Trojany, rootkity itd

Witam - podczas rutynowego skanu systemu malwarebytes znalazł mi pare świństw. Nie mam pojęcia co to i prosiłbym o radę, czy wystarczy usunąć je malwarebytesem (ponizej zalaczam screen i log) czy trzeba by kompa czymś jeszcze potraktować?

Pozdrawiam

log: http://wklej.org/id/295424/

malw.jpg

Teoretycznie prawie wszystko usunięte, ale jest jeden problem: ta infekcja bardzo często zaraża jakiś plik Systemowy (choć nie zawsze).

Dlatego proponuję zrobić log z ComboFix

Ewentualnie z OTL

ComboFix potrafi wykryć, który plik Systemowy jest zarażony, natomiast w OTL można się będzie tylko domyślać, który, po tym jaki się pojawił w logu w czasie infekcji.

jessi

Wrzucam na szybko log z OTL, jesli bedzie potrzeba to wrzuce jutro jeszcze ComboFixa, tylko bardzo bym prosil o szczegolowa instrukcje jak uzwyac combofixa (w sensie jak zrobic tylko log a nic samemu nie modyfikowac i naprawiać), bo z tego co slyszalem nieumiejetne uzywanie go moze miec niefajne skutki :stuck_out_tongue:

OTL: http://wklej.org/id/295595/

PS. napisals “ta infekcja”. O którą dokładnie chodzi :)? i jakie szkody moze wyrządzic?

PPS: puscilem jesZcze raz malwarebytes (tym razem tylko szybki skan, bo zaraz do rpacy wychodze) i ten rootkit agent zostal wykryty ponownie, dokladnie w tej samej lokalizacji.

PPPS: Takie jeszcze pytanko - zajrzalem do kwarantanny w MB i znalazlem tam ok 20 wpisow, czesto jeszcze z bardzo dawnych skanowan (nawet sprzed roku). Dalem “usuń wszystko” - dobrze zrobilem :P?

Pisząc o “tej infekcji” miałam na myśli tylko infekcję związaną z tym plikiem. To było tylko takie umowne określenie.

Ściągnij -->Avenger.

wklej do niego ten tekst:

Files to delete:

C:\WINDOWS\System32\drivers\qdnfv.sys

C:\WINDOWS\System32\fjhdyfhsn.bat

C:\Documents and Settings\Kuba\Dane aplikacji\rbuwzv.dat


Drivers to delete:

qdnfv

Kliknij w " Execute" i zatwierdź restart komputera.

Zrestartuj komputer.

Daj Raport z Avengera z C:\avenger.txt.

I jakiś nowy log.

W logu OTL nie widać żadnego pliku Systemowego z okresu infekcji, więc być może u Ciebie nie został zarażony żaden plik Systemowy.

jessi

Czyli combofixa nie uzywac juz? Prosilbym tez bardzo o odpowiedzi na pytania z “PSów” :stuck_out_tongue: Wiem ze sa glupie,ale naprawde jestem w tej tematyce zielony.

ComboFix użyjesz tylko w przypadku odrodzenia się infekcji.

Dobrze zrobiłeś usuwająć “rzeczy” z Kwarantanny MBAM.

jessi

Zrobilem jeszcze w miedzyczasie skan MBAM w trybie awaryjnym i znalazl jedna infekcje (wczesniej jej nie wykrywal) trojan bancos. Natomiast w tym pliku qdnfv.sys w trybie awaryjnym infekcji nie wykrywal.

Zrobilem avangera (zaznacze ze po resecie kompa system sam sie zrestartowal potem drugi raz, ale zakladam ze tak mialo byc :slight_smile: )

Ponizej log.

Avenger: http://wklej.org/id/296161/

I dalsze logi

OTL: http://wklej.org/id/296171/

HJThis: http://wklej.org/id/296174/

Wrzucic tez GMERa?

Uruchom OTL i w oknie Custom Scans/Fixes wklej to:

Kliknij w Run Fix.

Raczej nie powinno tak być, ale teraz to nieważne.

Te pół-Rootkity z tej infekcji w ogóle nie są na razie wykrywane przez żadne skanery - ale za jakiś czas nauczą się je wykrywać.

Jeśli masz ten log z GMER, to oczywiście pokaż.

jessi

ZRobiłem fix w OTL, poniżej log, ktory pokazał się po resecie:

http://wklej.org/id/296409/

GMER sobie gmera:P jak skonczy wrzuce log ( z tego co pamietam to trwa to długo) Mam tylko pytanie, czy w czasie skanowania GMERem moge normalnie używac komputera? I jeszcze wyczytalem ze GMERowi moga przekadzac wirtualne napewdy CD, czy powinienm odinstaloloac ALcohol 52?

Usuwanie OTL jest OK.

>UWAGA: OPROGRAMOWANIE EMULUJĄCE NAPĘDY

jessi

Uzyłem Defoggera (log ponizej) i puscilem skan GMERem. Czy teraz w trakcie skanowania mge normalnie korzystac z kompa?

Defogger: http://wklej.org/id/296703/

Tak, możesz.

Z GMER’a zrób też drugi log, na ustawieniu

>gmer>>Rootkit>>zaznacz tylko “Usługi” i “Pokaż wszystko”>>Szukaj>

Ten log powstaje bardzo szybko.

jessi

Przy robieniu pelnego skanu system mi sie zawiesil. Nie patrzylem dokladnie co sie dzialo, ale na dole W lini gdzie Gmer pokazuje co aktualnie robi pisalo cos w stylu /Cds. System calkowicie zamarl, nawet myszka nie można bylo ruszyc. Robie teraz ten szybki skan. Ponizej log. Czy robic jeszcze raz pelny skan?

http://wklej.org/id/296742/

Dodane 14.03.2010 (N) 20:00

Niestety przy pelnym skanowaniu GMER zawiesza sie zawsze w tym samym momencie. Podczas skanowania “/Cdfs”

Dodane 14.03.2010 (N) 20:15

Zrobiłem eksperyment i okazuje sie, ze po uzyciu opcji “re-enable” w deffogerze, GMER juz sie nie zawiesza. Wyswietla tez znaaacznie więcej komunikatów w oknie z logiem. Pytanie tylko czyjest sens go uzywac w takiej sytuacji? Ew czy bede zmusozny uzyc jakiejs innej opcji niz deffoger aby usunac slady alcohola z komputera?

W logu nie widać żadnego Rootkita, więc drugi log już nie jest potrzebny - tym bardziej że zrobienie go jest takie problemowe.

jessi

Czyli juz wszyko powinno byc OK?:stuck_out_tongue: Puscic jeszcze raz skan MBAM? (jesli tak to w trybie awaryjnym czy normalnie?)

Możesz użyć MBAM, i to obojętnie w jakim Trybie.

jessi