Zawiechy komputera + rootkit


(Lukaszb163) #1

Witam. Od jakiegoś czasu mam problem z moim komputerem. Co chwila się zawiesza (wraz z myszką). Na początku (bo problem zaczął się od tygodnia) zawieszał się np. co kilka godzin ,a teraz nawet nie zdążę włączyć firefoxa. Postanowiłem więc odpalić system (Windows XP Professional) w trybie awaryjnym z obsługą sieci. Na początku myślałem ,że jest coś z sprzętem ,ale w trybie awaryjnym w ogóle się nie zawieszał. Odpaliłem gmera i niestety wystąpił komunikat:

UWAGA!


GMER odnalazł modyfikacje systemu, które mogły zostać dokonane przez ROOTKIT'a.



Czy chcesz dokładnie przeszukać system ?

[/code]
 

Po naciśnięciu Tak zrestartował mi się komputer...



Oto log z GMERa:

[code]GMER 1.0.14.14536 - http://www.gmer.net Rootkit scan 2009-06-21 16:45:05 Windows 5.1.2600 Dodatek Service Pack 2 ---- Devices - GMER 1.0.14 ---- AttachedDevice \Driver\Tcpip \Device\Ip epfwtdi.sys (Eset Personal Firewall TDI filter/ESET) AttachedDevice \Driver\Tcpip \Device\Tcp epfwtdi.sys (Eset Personal Firewall TDI filter/ESET) AttachedDevice \Driver\Tcpip \Device\Udp epfwtdi.sys (Eset Personal Firewall TDI filter/ESET) AttachedDevice \Driver\Tcpip \Device\RawIp epfwtdi.sys (Eset Personal Firewall TDI filter/ESET) ---- Services - GMER 1.0.14 ---- Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [AUTO] ybeeyulw <-- ROOTKIT !!Z ciekawości odpaliłem GMERa na drugim komputerze (Windows XP Professional, brak internetu, problem na nim z zawiechami NIE WYSTĘPUJE) i o dziwo pojawił się ten sam komunikat co wcześniej:

UWAGA!


GMER odnalazł modyfikacje systemu, które mogły zostać dokonane przez ROOTKIT'a.



Czy chcesz dokładnie przeszukać system ?

[/code]
 



,a w logach GMERa:

[code]GMER 1.0.14.14536 - http://www.gmer.net Rootkit scan 2009-06-21 16:48:15 Windows 5.1.2600 Dodatek Service Pack 2 ---- System - GMER 1.0.14 ---- SSDT spzj.sys ZwEnumerateKey [0xBA6C8CA2] SSDT spzj.sys ZwEnumerateValueKey [0xBA6C9030] ---- Devices - GMER 1.0.14 ---- Device \FileSystem\Ntfs \Ntfs 89DE21F8 Device \FileSystem\Fastfat \Fat 88DB21F8 Device \FileSystem\Fastfat \Fat 89C02AEC ---- Modules - GMER 1.0.14 ---- Module _________ BA5D2000-BA5EA000 (98304 bytes) ---- Services - GMER 1.0.14 ---- Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [AUTO] gbmtfw -- ROOTKIT !!

Dane między tymi komputerami przenosiłem dyskietkami, pendrive ,a także płytami więc mogło się coś przedostać na inny komputer. Nie wiem co robić więc proszę Was o pomoc. Z góry dzięki.


(Henio Mazurek) #2

1 komputer

Wklej do notatnika

2 komputer

Wklej do notatnika

Oba pliki zapisujesz jako CFScript.txt.

Pobierasz ComboFix, na wszelki wypadek zmieniasz mu nazwę.

viewtopic.php?p=1170959#p1170959

Podczas pobierania i skanu ComboFix'em wyłącz antywirusa i zapory.

Przeciągasz pliki CFScript.txt na ikonę ComboFix'a. Powstanie log, który tu dasz.

Log wklej na www.wklej.org a tutaj link tylko.


(Lukaszb163) #3

Logi z Combofixa:

1 komputer:

http://wklej.org/id/109635/

2 komputer:

http://wklej.org/id/109637/


(Henio Mazurek) #4

1 komputer

Wklej do notatnika

2 Komputer

Tutaj jakby większość zeszła, ale i tak skrypt do zastosowania

Powtarzasz z CFScript. Wklejasz powstałe logi.


(Lukaszb163) #5

1 komputer:

http://www.wklej.org/id/109781/

2 komputer:

http://www.wklej.org/id/109782/


(Henio Mazurek) #6

1 komputer

Ciężko schodzi. Wklej do notatnika

Tym razem operację z CFScript zrób w trybie awaryjnym. Pokaż log z usuwania.

2 komputer

Wygląda na to, że tutaj jest już czysto.

Wpisz w Start => Uruchom Combofix /u lub ręcznie usuń folder C:\Qoobox i instalkę Combofix z dysku.

Wyłącz na chwilę przywracanie systemu.

Wykonaj dokładny skan Malwarebytes Anti-Malware, jeśli coś znajdzie - usuń i wklej log.

http://dobreprogramy.pl/index.php?dz=2& ... lware+1.37

Przeczyść rejestr CCleaner'em

http://dobreprogramy.pl/index.php?dz=2& ... +v2.19.901


(Lukaszb163) #7

1 komputer (log z combofix w trybie awaryjnym z obsługą sieci)

http://wklej.org/id/109990/

Co do 2 komputera to jeszcze się skanuje. Jak się skończy to dam loga.


(Henio Mazurek) #8

Widzę, że tak to można sobie wojować w nieskończoność.

Do zastosowania w trybie awaryjnym programy z tej strony

http://www.heise-online.pl/news/Narzedz ... era--/7886

Potem nowo robiony log z ComboFix.


(Lukaszb163) #9

1 komputer

Zastosowałem tylko narzędzie firmy BitDefender ,gdyż tylko ich strona działała mi (inne prawdopodobnie zablokowane były przez tego robaka)

log z combofix (po zastosowaniu narzędzia od BitDefender)

http://wklej.org/id/110028/

Teraz działają mi te 2 inne strony (symantec i f-secure). Mam odpalić pozostałe narzędzia do usuwania tego robala?

2 komputer

http://wklej.org/id/110033/

Mam nacisnąć "Usuń zaznaczone" w MalwareBytes?


(Henio Mazurek) #10

1 komputer, tak odpal je, oba, zobaczymy co będzie. Potem nowy log z ComboFix.

2 komputer Tak, usuń, nic więcej nie ma.


(Lukaszb163) #11

Kurcze może być problem z tym robakiem. Ściągnąłem co prawda już narzędzia od 2 firm: Symantec i BitDefender. Ale co to da jak po 5 minutach włączonego komputera znowu zostają blokowane strony... Myślę ,że ktoś z mojej sieci (radiówka) ma też Confickera i mnie infekuje. Co do 2 komputera to znowu coś weszło tam ;/. Włączam gmera ,a tam znowu coś z rootkitem... Co mam robić ?


(Henio Mazurek) #12

Możliwe. Pokaż jeszcze log ComboFix i gmer z drugiego komputera.

Pobierz WWDC, ale jeszcze nie uruchamiaj

http://dobreprogramy.pl/index.php?dz=2& ... aner+1.4.1

Zrób nowy log ComboFix na 1 kompie i go pokaż.


(Lukaszb163) #13

Logi z ComboFix (bez włączania Worm Door Cleanera)

1 komputer

http://wklej.org/id/110075/

2 komputer

combofix:

http://wklej.org/id/110076/

gmer:

http://wklej.org/id/110077/


(Henio Mazurek) #14

Faktycznie to powróciło. A na 1 komputerze stale powstają nowe wpisy.

Zobaczymy co będzie bez zabijania procesów.

1 komputer

2 komputer

Operacje tym razem przeprowadzasz przy wyłączonym kablu sieciowym. Wklejasz powstałe logi.

Uruchamiasz WWDC i zamykasz nim wszystkie porty, NetBios może być na żółto.

Skanujesz dysk dokładnie tymi programami co pobrałeś i Malwarebytes Anti-Malware.


(Lukaszb163) #15

Dobra załóżmy ,że wszystko na 1 komputerze zrobię z wyłączonym kablem sieciowym. Ale jaki jest sens ,jeżeli po podłączeniu kabla znów robal się zainstaluje? Jak mam zabezpieczyć swój komputer przed tym Confickerem? Czytałem ,że jest łata Microsoftu ,ale nie mogę jej pobrać bo Conficker blokuje mi stronę Microsoftu

Co do 2 komputera, to tylko ComboFixa na nim odpalić tak? Myślę ,że wirus przedostał się przez to ,że pendrivem zgrywałem programy takie jak MalwareBytes oraz CCLeaner.


(Henio Mazurek) #16

Pobierz i uruchom FlashDisinfector z podłączonym pendrivem, to go zabezpieczy

http://www.searchengines.pl/index.php?s ... ntry369724

Co do infekcji. Rzeczywiście dość to dziwne, wchodzi niespotykanie łatwo i szybko powraca, już takie usuwałem i jak nie za pierwszym to za drugim razem poszło. Po pierwsze musisz sprawić sobie dobrego firewalla. Infekcja może być przenoszona w sieci lub na pendrivie, dlatego najlepiej jest go jednak sformatować.

Zobacz te strony

http://www.heise-online.pl/security/Str ... tures/8186

http://www.bezpieczenstwosystemow.pl/in ... pic=4809.0


(Lukaszb163) #17

Odpaliłem FlashDisinfectora na 2 komputerze ,a także ComboFixa z komendami jakimi wcześniej podałeś. Oto log:

http://wklej.org/id/110113/

Zaciekawił mnie pewien folder na moim pendrive o nazwie "RECYCLER" z atrybutem ukryty ,a w nim następny folder z jakimiś dziwnymi cyframi ,a w tym folderze plik z rozszerzeniem *.vtx (jakoś tak). Czy powinienem go usunąć?

Co do 1 komputera to nie mam pojęcia co robić. I mam jeszcze pytanie. Czy Conficker potrafi infekować pliki?

\edit

Zauważyłem ,że dzięki proxy (hells.pl) mogę odwiedzać blokowane strony przez Confickera, więc może uda mi się ściągnąć poprawkę. Ale czy Conficker nic nie zrobi po wykryciu ,że włączam instalkę poprawki?


(Henio Mazurek) #18

Dobra, na drugim kompie czysto.

Usuń ten folder, to jest świństwo imitujące kosz systemowy. Zazwyczaj w nim wędrują infekcje.

Nie wygląda na to. Aczkolwiek musisz coś robić co prowadzi do wtórnych infekcji. Praktycznie za każdym razem jak dawałeś log to tego świństwa było coraz więcej. To mogło wędrować przez pendrive, mogło przez sieć.

Tutaj potrzebny jest dobry firewall przede wszystkim.

Bo ja mogę usuwać, ale wszystko po chwili wraca.


(Lukaszb163) #19

Jakiego polecasz na taki sprzęt ,aby zbytnio nie mulił i odparł atak Confickera?

Procesor: Intel Celeron 701 MHz

RAM: 160 MB


(96jasio96) #20

COMODO Firewall .