Rootkit Win32:Malware-gen


(Kamilozor) #1

Hej, mój avast zaczął monitować o Rootkicie w Msdtc.exe "Win32:Malware-gen". Wczoraj przywróciłem sobie system z Ghosta i wszystko było okej ale po jakimś czasie znowu to samo. Myślałem, że może coś świruje (po aktualizacji bazy wirusów) i próbowałem ogarnąć sytuację instalując AVG zamiast niego, lecz przy próbie instalacji otrzymuję komunikat, który mowi, że najpierw muszę pozbyć się aplikacji o nazwie Rootkit. Poniżej logi z OTL. Czy ktoś może się przyjrzeć? Pozdrawiam.

 

 

OTL

http://wklej.org/id/1235828/

OTL Extras

http://wklej.org/id/1235825/


(Atis) #2

Pobierz i uruchom AdwCleaner Kliknij Szukaj i później Usuń.

Pokaż nowy log z OTL bez Extras.


(Kamilozor) #3

Po usunięciu za pośrednictwem AdwCleanera i zrestartowaniu mam dziwną sytuację. Migają mi co kilkanaście sekund okienka cmd (w sumie ok. sekundy) i w każdym coś pisze, ale nie jestem w stanie przeczytać co. Zauważyłem tylko że to okna net.exe i w środku coś piszę o Symsnamservice. Wczoraj zanim zdecydowałem się uruchomić Ghosta miałem identyczną sytuację. Proszę oto nowy log  :slight_smile:

 

http://wklej.org/id/1235934/


(Atis) #4

Do okna Własne opcje skanowania / skrypt wklej:

:OTL
DRV - File not found [Kernel | Boot | Stopped] -- -- (mv64xx)
DRV - File not found [Kernel | Boot | Stopped] -- -- (mv61xx)
[2014-01-14 15:44:03 | 000,000,000 | ---D | C] -- C:\AdwCleaner
[2014-01-14 14:00:07 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Administrator\.android
[2014-01-14 14:00:03 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\cache
:Commands
[emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Uruchom OTL i kliknij Sprzątanie.


(Kamilozor) #5

Zrobiłem. Po restarcie ponownie wyskakują okienka cmd. Nadal nie mogę zainstalować AVG. Nowy log z OTL:

 

http://wklej.org/id/1236073/


(Atis) #6

AVG znany jest z tego, że wymyśla nie istniejące rootkity.

Może chodzi o sterownik od wirtualnego napędu sptd.

Pobierz i uruchom TDSSKiller

Nie zmieniaj żadnych ustawień tylko zatwierdź akcje zalecane przez program.

Pokaż raport z TDSSKiller zapisnany na: C:\TDSSKiller.wersja_data_czas_log.txt.

Okienka związane są z Nortonem, bo usługa od tego programu nazywa się SymSnapService.

SRV - [2009-09-21 19:19:20 | 001,964,528 | ---- | M] (Symantec) [On_Demand | Running] -- C:\Program Files\Norton Ghost\Shared\Drivers\SymSnapService.exe -- (SymSnapService)

(Kamilozor) #7

Proszę :slight_smile:

 

http://wklej.org/id/1236139/


(Atis) #8

Nie widać infekcji.

Uruchom SPTDinst i kliknij Uninstall.

Zrestartuj komputer i sprawdź czy AVG nadal coś wykrywa.


(Kamilozor) #9

AVG nadal nie chce się zainstalować. Aplikacja powodująca konflikt: Rootkit. Chyba wrócę do Avasta który mi go też wykrył i zobaczymy teraz. Mogę Ghosta wywalić manualnie i wyczyścić rejestr? czy w systemie zostanie mały bajzel?

 

edit: Avast przeprowadził skan i niestety wykrył Win32:Malware-gen w msdtc.exe.


(Atis) #10

Pewnie Avast popełnia błąd. Przeskanuj ten plik na VirusTotal:

https://www.virustotal.com/

Pobierz i uruchom Gmer (Download EXE)

Na czas skanowania wyłącz wszystkie programy.

Nie zmieniaj żadnych ustawień tylko kliknij Szukaj.

Po zakończeniu skanowania kliknij Zapisz i pokaż raport.

Tryb uruchomienia usługi ustaw na Ręczny lub Wyłączony.

Kliknij prawym na Mój Komputer > Zarządzaj > Usługi


(Kamilozor) #11

Oto raport z Gmer.

 

http://wklej.org/id/1236317/

 

Tryb uruchomienia której usługi? :slight_smile:


(Atis) #12

Nie widać żadnego rootkita. Chodzi o usługę która powoduje problem.

Skąd mam wiedzieć w jaki sposób używasz tego Nortona?

Jeżeli regularnie tworzysz kopię to pewnie usługa musi działać, więc reinstaluj ten program.

Jeśli nie używasz tego programu to całkowicie odinstaluj.

Odinstaluj stare sterowniki z 2007:

DRV - [2007-01-31 14:33:46 | 000,005,632 | ---- | M] (GRISOFT, s.r.o.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\avgarkt.sys -- (AVG Anti-Rootkit)
DRV - [2007-01-18 13:00:28 | 000,003,968 | ---- | M] (GRISOFT, s.r.o.) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\AvgArCln.sys -- (AvgArCln)

Kliknij prawym na Mój Komputer -> Zarządzaj -> Menedżer Urządzeń

W menu Widok zaznacz Pokaż ukryte urządzenia

Rozwiń gałąź Sterowniki niezgodne z Plug and Play i odinstaluj:

AVG Anti-Rootkit

AvgArCln

Kliknij prawym i wybierz Odinstaluj.


(Kamilozor) #13

Niestety po wszystkich zabiegach system “klęknął”. Włączał się bardzo bardzo długo po czym obciążenie procesora było cały czas na poziomie 98-100%. Nie byłem w stanie zdiagnozować, jaki proces tak pożera jego zasoby, gdyż były one “losowo” przydzielane do różnych, znanych mi procesów. Jako, że nie byłem w stanie kompletnie nic zdziałać na tym systemie to odpaliłem Ghosta z pendrive’a i wgrałem go na nowo. Po tym zabiegu odistalowałem Ghosta, avasta i zainstalowałem AVG - przeskanowałem komputer i nie wykrył nic. Jedyną rzeczą którą wcześniej robiłem po zainstalowaniu systemu było wgranie back-upu mojej przeglądarki (opera - może stąd ta infekcja?) oraz aktualizacja bazy wirusów. Teraz wszystko jest w porządku, więc dziękuję bardzo za pomoc i myślę, że tę chwilę można zamknąć temat :slight_smile: Pozdrawiam.