> the object does not exist

Error: file "C:\WINDOWS\system32\tdssmain.dll" not found!

Deletion of file "C:\WINDOWS\system32\tdssmain.dll" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

--> the object does not exist

Error: file "C:\WINDOWS\system32\tdssinit.dll" not found!

Deletion of file "C:\WINDOWS\system32\tdssinit.dll" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

--> the object does not exist

Error: file "C:\WINDOWS\system32\tdsslog.dll" not found!

Deletion of file "C:\WINDOWS\system32\tdsslog.dll" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

--> the object does not exist

Error: file "C:\WINDOWS\system32\tdssservers.dat" not found!

Deletion of file "C:\WINDOWS\system32\tdssservers.dat" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

--> the object does not exist

Error: file "C:\WINDOWS\system32\TDSSerrors.log" not found!

Deletion of file "C:\WINDOWS\system32\TDSSerrors.log" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

--> the object does not exist

Error: file "C:\WINDOWS\system32\tdssserf1.dll" not found!

Deletion of file "C:\WINDOWS\system32\tdssserf1.dll" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

--> the object does not exist

Error: registry key "HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\tdssserv.sys" not found!

Deletion of registry key "HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\tdssserv.sys" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

--> the object does not exist

Error: registry key "HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\tdssserv.sys" not found!

Deletion of registry key "HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\tdssserv.sys" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

--> the object does not exist

Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\tdssserv" not found!

Deletion of driver "tdssserv" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

--> the object does not exist

Error: registry key "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata" not found!

Deletion of registry key "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

--> the object does not exist

Error: registry key "HKLM\SOFTWARE\tdss" not found!

Deletion of registry key "HKLM\SOFTWARE\tdss" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

--> the object does not exist

Completed script processing.

*******************

Finished! Terminate.


(jessica) #18

Tak, to na pewno jest do usunięcia!

jessi


(Oleevier) #19

ale ja tego pliku nawet nie mam na kompie , ani szukanie nie chce go znalesc , ani reczne namierzenie :frowning:

zastanawiam sie czemu tak jest :frowning:

jakis pomysl ?


(Technos) #20

Avenger nie pomogl

oleevier robiles Combofixem?

-- Dodane 18.02.2009 (Śr) 22:39 --

UACSTQNQYQ.DLL - nie ma tego pliku on tworzy swoje losowe nazwy