Trojan.NtRootKit.6725


(Kowaliczka) #1

Witam,

Mój komputer ma ładnych kilka lat, więc myślałam, że ciągłe mulenie (mimo optymalizacji) spowodowane jest jego niewielkimi możliwościami . Mam Toshibę z Windowsem XP, Service Pack 3, Intel® Pentium® M., processor 1,73 GHz, 504 Mb RAM.

Chyba we wrześniu komputer był zainfekowany Trojanem DownLoader 4.62015, ale zanim do tego doszłam próbowałam przywracania systemu. Obawiam się, że mogłam trochę narozrabiać i naśmiecić. Wirus trafił w końcu, o ile dobrze pamiętam, do kwarantanny Dr Weba.

Przedwczoraj komputer zaczął mi się wieszać i sam restartować, przeskanowałam go więc Dr.Webem. Dopiero pełny skan wykrył wirusa Trojan.NtRootKit.6725. Program od razu go usunął. Chciałam sprawdzić jeszcze komputer programem Malwarebytes oraz Spybot - Search & Destroy. Nie mogłam uaktualnić Spybota (trojan był m.in. w SdUpdate.exe), więc zainstalowałam program jeszcze raz z pliku, który miałam na dysku. Dzisiaj postanowiłam kontrolnie jeszcze raz sprawdzić komputer (ciągle bardzo powoli reaguje) Dr Webem i znów okazało się, że dwa pliki Spybota są zarażone tym samym trojanem. Przeskanowałam plik instalacyjny na stronie virustotal, ale okazał się być czysty.

Przeskanowałam także komputer kontrolerem plików Windows, ponieważ np. w Windows→system32 nie ma katalogu dllcache,. Znalazłam go w Windows→LastGood(2) →system32. Systematycznie korzystam z CCleanera.

Nie wiem dlaczego tak często łapię wirusy bo naprawdę uważam co otwieram. Jednak boję się, że infekcja znów powróci. Mimo, że mam Avasta i Comodo Firewall.

Jestem laikiem, ale naprawdę próbuję sama radzić sobie z problemami, bo domyślam się ile macie i beze mnie roboty. Tym razem wysiadam. Wprawdzie mam obawy czy podołam działaniom jakie mi wskażecie, proszę jednak o pomoc, z góry dziękując za poświęcony czas.


(krzych5610) #2

Pobierz rozpakuj i uruchom SalityKiller.zip. Do pobrania na http://support.kaspersky.com/pl/faq/?qid=208279886.

Gdy to nie pomoże należy przygotować 2 CD ( ISO )

1 z Dr web live cd - http://www.instalki.pl/programy/downloa ... iveCD.html

2 z Kaspersky rescude disk 10 - http://support.kaspersky.com/pl/faq/?qid=208282170.

Skanowanie wykonać w podanej kolejności.

PS. Zobacz tu - http://www.malware-control.com/statics- ... 045763.php

-- Dodane 21.10.2011 (Pt) 9:40 --

Zestaw Avast + Comodo firewall zastąp najnowszą wersją Comodo internet Security 2012 - http://www.dobreprogramy.pl/Comodo-Inte ... 12952.html


(Kowaliczka) #3

Nie bardzo sobie radzę. Uruchomiłam Salitykiller.exe (po ściągnięciu i rozpakowaniu zipa). W podsumowaniu były same 0, tylko Executed registrty scripts: 1 (jak rozumiem - wykonano 1 skrypt rejestru, cokolwiek to znaczy). Potem uruchomiłam Disable autorun z Sality_RegKeys.. Narzędzie poprosiło tylko o potwierdzenie dodania informacji do rejestru i nic się dalej nie działo. Przeskanowałam więc jeszcze komputer Dr Webem (w systemie awaryjnym), ale nic nie znalazł. Uruchomiłam SafeBootWinXP. No i teraz komputer strasznie wolno chodzi. I znów raz mi się sam zrestartował. Nie wiem czy powinnam wykonać przywracanie systemu do punktu przed wykonaniem tych wszystkich czynności? No i nie wiem czy jednak przygotować te CD, skoro Dr.Web nic nie znalazł w awaryjnym... Nie będę jeszcze wymieniać Avasta na pełne Comodo, bo jeśli trzeba przywrócić system to znów narozrabiam. Proszę o dalszą pomoc.


(krzych5610) #4

Trojan.NtRootKit.6725 to sality, informacje o jego oznaczeniach przez inne antywirusy podałem w PS.

Skaner http://www.dobreprogramy.pl/Kaspersky-R ... 12771.html , należy nagrać na CD jako obraz ISO ( funkcja nagrywania ).

Komputer uruchomić z płytą w nagrywarce i potwierdzić rozpoczęcie skanowania. K-R-D jest pełnym skanerem antywirusowym, umożliwia sprawdzenie komputera przy wyłączonym systemie operacyjnym.

  1. Skanowanie za pomocą Kaspersky Rescude Disk

Uruchom komputer z nagraną płytą w nagrywarce CD/DVD. Potwierdź w czasie 9s chęć skanowania, wybierz język komunikacji ( polski ), potwierdzić znajomość przepisów - litania tekstu. Na dole w pasku jest litera A ( pokazać i Enter )

Wchodzimy w menu partycji. Zaznaczasz wszystkie partycje. Jeżeli masz aktywne łącze internetowe stałe, możesz zrobić dodatkową aktualizację bazy skanera.

W ustawieniach odszukaj pozycje zaawansowane i tryb heurystyki ustawić na max.

Uruchom proces skanowania, postępuj zgodnie z zaleceniami

  1. Skan pomocniczy za pomocą mbam - http://www.dobreprogramy.pl/Malwarebyte ... 13117.html

  2. Przygotuj OTL ( są dwa raporty ) zgodnie z zaleceniami na otl-gmer-rsit-dss-inne-instrukcje-t370405.html.

  3. Zawartość raportów OTL wklejasz na stronę http://wklej.to/ lub http://wklej.org/, a w poście podajemy link do wklejki.

Poczekaj na sprawdzenie raportów przez osoby zajmujące się weryfikacją OTL.

  1. Przejście z AVAST na CIS 2012 5.8 możesz wykonać po całkowitym oczyszczeniu swojego PC.

(Kowaliczka) #5

Nie wiem czy dobrze mnie zrozumiałeś ale nie sprawdzałam jeszcze DrWebem live cd, tylko Curelt w trybie awaryjnym. Mam kolejny problem - moja stacja dysków nie odczytywała wcześniej wszystkich płyt. Wczoraj stwierdziłam, że jednak spróbuję coś zrobić. Ponieważ miałam w domu tylko jedną czystą płytę, ale też pendrive 256 Mb, stwierdziłam, że mogę nagrać Weba i Kasperskiego na dwa różne nośniki. No i spróbowałam postąpić zgodnie z Twoimi wskazówkami. Po ściągnięciu Dr Weba otworzył mi się Sonic, ale niestety nie można było wykryć płyty w stacji dysków, chociaż tam była. Żeby ją wyjąć musiałam użyć drucika bo inaczej nie dało rady. Teraz nie mogę jej zamknąć. Co do pendriva - ściągnęłam program rescue2usb, ale kazał on wskazać miejsce pliku ISO, którego nie było na dysku. Może dlatego, że w tym czasie wskoczył też do Sonica, bo w tym samym czasie próbowałam nagrać płytę. Teraz sytuacja wygląda w ten sposób, że nawet jeśli wypalę płytkę na innym komputerze, moja stacja dysków nie działa (cały czas jest otwarta, nawet po restarcie) . Mogę spróbować jeszcze z pendrivem, ale jest tylko jeden więc nie wiem czy rzeczywiście zrezygnować z Dr Web LiveCD. No i nie mam pewności czy nie zaraziłam laptopa przez pendrivie, bo ostatnio coś przenosiłam.

Spróbuję jeszcze raz wgrać Kasperskiego na pendriva.


(Andrzejswit) #6

USBFix - pobierz i uruchom.

Kliknij Listing, i po zakończeniu wrzuć log na wklej.pl lub wklej.org lub wklej.to

Oraz Logi z OTL, tak jak w punkcie 3 powyższego posta.


(Kowaliczka) #7

Nie mogę zainstalować USBFix. Próbowałam też z innych stron. Nie instaluje się. Zaraz zrobię Logi z OTL

Mam nadzieję, że zrobiłam te logi z OTL prawidłowo. Oto one:

http://wklej.to/hdE6a

http://wklej.to/o0EIt


(krzych5610) #8

Witam ponownie. Przy uszkodzonej nagrywarce skanowanie z wykorzystaniem Dr WEB live CD i K-R-D odpada.

Twój problem to:

AVAST to wykrywa, ale nie usuwa. Skorzystaj z pomocy tego skanera - http://www.dobreprogramy.pl/Kaspersky-V ... 12768.html. Przed uruchomieniem skanowania zapnij pendriv'a

-- Dodane 22.10.2011 (So) 14:23 --

http://www.spywareremovelab.com/exe-i/ise32-exe.html, skaner usuwający ise32.exe


(Kowaliczka) #9

Po Kasperskim uruchomić jeszcze ten drugi program, który usuwa ise32?


(krzych5610) #10

Tak i to w trybie awaryjnym F8. Przetłumacz stronę ( ang ) z której jest pobierany skaner, można skorzystać z tego - http://translate.google.pl/?hl=pl&tab=wT.

Wrzucasz link strony do translatora i dajesz tłumacz.


(Acorus) #11

Odinstaluj Spybot - Search & Destroy, Yahoo! Toolbar.Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

Kliknij Wykonaj skrypt .Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij (Skanuj).

Pokaż nowy log OTL.txt oraz raport z usuwania.

Użyj USBFix http://www.teamxscript.org/usbfixTelechargement.htmlhttp://www.speedyshare.com/files/30067579/UsbFix.exe

Kliknij w nim na przycisk "DELETION" (jeśli jakiś folder nazwałeś muza lub muzyka to zmień na inną przed użyciem USBFix.).

Daj raport z tego narzędzia.


(Kowaliczka) #12

Podstawowy skan Kasperskim nic nie wykrył. Dopiero potem zauważyłam, że nie wszystko było zaznaczone w narzędziach do przeskanowania. Pewnie trwałoby to ze wszystkim parę godzin. Ale jeśli trzeba będzie - wykonam to zadanie. Proszę o potwierdzenie. Póki co zrobił tyle: http://wklej.to/O3v6Y . Uruchomić pełen skan?

W międzyczasie wezmę się za usuwanie Spybota. Jestem Wam bardzo wdzięczna...


(krzych5610) #13

Nie musisz.

Wykonaj zalecenia Acorusa

-- Dodane 23.10.2011 (N) 11:15 --

Witam.

Kilka informacji w temacie ise32.3xe

Do usunięcia z rejestru. Start / uruchom // regedit

Wyszukaj i usuń:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}]

StubPath = "c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe"

Te wpisy uruchamiają ise32.exe ze startem systemu.

Wirus próbuje uruchomić ścieżkę do serwera uuuu.ka3ek.com, korzystając z IRC portu nr 7000.

Zablokujesz próby połączeń wpisując w Protokół TCP/IP - DNS: 8.26.56.26 i 8.20.247.20 (COMODO )

Na stronie - http://net-studio.org/eng/patch/patch/8 ... 2-exe.html, jest dostępna (DOWNLOAD) łata na Windows.


(Kowaliczka) #14

Ech, boję się, że narozrabiałam. Pogubiłam się, w jakiej kolejności mam wykonywać kolejne polecenia.

Czekając na informację od krzycha5610 czy po Kasperskim uruchomić ten drugi program, który usuwa ise32, wzięłam się za wykonywanie poleceń Acorusa.

Odinstalowałam Spybota i Yahoo Toolbar!, uruchomiłam OTL z własnym (czyli podanym tutaj) skryptem..

Ściągnęłam i uruchomiłam USB Fix (mam raport ale komputer w tej chwili nie reaguje na próbę jego otwarcia - "Zasoby systemowe nie wystarczają do ukończenia żądanej usługi"). Wczoraj się otwierał.

Stwierdziłam, że zrobię wklejkę potem,razem z OTL). Doszłam również do wniosku, że skanowanie OTL zrobię po naprawie laptopa, poleconym wcześniej, programem usuwającym ise32.

Zgodnie z zaleceniami instalacyjnymi (przynajmniej tak zrozumiałam) miałam zainstalować program w trybie awaryjnym, wrócić do normalnego, po czym znów w awaryjnym uruchomić skanowanie. Wielokrotne próby takich działań kończyły się blokowaniem programu przez Avasta w momencie, kiedy wracałam do trybu normalnego (w międzyczasie ponawiałam instalację w awaryjnym, także po czyszczeniu rejestru CCleanerem). W końcu wróciłam do awaryjnego, zainstalowałam Spyware Cease kolejny raz i (już bez przejścia: tryb awaryjny - normalny - awaryjny) rozpoczęłam skanowanie. Po szybkim skanowaniu, które nic nie wykryło, program automatycznie przeszedł do skanowania szczegółowego. Chyba po 45 godzinach wymiękłam i zakończyłam pracę programu. Tym bardziej, że w przerażającej większości sprawdzane były pliki z katalogu dllcache. Nie mogłam nawet podglądnąć ile ich jest, bo nie ma tego katalogu bezpośrednio w system32, tylko LastGood(2)/system32. A tam takich plików brak. W końcu przerwałam Spyware Cease bo bałam się, że spędzę przy nim resztę życia.

Wykonałam skanowanie OTL-em, ale po dłuższym czekaniu raport się nie pojawił. Ponowna próba uruchomienia OTL kończy się komunikatem : Za mały przedział do przetworzenia tego polecenia.

Mam świadomość, że to co się dzieje w tej chwili jest efektem moich działań. Przepraszam za wszystko, co zrobiłam nie tak. Ale naprawdę miałam dobre intencje, tylko pogubiłam się w kolejności wykonywania Waszych poleceń. W tej chwili nie chcę pogorszyć sprawy, dlatego wstrzymuję się z ostatnimi wskazaniami krzycha5610, tym bardziej, że komputer przestaje reagować na jakiekolwiek moje działania. Pomóżcie proszę.


(krzych5610) #15

wykonaj n/w czynności:

  1. Zablokujesz próby połączeń ( wirus próbuje uruchomić ścieżkę do serwera uuuu.ka3ek.com, korzystając z IRC portu nr 7000. ) wpisując w Protokół TCP/IP - DNS: 8.26.56.26 i 8.20.247.20 (COMODO )

  2. Start / uruchom // regedit

Wyszukaj i usuń ( wykasuj ):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}]

StubPath = "c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe"

Po usunięciu wykonaj restart komputera.

PS. Jeżeli masz sprawną nagrywarkę to proszę o wykonanie skanowania za pomocą Kaspersky Rescude disk (ISO)- http://support.kaspersky.com/pl/faq/?qid=208282170

Skanowanie za pomocą Kaspersky Rescude Disk

Uruchom komputer z nagraną płytą w nagrywarce CD/DVD. Potwierdź w czasie 9s chęć skanowania, wybierz język komunikacji ( polski ), potwierdzić znajomość przepisów - litania tekstu. Na dole w pasku jest litera A ( pokazać i Enter )

Wchodzimy w menu partycji. Zaznaczasz wszystkie partycje. Wykonaj aktualizację baz skanera.

W ustawieniach odszukaj pozycje zaawansowane i tryb heurystyki ustaw na max.

Uruchom proces skanowania. Skanowanie wykonaj kilka razy.

Ten wirus jest wykrywany jako - Trojan-GameThief.Win32.OnLineGames.arww [Kaspersky Lab]


(Kowaliczka) #16

Nie bardzo rozumiem pkt 1. Czy mam otworzyć okno Comodo - Zapora - Definiuj blokowaną aplikację i w ścieżkę programu wpisać:

TCP/IP - DNS: 8.26.56.26 i 8.20.247.20 ?


(krzych5610) #17

Nie.

  1. Start / Panel Sterowania / Połączenia sieciowe i internetowe / Połączenia sieciowe / Sieć LAN lub szybki internet

  2. Wskazujesz aktywną ikonę połączeń sieci. Prawy przycisk na myszy -> Właściwości .

  3. W oknie które się pojawi, odnajdujesz Protokół internetowy TCP/IP

  4. Wskazanie ( lewy przycisk myszy ) - właściwości

  5. Otwiera się kolejne menu:

  6. wybierasz - Użyj następujących serwerów DNS:

  7. preferowany serwer DNS 8.26.56.26

  8. alternatywny serwer DNS 8.20.247.20

-- Dodane 24.10.2011 (Pn) 16:13 --

Od tej chwili twój komputer będzie łączył się z internetem pod nadzorem serwerów COMODO.


(Kowaliczka) #18

Na szczęście miałam Panel sterowania na pasku bo ze Startu nie mogłam go otworzyć. Chociaż z Połączeniami sieciowymi też był problem (raz - nieoczekiwany błąd, potem - za mało pamięci). Pomogła mi ikonka komputera na pasku (zdarzeń?). Ponieważ nagle zrobił mi się czysty ekran (cały niebieski), przeszłam do trybu awaryjnego i tam jakoś udało mi się zmienić te numery DNS. W regedit nie ma wartości, które kazałeś wykasować. Przeszłam do trybu normalnego, ale po jakimś czasie (chciałam się zalogować na forum), komputer mi się zawiesił. Jestem teraz znów w awaryjnym. Co dalej?

Przepraszam, że tyle to trwa ale sprzęt mi naprawdę wariuje.

Aha - z nagrywarką będzie kłopot, bo stacja dysków zepsuta - nie chce się zamknąć.


(krzych5610) #19

jak możesz uruchom ten skaner

http://www.eset.pl/Pobierz/Dodatkowe_na ... ne_Scanner


(Kowaliczka) #20

W awaryjnym czy spróbować normalnie?