Proszę o sprawdzenie logów (uparty rootkit...)

**Posty:** 4 · przez **kubazowsik** 04 Gru 2008, 14:52

Witam Was.

Moje bardzo intensywne sprawdzanie komputera zaczęło się od standardowej infekcji poprzez pendrive....

Ale NOD32 którego do tej pory używałem - nie radził sobie. Zainstalowałem AVG 8.0. i w wyniku skanowania pokazał mi rootkita. Zaznaczyłem usuń, reset i nic. Nadal tam siedzi.

Więc zacząłem szukać sposobów na usunięcie dziada z komputera, przeglądając fora. Instalowałem programy które miały skutecznie go usunąć, ale jedne widziały ale nie usuwały, a inne programy w ogóle nie widziały w moim komputerze rootkita.

Na tą chwilę, jedynie wg AVG infekcja jaką mam to właśnie rootkit.

- AVG 8.0.200 - pełen dokładny skan 04.12.2008

Object name: C:\WINDOWS\System32\Drivers\a29if6i6.SYS;"
Detection name: Hidden driver";
Object type: file
SDK Type: Rootkit
Result: Object is hidden

- AVG Anti-Rootkit Free 1.1.0.42 - skan 04.12.2008

C:\WINDOWS\System32\Drivers\a29if6i6.SYS

zaznaczyłem "remove selected items", reset i jest informacja o usunięciu rootkita z sukcesem. I faktycznie - tamtego dziada usunął. Ale w jego miejsce jest nowy:

C:\WINDOWS\System32\Drivers\a3etqpep.SYS

Zamknąłem skutecznie porty programami: Windows Worms Doors Cleaner oraz Seconfig XP.

Wyłączyłem przywracanie systemu.

Wyczyściłem tempy tym: ATF_Cleaner

Uruchomiłem ponownie AVG Anti-Rootkit Free, znalzał, usuwanie, reset, i .. inny hidden driver ...

Uruchomiłem "RemoveIT Pro v4 - SE", (szybki skan) znalazł dużo infekcji w sys32:

infected with sys32.gmer
infected with sys32.grep
infected with sys32.nircmd
infected with sys32.sed
infected with sys32.swreg
infected with sys32.swsc
infected with sys32.swxcacls
infected with sys32.vfind

Reset i w tym samym szybkim skanie nic nie znalazł .. Ale uruchominony ponownie AVG Anti-Rootkit Free ponownie znalazł hiddendriver. Kurcze - może ma tak być ???

Log z Combofix:
http://wklej.org/id/24594/

Log z Trend Micro HijackThis - v2.0.2 wygląda na dziś tak:
http://wklej.org/id/24595/

Silent Runners :
http://wklej.org/id/24596/

Z góry dziękuję za pomoc.
Kuba.

**Posty:** 18165 · przez **wojtas** 04 Gru 2008, 17:02

Zastosuj SDFix . Po pobraniu uruchom go a rozpakuje się do C:\SDFix. Uruchom komputer w trybie awaryjnym (F8 przy stracie systemu). Będąc w awaryjnym uruchom plik RunThis.bat z folderu SDFixa. Zatwierdź czyszczenie przez Y. Poczekaj aż ukończy i komputer zresetuje

Potem wejdz do folderu C:\SDFix wrzuc zawartość pliku Report.txt + log z combofixa oraz daj loga z hijacka oraz .Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum.

**Posty:** 4 · przez **kubazowsik** 05 Gru 2008, 12:48

Witam ponownie,
zastosowałem wskazówki i jest tak.

Log z SDfixa: http://wklej.org/id/24749/

późniejszy log z combofixa : http://wklej.org/id/24769/

oraz log z hijacka: http://wklej.org/id/24770/

Przeskanowanie komputera we wskazany sposób (online: http://www.kaspersky.pl/virusscanner.html) dało wynik:

piątek, 5 grudzień 2008
System operacyjny: Microsoft Windows XP Professional Dodatek Service Pack 3 (build 2600)
Wersja Kaspersky Online Scanner: 7.0.26.12
Data ostatniej aktualizacji bazy danych: Thursday, December 04, 2008 11:22:06
Liczba wpisów: 1436426

Typ bazy danych użytej do skanowania rozszerzona
Skanuj archiwa tak
Skanuj pocztowe bazy danych tak
Wirusy, robaki, trojany, rootkity
Spyware, adware, dialery i inne potencjalnie niebezpieczne programy

Przeskanowanych plików 498629
Nazwa zagrożenia 16
Zainfekowanych obiektów 31
Podejrzanych obiektów 0
Czas skanowania 07:16:34

Nie ma co tu wstawiać nazw wszystkich rzeczy, poniżej przykładowe (wszystko co zostało znalezione ma kategorię "not-a-virus"):

C:\Program Files\SnadBoy's Revelation v2\Revelation.exe Zainfekowany: not-a-virus:PSWTool.Win32.SnadBoy.2011 1
C:\Program Files\SnadBoy's Revelation v2\RevelationHelper.dll Zainfekowany: not-a-virus:PSWTool.Win32.SnadBoy.2011 1
I:\+tymczasowe\RevelationV2.zip Zainfekowany: not-a-virus:PSWTool.Win32.SnadBoy.2011 2
I:\+tymczasowe\RevelationV2\SetupRevelationV2.exe Zainfekowany: not-a-virus:PSWTool.Win32.SnadBoy.2011 2

Późniejsze (po skanowniu kasperskim online) przeskanowanie przez AVG Anti-Rootkit Free dało świeży wynik:
C:\WINDOWS\System32\Drivers\a7eepkif.SYS,Hidden driver file

czyli chyba u mnie nadal tak samo - mam trojana ...
Co zrobić ?????

**Posty:** 18165 · przez **wojtas** 05 Gru 2008, 20:40

sciagnij :

http://www.programosy.pl/program,dr-web-cureit.html

aktualizuj -> przeskanuj -> daj raport i nowy log z combo

**Posty:** 4 · przez **kubazowsik** 07 Gru 2008, 17:48

Witam,

Skanowanie C programem Dr.Web dało wynik:

- ComboFix.exe\32788R22FWJFW\C.bat - C:\Documents and Settings\Kuba Z\Pulpit\ComboFix.exe - Prawdopodobnie BATCH.Virus
- ComboFix.exe\32788R22FWJFW\psexec.cfexe - C:\Documents and Settings\Kuba Z\Pulpit\ComboFix.exe - Program.PsExec.171
- ComboFix.exe - C:\Documents and Settings\Kuba Z\Pulpit - Archiwum zawierające zainfekowane obiekty
- pv.exe - C:\Program Files\Hewlett-Packard\OrderReminder\uninstall - Program.PrcView.3741
- Revelation.exe - C:\Program Files\SnadBoy's Revelation v2 - Tool.PassRevel
- Process.exe - C:\SDFix\SDFix\apps - Tool.Prockill
- A0000011.bat - C:\System Volume Information\_restore{9BC7070B-CCBE-43B0-8DB3-71533AB8F5C7}\RP2 - Prawdopodobnie BATCH.Virus
- A0000250.exe\32788R22FWJFW\C.bat - C:\System Volume Information\_restore{9BC7070B-CCBE-43B0-8DB3-71533AB8F5C7}\RP2\A0000250.exe - Prawdopodobnie BATCH.Virus
- A0000250.exe\32788R22FWJFW\psexec.cfexe - C:\System Volume Information\_restore{9BC7070B-CCBE-43B0-8DB3-71533AB8F5C7}\RP2\A0000250.exe - Program.PsExec.171
- A0000250.exe - C:\System Volume Information\_restore{9BC7070B-CCBE-43B0-8DB3-71533AB8F5C7}\RP2 - Archiwum zawierające zainfekowane obiekty
- A0000267.bat - C:\System Volume Information\_restore{9BC7070B-CCBE-43B0-8DB3-71533AB8F5C7}\RP3 - Prawdopodobnie BATCH.Virus
- A0001255.EXE - C:\System Volume Information\_restore{9BC7070B-CCBE-43B0-8DB3-71533AB8F5C7}\RP3 - Program.PsExec.170
- A0001257.bat - C:\System Volume Information\_restore{9BC7070B-CCBE-43B0-8DB3-71533AB8F5C7}\RP3 - Prawdopodobnie BATCH.Virus

Aktualny log z combofixa: http://wklej.org/id/25272/

AVG Anti-Rootkit Free - nie znalazł żadnego rootkita .. - czy oznacza to że nie mam już problemu ?

Użyłem jeszcze programu: RootkitRevealer, skanowanie daje wynik w postaci wpisów z rejestru. Niestety nie mogę zapisać loga, bo natychmiast zawiesza mi komputer. Ale wykonałem zdjęcie i wygląda to tak: http://www.imagic.pl/public/pview/213152/IMG_2334.JPG

Pozdrawiam, Kuba.

**Posty:** 18165 · przez **wojtas** 07 Gru 2008, 18:13

Wyłącz przywracanie systemu ( właściwości mój komputer-zakładka przywracanie - wyłącz przywracanie na wszystkich dyskach) po chwili wlacz

Autor postu otrzymał pochwałę

**Posty:** 4 · przez **kubazowsik** 12 Gru 2008, 11:16

wyłączyłem, włączyłem przywracanie. Jedyne co znajdują programy z kategorii wirusów to "ComboFix.exe"

Chyba mogę uznać, że nie mam już upartego rootkita w tym komputerze. Pozostają jeszcze dwa pozostałe - które muszę odwirusować - ale przynajmniej już wiem jak.

Dziękuję !!!