Uparty rootkit


(Asus166) #1

witam!

wiec zacznę od tego ze jak codziennie gram sobie w CS :slight_smile: i nagle wyskoczył komunikat oto co wyskoczyło:

http://img200.imageshack.us/img200/5693/75317280.jpg pierwsze co wyskoczyło to co zaznaczyłem czarna ramka

ten wirus zawsze wyskakuje w tej samej kolejności, wyskakuje tak mniej więcej 5 do 10 razy dziennie

dodam ze używam AV: Avast 4.8 Pro

FW: ZoneAlarm Pro

log z HJ:http://wklej.org/id/101436/

log z ComboFix:http://wklej.org/id/101449/

ponieważ nie jestem jakimś dzieckiem neo który próbowałem googlowac ale żadna z odpowiedzi nie pomogła a wydaje mi się ze wasza witryna nawet jeśli nie będzie wiedziała zawsze pomoże wiec pisze tu

dodam ze skanowałem dysk avastem 2 razy gruntownym skanowaniem

combofixem chyba z 5-6 razy

i skanerami online kilka razy

( a zapomniałbym mam jeszcze 1 problem może i coś ma z tym nie wiem ale w menadżerze zadań mam zawsze 7 plików svchost.exe wiem ze to jest ważny plik i ze sie dzieli na kilka ale czasami 1 z nim się wyłącza -ten co najwięcej ciągnie jakieś 24k kb sam się wyłącza gdy się wyłączy net się odcina zmienia się kompozycja Windowsa na taka jakby z 98 po chwili się odświeża komputer kompozycja cały wygląd już działa ale neta nadal nie ma by internet działał muszę resetować komputer)

pozdrawiam! i proszę o pomoc


(Danielm86) #2

Wyłącz przywracanie systemu. Odpal główne okno Avasta/menu/ustaw skanowanie podczas rozruchu...

Pozamykaj porty programem Windows Worms Door Cleaner.

Widźę sporo zbędnych usług. Wpisz w google zbędne usługi i wejdź w bodajże 3 link wiodący do ciekawego artykułu na searchengines


(Henio Mazurek) #3

ComboFix się raz tylko używa i wkleja log z pierwszego skanu. I tak nic więcej sam nie usunie. Masz podpiętego szkodnika pod svchost stąd z nim problem. Wklej do notatnika

Zapisz jako CFScript.txt. Przeciągasz na ikonę ComboFix. Do pokazania log który powstanie.


(deFco247) #4

Ja bym radził do skryptu dorzucić:

File::

c:\windows\Internet Logs\xDB6.tmp

c:\windows\Internet Logs\xDB7.tmp

c:\windows\Internet Logs\xDB4.tmp

c:\windows\Internet Logs\xDB5.tmp

c:\windows\Internet Logs\xDB2.tmp

c:\windows\Internet Logs\xDB3.tmp


Driver::

GarenaPEngine

Czyli cały skrypt będzie taki:

Killall::


Driver::

avast!VSS

GarenaPEngine


File::

c:\windows\system32\wpv241237070981.cpx

c:\windows\Internet Logs\xDB6.tmp

c:\windows\Internet Logs\xDB7.tmp

c:\windows\Internet Logs\xDB4.tmp

c:\windows\Internet Logs\xDB5.tmp

c:\windows\Internet Logs\xDB2.tmp

c:\windows\Internet Logs\xDB3.tmp


Registry::

[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\avast!VSS]

(Henio Mazurek) #5

Nie wiem co to ten GarenaPEngine, ale to nic groźnego. Widać zresztą jaki ma zapis w logu.

Stąd pytanie do autora tematu czy to zna.


(deFco247) #6

W większości sytuacji wywalają tą usługę.

Tak jak tutaj: post1934310.html#p1934310

Uważam, że można to bez obaw wywalić.


(Henio Mazurek) #7

Mnie się wydaje, że to było instalowane celowo i ma jakiś związek z CS. Ale decyzja należy do autora tematu, oczywiście.


(Asus166) #8

GarenaPEngine to program coś podobnego do steam by grac ze znajomymi w gry typy CS czy WoW

a co do killall zaraz zrobie i dam loga

a to sa logi z Avasta:

http://wklej.org/id/101569/ (to jest aswBoot)

http://wklej.org/id/101570/ (aswAr)

kolejny log z CombiFix: http://wklej.org/id/101579/

powie mi ktoś jeszcze czemu combo usuną mi program do przyspieszenia internetu za który zapłaciłem i to nie mała sumę?? (cfosspeed)

-- Dodane 06.06.2009 (So) 14:17 --

:confused: nadal atakuje...


(Henio Mazurek) #9

No to przywróć cFosSpeed. Wchodzisz w C:\Qoobox, znajdujesz ten plik, usuwasz rozszerzenie .vir i wrzucasz go na swoje miejsce. ComboFix nie usunął całego programu.

Pokaż log z gmer

http://www.gmer.net/


(Asus166) #10

oto co znalazło

http://wklej.org/id/102230/

a i zapomniałem powiedzieć ze za każdym razem jak avast wykryje tego wirusa to jest w innym formacie raz *.jpg raz *.bmp i raz *.gif mniej więcej te formaty są ciągle


(Henio Mazurek) #11

Czy dopisywałeś coś do skryptu ComboFix'a, bo usunęło też sterownik Daemona (jest do przeinstalowania).

Poszukaj tego tajemniczego pliku x który wywala Avast w komunikacie i usuń.

Usuń zawartość folderów tymczasowych CCleaner'em lub przez ATF Cleaner.

Przeskanuj system Spybot'em.

Poza tym, nie wiem czy problem nie będzie siedział tu

Mogły zostać uszkodzone biblioteki podpięte pod winlogon i svchost co może prowadzić do restartów, samoczynnego zamykania svchost, no i rozłączania sieci.


(Asus166) #12

co do

c:\windows\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.dll

c:\windows\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.dll

c:\windows\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon.dll

to sa pliki by upodobnic mojego xp'eka do visty

skrypt w combo byl taki:

Killall::

Driver::

avast!VSS

File::

c:\windows\system32\wpv241237070981.cpx

c:\windows\Internet Logs\xDB6.tmp

c:\windows\Internet Logs\xDB7.tmp

c:\windows\Internet Logs\xDB4.tmp

c:\windows\Internet Logs\xDB5.tmp

c:\windows\Internet Logs\xDB2.tmp

c:\windows\Internet Logs\xDB3.tmp

Registry::

[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\avast!VSS]

plik x o którym mowa usuwałem go sam chyba z 3 razy a avastem ze 100 za kazdym razem avast usuną ten plik sprawdzałem!

jesli chodzi o spybot proszę mi polecić jakiś bo nie znam się na spybotach :slight_smile:


(Henio Mazurek) #13

Wiem, że to program upodobniający XP do Visty. Chodziło mi o to, że ingeruje w system i może co nieco popsuć.

A, że zamykany jest svchost to może świadczyć o jakiejś uszkodzonej bibliotece pod niego podpiętej. Gdyby to była biblioteka szkodnika to gmer powinien to wykryć a tutaj nic nie widać.

Chodziło mi o program Spybot Search&Destroy.

http://dobreprogramy.pl/index.php?dz=2& ... y+1.6.2.46

Wykonaj również skan tym

http://dobreprogramy.pl/index.php?dz=2& ... lware+1.37

Pozamykaj też robaczywe porty programem Windows Worm Door Cleaner.


(Asus166) #14

ok zrobię jak mówisz a co do tego programu upodobniającego nie ma mowy by on to robił ponieważ 3 dni temu reinstalowałem go a problem mam już z 1.5tygodnia

a i nie wiem czy to ma coś wspólnego ale zauważyłem dużą aktywność plików svchost.exe

39734722.jpg

i moze to jeszcze pomoze czasami wyskakuje ale zanim nacisnę usuń sam usuwam go z w32

18739794.jpg

-- Dodane 08.06.2009 (Pn) 15:03 --

on jest zawsze w tym samym miejscu:

68317730.jpg

-- Dodane 08.06.2009 (Pn) 15:46 --

oto logi z Spybot - Search Destroy

http://wklej.org/id/102869/

http://wklej.org/id/102870/

-- Dodane 08.06.2009 (Pn) 15:47 --

oczywiście wszystko usnąłem

-- Dodane 08.06.2009 (Pn) 15:56 --

log z Malwarebytes' Anti-Malware

http://wklej.org/id/102874/

nowy wirus typu rootkit w folerze temp

11388827.jpg


(Henio Mazurek) #15

Wg loga to on siedzi już co najmniej 1,5 tygodnia

Logi absolutnie nic nie pokazują. System jest czysty.

Może to fałszywe trafienie Avasta. Gdyby był tutaj rootkit to gmer + combofix by go pokazały, a tutaj nic nie ma.

Co do svchostów, to normalne, ze tyle ich jest. Dziwny jest rozmiar pamięci jaki zajmują, ale nie wiem jak się zachowuje zpatchowany system i może jest to normalne.

Jeszcze co mi przychodzi do głowy to dokładny skan DR.WEB CureIt

http://dobreprogramy.pl/index.php?dz=2& ... 00.4.05282

Poza tym za dużo złego naczytałem się o upiększaczach do XP by ich nie brać pod uwagę.


(Asus166) #16

hmm dziwne ale ten wirus chyba siedział gdzieś w rejestrze ponieważ nie wyskakują mnie już błędy dzięki za wszystko