Rootkit -"Win32:Rootkit-gen [Rtk


(system) #1

Witam.

Program antywirusowy GData 2009 wykrywa u mnie w : " C:\WINDOWS\system32\cmuti.dll - wirusa "Win32:Rootkit-gen [Rtk] ".

Antywirus nie potrafi go usunąć , przenieść do kwarantanny itp.

Plik ten (cmuti.dll ),będący jakąś pochodną oprogramowania Alcohol120%(info z prawokliku ) udało mi się namierzyć w przeglądarce IE6 - zarządzanie dodatkami -> tutaj funkcjonował ,jako włączony dodatek do IE7. Na razie go tylko , co było możliwe, wyłączyłem ( ładuje się razem z IE ale pozostaje wyłączony). W ogóle ta przeglądarka strasznie muli ...

Załączam raport z hijack this: http://wklejto.pl/13674

Może specjalistom tematu uda się coś namierzyć .

Pozdrawiam -jack


(Gutek) #2

Daj log z ComboFix

O2 - BHO: (no name) - {DC99AEF2-DE55-4180-80E6-803CE279EFFB} - C:\WINDOWS\system32\cmuti.dll

usuń wpis HJT


(system) #3

Combofix mielił dobre pół godziny - oto rezultat: http://wklejto.pl/13681

Wygląda na to,że tego pliku "cmuti.dll" jednak nie usunął.

I co dalej ...?

Proszę o instrukcje.

pozdrawiam -jack


(Leon$) #4

Otwórz notatnik i wklej

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri ... iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

:slight_smile:


(system) #5

Jak długo powinna trwac operacja usuwania ?

Zrobiłem jak napisano powyżej - po chwili jakby Combo Fix ruszył (taki pasek 'uruchomieniowy' przemnknął ) i od tego czasu cisza...Nie pojawił się żaden plik tekstowy ,żeden log po tej operacji.


(Gutek) #6

Uruchom jeszcze raz Combo i daj nowy log.


(system) #7

Podaję nowy log: http://wklejto.pl/13689

I jeszcze jedna sprawa - w momencie gdy ComboFix kończył pracę , program antywirusowy zaczął mnie informować o różnych próbach zmian ustawień w rejestrze, programach itd. - najpierw ufnie klikałem mu ,żeby to akceptował , a później tego zaprzestałem (pojawił się np. jakieś info o prawdopodobie szkodliwym programie reg.exe ?? !!

Proszę o ocenę sytuacji - czy wszystko w porządku ,czy też wręcz odwrotnie ?


(Gutek) #8

Spróbuj zrobić tego fix-a jeszcze raz.

Po tym:

  1. Wykonaj skan Dr. Web CureIt

  2. Daj loga z mbr.exe


(system) #9

Coraz "ciekawiej"się robi...

Piszę z drugiego komputera - na tym zainfekowanym trwa skanowanie ComboFixa.

Próbowałem jednak sobie obejrzeć co to za program , ten mbr.exe z linka , ale strona ta została natychmiast zablokowana prze oprogramowanie antywirusowe z taką informacją:

Strona zablokowana!

Program G DATA Security zablokował dostęp do strony.

Strona zawiera niebezpieczny kod: Win32:Crypt-CZU [Trj] (Skaner pomocniczy).

A teraz (combofix kończy pracę) odzywa się ponownie Kontrola zachowania G Data , informując,że edytor rejestru(regt.cfexe) próbuje zmodyfikować konfigurację systemu itd-...po tym pojawią się na 100% koleje ostrzeżenia o próbach zmian i ingerencji w systemie - PYTANIE - czy mam się na to wszystko zgadzać , czy blokować?


(Gutek) #10

Nie blokuj , G DATA jak i inne tego typu programy antywirusowe blokują Combo i inne narzędzia twierdząć, że są zakażone :slight_smile:


(system) #11

O`k - tak zrobiłem. A co z tym linkiem do mbr.exe ?


(system) #12

A teraz nowy log z ComboFix-a :http://wklejto.pl/13692

Zapuszczam ściąganie tego dr.Web-a.


(Gutek) #13

Podobnie jak z Combo pisałem

programy antywirusowe blokują Combo i inne [b]narzędzia[/b]

czekam na skany


(system) #14

Jeszcze raz link do loga z combo: http://wklejto.pl/13692

Dr web wykrył tymczasem : vgveqdij.sys , w: c:\windows\system32\drivers - Trojan.Nt.Rootkit.1652 - i został usunięty prze program.

Zapodałem więc pełne przeskanowanie.


(system) #15

A to raport z pełnego przeskanowania przez Dr Web-a :

vgveqdij.sys;c:\windows\system32\drivers;Trojan.NtRootKit.1652;Usunięty.;

A0004992.bat;C:\System Volume Information_restore{4F3A8D12-12F4-4F43-84F5-92892FB17414}\RP22;Prawdopodobnie BATCH.Virus;Niewyleczalny.Przeniesiony.;

A0005004.EXE;C:\System Volume Information_restore{4F3A8D12-12F4-4F43-84F5-92892FB17414}\RP22;Program.PsExec.170;Niewyleczalny.Przeniesiony.;

A0005081.bat;C:\System Volume Information_restore{4F3A8D12-12F4-4F43-84F5-92892FB17414}\RP22;Prawdopodobnie BATCH.Virus;Niewyleczalny.Przeniesiony.;

A0005093.EXE;C:\System Volume Information_restore{4F3A8D12-12F4-4F43-84F5-92892FB17414}\RP22;Program.PsExec.170;Niewyleczalny.Przeniesiony.;

A0005159.bat;C:\System Volume Information_restore{4F3A8D12-12F4-4F43-84F5-92892FB17414}\RP22;Prawdopodobnie BATCH.Virus;Niewyleczalny.Przeniesiony.;

A0005170.EXE;C:\System Volume Information_restore{4F3A8D12-12F4-4F43-84F5-92892FB17414}\RP22;Program.PsExec.170;Niewyleczalny.Przeniesiony.;

A0005210.sys;C:\System Volume Information_restore{4F3A8D12-12F4-4F43-84F5-92892FB17414}\RP22;Trojan.NtRootKit.1652;Usunięty.;

ComboFix.exe\32788R22FWJFW\C.bat;E:\DOWNLOAD\ComboFix.exe;Prawdopodobnie BATCH.Virus;;

ComboFix.exe\32788R22FWJFW\psexec.cfexe;E:\DOWNLOAD\ComboFix.exe;Program.PsExec.171;;

ComboFix.exe;E:\DOWNLOAD;Archiwum zawierające zainfekowane obiekty;Przeniesiony.;

A0005226.exe\32788R22FWJFW\C.bat;E:\System Volume Information_restore{4F3A8D12-12F4-4F43-84F5-92892FB17414}\RP22\A0005226.exe;Prawdopodobnie BATCH.Virus;;

A0005226.exe\32788R22FWJFW\psexec.cfexe;E:\System Volume Information_restore{4F3A8D12-12F4-4F43-84F5-92892FB17414}\RP22\A0005226.exe;Program.PsExec.171;;

A0005226.exe;E:\System Volume Information_restore{4F3A8D12-12F4-4F43-84F5-92892FB17414}\RP22;Archiwum zawierające zainfekowane obiekty;Przeniesiony.;


Tam gdzie jest adnotacja "usunięty" - program zrobił to sam

Tam gdzie jest zdnotacja "przesunięty" - to mój wybór ( bo była też opcja "usuń" ) / ciejawe zresztą dokąd przesunięty , bo brak informacji na ten temat

Tam gdzie jest brak jakiejkolwiek adnotacji , nie można było nic zrobić /pole nieaktywne/


Mr Gutek 2222 - czy do tego mbr.exe (z linka powyżej) przejść na siłę ( rozumiem ,że trzeba by było jakoś wyłączyć mój program G Data Security ?


(system) #16

tak bo narzędzia typu combofix antywiry uznają za wirusy podczas wejścia i skanowania wyłącz antywiry i zapory


(system) #17

Witam ponownie.

Pół dnia mnie nie było , no bo ten 1.listopada...

W tym czasie przeskanował ponownie cały komputer Dr Web i ...nic nie znalazł ...

Program mbr.exe wydał z siebie taki log:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully

user: MBR read successfully

kernel: MBR read successfully

user & kernel MBR OK

Mój GData antywirus nie wykrywa już w ogóle zainfekownego wcześniej pliku " cmuti.dll" ,a w informacji o zainstalowanych dodatkach do IE 7 NIE MA już w ogóle na liście tego cmutii.dll

Dodaję także najświeższy log z Combofixa : http://wklejto.pl/13757

I teraz czekam już na opinię specjalistów - co z tego wszystkiego wynika...?


(Gutek) #18

Pobierz The Avenger.W okienku, które się otworzy wklej:

Files to delete:


C:\sqmdata08.sqm

C:\sqmnoopt08.sqm

C:\sqmdata07.sqm

C:\sqmnoopt07.sqm

C:\sqmdata06.sqm

C:\sqmnoopt06.sqm

C:\sqmdata05.sqm

C:\sqmnoopt05.sqm

C:\sqmdata04.sqm

C:\sqmnoopt04.sqm

C:\sqmdata03.sqm

C:\sqmnoopt03.sqm

C:\WINDOWS\Internet Logs\tvDebug.zip

C:\WINDOWS\Internet Logs\xDBC.tmp

C:\WINDOWS\Internet Logs\xDBA.tmp

C:\WINDOWS\Internet Logs\xDBB.tmp

C:\WINDOWS\Internet Logs\xDB8.tmp

C:\WINDOWS\Internet Logs\xDB9.tmp

C:\WINDOWS\Internet Logs\xDB6.tmp

C:\WINDOWS\Internet Logs\xDB7.tmp

C:\WINDOWS\Internet Logs\xDB4.tmp

C:\WINDOWS\Internet Logs\xDB5.tmp

C:\WINDOWS\Internet Logs\xDB3.tmp

C:\WINDOWS\Internet Logs\xDB1.tmp

C:\WINDOWS\Internet Logs\xDB2.tmp

kopiuj >> klikasz na Paste Script from Clipboard >> Execute >> Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt


(system) #19

Witam serdecznie.

Zrobione zgodnie ze wskazówkami.

Oto log z avanger-a:

Logfile of The Avenger Version 2.0, © by Swandog46

http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.

Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

No rootkits found!

File "C:\sqmdata08.sqm" deleted successfully.

File "C:\sqmnoopt08.sqm" deleted successfully.

File "C:\sqmdata07.sqm" deleted successfully.

File "C:\sqmnoopt07.sqm" deleted successfully.

File "C:\sqmdata06.sqm" deleted successfully.

File "C:\sqmnoopt06.sqm" deleted successfully.

File "C:\sqmdata05.sqm" deleted successfully.

File "C:\sqmnoopt05.sqm" deleted successfully.

File "C:\sqmdata04.sqm" deleted successfully.

File "C:\sqmnoopt04.sqm" deleted successfully.

File "C:\sqmdata03.sqm" deleted successfully.

File "C:\sqmnoopt03.sqm" deleted successfully.

File "C:\WINDOWS\Internet Logs\tvDebug.zip" deleted successfully.

File "C:\WINDOWS\Internet Logs\xDBC.tmp" deleted successfully.

File "C:\WINDOWS\Internet Logs\xDBA.tmp" deleted successfully.

File "C:\WINDOWS\Internet Logs\xDBB.tmp" deleted successfully.

File "C:\WINDOWS\Internet Logs\xDB8.tmp" deleted successfully.

File "C:\WINDOWS\Internet Logs\xDB9.tmp" deleted successfully.

File "C:\WINDOWS\Internet Logs\xDB6.tmp" deleted successfully.

File "C:\WINDOWS\Internet Logs\xDB7.tmp" deleted successfully.

File "C:\WINDOWS\Internet Logs\xDB4.tmp" deleted successfully.

File "C:\WINDOWS\Internet Logs\xDB5.tmp" deleted successfully.

File "C:\WINDOWS\Internet Logs\xDB3.tmp" deleted successfully.

File "C:\WINDOWS\Internet Logs\xDB1.tmp" deleted successfully.

File "C:\WINDOWS\Internet Logs\xDB2.tmp" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.


(Gutek) #20

Daj nowy log z COMBO