ratava Opublikowano 11 Listopada 2009 Zgłoś Opublikowano 11 Listopada 2009 (edytowane) Mam uzasadnione podejrzenie, że ktoś wrzucił mi do systemu keyloggera. Sformatowałem komputer. Po sformatowaniu okazało się, że system operacyjny Windows XP wraz z AutoPatcher_XP_Feb2007_Polish_FULL + parę innych programów jak AVG antywirus i gg zajmują nieproporcjonalnie dużo miejsca, bo aż 8,92 GB! Czytałem w internecie, że taka zwiększona 'objętość' systemu operacyjnego może być efektem działalności rootkita. Objawów jako takich nie ma jedynie może to, że komputer po włączeniu i wyświetleniu pulpitu jakby się zacina na parę minut i dopiero po tym czasie mogę dokonać jakiejkolwiek akcji typu otwarcie folderu, połączenie z internetem itp. Zastanawiają mnie też zdarzenia, które zaczęły się dziać w momencie, gdy użyłem programu Icesword. Program się ściągnął, uruchomił (niestety jest on dość skomplikowany i nie potrafię go dobrze obsługiwać) i w nakładce "system check" pokazał coś takiego: http://img26.imageshack.us/i/icesword10112029.jpg/ Po chwili (zanim odszukałem w nim funkcję generowania logów) AVG wykrył Icesword jako backdoor/znany koń trojański, usunął, zrestartował (obecnie w przechowalni wirusów widnieje pozostałość po tej infekcji pod nazwą New Malware.z). Wydało mi się to dziwne, ponieważ pobrałem program ze strony producenta. Postanowiłem więc ściągnąć go ponownie i uruchomić. Najdziwniejsze jest to, że tym razem już AVG nie identyfikował go jako wirusa ( ! ), ale też w nakładce "system check" nie widać komunikatu HKEY_CLASSES_ROOT\htafile\shell\open\command: C:\WINDOWS\system32\mshta.exe "%1" %* (widoczny na zdjeciu podlinkowanym powyżej). Jest zwykły komunikat "complete". Log z gmer: http://wklej.org/id/202334/ Log OTL http://wklej.org/id/202339/ Log OTL Extras http://wklej.org/id/202344/ Log Hijackthis http://wklej.org/id/202342/ Edytowane 12 Listopada 2009 przez ratava Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
Kolobos Opublikowano 11 Listopada 2009 Zgłoś Opublikowano 11 Listopada 2009 Pewnie masz wlaczone przywracanie systemu, hibernacje i stad zajete miejsce. Zreszta co za problem zaznaczyc wszystko i sprawdzic co DOKLADNIE tyle zajmuje? Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
ULLISSES Opublikowano 11 Listopada 2009 Zgłoś Opublikowano 11 Listopada 2009 Jest AVG i jest Spybot. HJ o OTL wygląda na ok - tak na szybko. Przeleć Spybotem, dla pewności puść też Malwarebytes Anti Malware. Na koniec pomyśl o instalacji SP3 dla Windows. Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
ratava Opublikowano 12 Listopada 2009 Zgłoś Opublikowano 12 Listopada 2009 (edytowane) Cytat Pewnie masz wlaczone przywracanie systemu, hibernacje i stad zajete miejsce. Jesli jest to włączone automatycznie w świeżym systemie, to mozliwe, że mam to włączone. System świeżutki, ale nie w tym problem; czytałem, że może być to wynik działalności rootkita i pamietam też, że wcześniej system zajmował o wiele mniej miejsca. Cytat Zreszta co za problem zaznaczyc wszystko i sprawdzic co DOKLADNIE tyle zajmuje? Moja wiedza informatyczna jest raczkująca, ale z tego, co wiem (albo wydaje mi się, że wiem), to w przypadku takich spryciarzy jak choćby przykładowo Hacker Defender (a tym bardziej wersja komercyjna w wersji Golden) mógłbym sprawdzać, sprawdzać, a i tak bym nic nie sprawdził... przynajmniej nie żadnym programem skanującym i z tą wiedzą, którą posiadam. I tu pytanie do Was: czy logi z Gmera, OTL i hijackthis są wystarczającym źródłem informacji, aby wykluczyć rootkita? Ten wiadomo ukrywa szkodliwe procesy przed użytkownikiem komputera. Pytanie brzmi tylko: w jakim stopniu? Ze nie wykryje go skanowanie - to wiem, ale czy jego obecność byłaby widoczna w logach i mogłaby je odczytać osoba potrafiąca je czytać? No i czy rootkity zostają usunięte wraz z wgraniem nowego systemu czy mogą się również znajdować na pozostałych partycjach? Wirusa w MBR raczej wykluczam, bo wgrałem w kompa z dyskietki zrobionej na innym komputerze świeży MBR jeszcze przed formatowaniem. Co mogę zrobić aby zyskać pewność? Strasznie mnie ta cała sytuacja denerwuje (mało powiedziane) i bardzo proszę o pomoc. Przeleć Spybotem, dla pewności puść też Malwarebytes Anti Malware. Spybotem skanowałem i nic nie wykrył. Malwarebytes zapuszczę jutro (dziś już po prostu nie mam siły się dalej z tym męczyć). Dzieki za zainteresowanie i pozdrawiam 8O Edytowane 12 Listopada 2009 przez ratava Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
ULLISSES Opublikowano 12 Listopada 2009 Zgłoś Opublikowano 12 Listopada 2009 Tak, domyślnie jedno i drugie jest włączone. Poza tym domyślnie nie widać plików ukrytych oraz systemowych. Sam plik hibernacji pożera na dysku mniej więcej tyle GB, ile masz pamięci. Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
Kolobos Opublikowano 12 Listopada 2009 Zgłoś Opublikowano 12 Listopada 2009 Chyba wpadasz w paranoje. Wlacz pokazywanie plikow ukrytych oraz odznacz ukrywanie chroionionych i sprawdz co dokladnie zajmuje miejsce zamiast wymyslac jakies rootkity/keyloggery itp. Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
ratava Opublikowano 12 Listopada 2009 Zgłoś Opublikowano 12 Listopada 2009 (edytowane) ULLISSES napisał(a): Tak, domyślnie jedno i drugie jest włączone. Poza tym domyślnie nie widać plików ukrytych oraz systemowych. Sam plik hibernacji pożera na dysku mniej więcej tyle GB, ile masz pamięci. A gdzie mogę odznaczyć pliki ukryte i systemowe? Czy chodzi o Narzędzia->opcje folderów->widok->ukryte pliki i foldery->pokaż ukryte pliki i foldery? Pamięci 3GB. Kolobos napisał(a): Wlacz pokazywanie plikow ukrytych oraz odznacz ukrywanie chroionionych i sprawdz co dokladnie zajmuje miejsce zamiast wymyslac jakies rootkity/keyloggery itp. J.w. Gdzie odznaczyć ukrywanie plików chronionych? Kolobos napisał(a): Chyba wpadasz w paranoje. Myślę, że można tym słowem określić stan umysłu podczas gonienia za królikiem, którego nie widać. :] Z drugiej strony jednak dwa nowe programy zdaje się, że wskazują na rootkita kernel mode. System Virginity Verifier co prawda nie do końca wykrywa, ale już Rootkit Unhooker wskazuje na obecność rootkita. SVV: Pokazuje co prawda poziom zainfekowania niebieski czyli najniższy z możliwych, ale zastanawia mnie komunikat "Important module ntoskrnl.exe not found", który chyba nie powinien się pojawić, prawda? Wyniki Rootkit Unhooker: W nakładce SSDT programu zastosowałem "UnHookSelected" - usunęło, jednak po restarcie, podczas ponownego skanowania pojawiają się dokładnie te same cztery problemy. Dodatkowo, podczas usuwania lub po komputer sam się restartował. W nakładce Code Hooks prbowałem zrobić to samo. Oto wyniki przed i po Czasem "po" nie pokazuje żadnych wyników i komputer sam się resetuje, a czasem widnieje coś takiego ...i komputer się resetuje. Po restarcie i skanowaniu znów pojawiają sie te same wyniki. Chciałem jeszcze o czymś wspomnieć, bo może to ważne. Wyniki skanowania RU przedstawione na obrazkach wskazują na jakieś nieprawidłowości z plikami AVG Identity Protection. Wcześniej miałem (i cały czas mam) problem z odinstalowaniem AVG, co opisuję w tym temacie: http://forums.avg.com/pl-pl/avg-free-forum...id=641#post_641 Edytowane 12 Listopada 2009 przez ratava Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
Kolobos Opublikowano 12 Listopada 2009 Zgłoś Opublikowano 12 Listopada 2009 Nie uzywaj juz tych programow. Obie opcje ukrywania/pokazywania plikow ukrytych masz w opcjach folderow. Probowales: http://www.avg.com/us-en/download-tools ? Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
ratava Opublikowano 12 Listopada 2009 Zgłoś Opublikowano 12 Listopada 2009 Kolobos napisał(a): Nie uzywaj juz tych programow. Uważasz, że to fałszywy alarm? Co znaczą te wyniki? Kolobos napisał(a): Obie opcje ukrywania/pokazywania plikow ukrytych masz w opcjach folderow. Probowales: http://www.avg.com/us-en/download-tools ? Tak, próbowałem wczoraj AVGremover (drugi raz przed chwilą). I dzisiaj AVGIDPUninstaller. Nic to nie dało. 8O Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
Kolobos Opublikowano 12 Listopada 2009 Zgłoś Opublikowano 12 Listopada 2009 > Uważasz, że to fałszywy alarm? Co znaczą te wyniki? Tak, zostaw to juz. > Tak, próbowałem wczoraj AVGremover (drugi raz przed chwilą). I dzisiaj AVGIDPUninstaller. Nic to nie dało. Sprobuj uzyc obu programow w trybie awaryjnym. Jezeli dalej sobie nie poradza to zostaje opcja silowa tzn usuniecie wszystkiego przy pomocy OTL. Wklej do OTL taki skrypt: :OTL PRC - [2009-11-09 21:47:26 | 02,016,536 | ---- | M] (AVG Technologies CZ, s.r.o.) -- C:\Program Files\AVG\AVG9\avgtray.exe PRC - [2009-11-09 21:47:11 | 02,304,192 | ---- | M] (AVG Technologies CZ, s.r.o.) -- C:\Program Files\AVG\AVG9\avgfws9.exe PRC - [2009-11-09 21:40:54 | 01,055,000 | ---- | M] (AVG Technologies CZ, s.r.o.) -- C:\Program Files\AVG\AVG9\avgchsvx.exe PRC - [2009-11-09 21:40:54 | 00,702,744 | ---- | M] (AVG Technologies CZ, s.r.o.) -- C:\Program Files\AVG\AVG9\avgcsrvx.exe PRC - [2009-11-09 21:40:54 | 00,702,744 | ---- | M] (AVG Technologies CZ, s.r.o.) -- C:\Program Files\AVG\AVG9\avgcsrvx.exe PRC - [2009-11-09 21:40:54 | 00,702,744 | ---- | M] (AVG Technologies CZ, s.r.o.) -- C:\Program Files\AVG\AVG9\avgcsrvx.exe PRC - [2009-11-09 21:40:54 | 00,600,344 | ---- | M] (AVG Technologies CZ, s.r.o.) -- C:\Program Files\AVG\AVG9\avgnsx.exe PRC - [2009-11-09 21:40:54 | 00,502,040 | ---- | M] (AVG Technologies CZ, s.r.o.) -- C:\Program Files\AVG\AVG9\avgrsx.exe PRC - [2009-11-09 21:40:48 | 00,906,520 | ---- | M] (AVG Technologies CZ, s.r.o.) -- C:\Program Files\AVG\AVG9\avgemc.exe PRC - [2009-11-09 21:40:46 | 00,827,160 | ---- | M] (AVG Technologies CZ, s.r.o.) -- C:\Program Files\AVG\AVG9\avgam.exe PRC - [2009-11-09 21:40:45 | 00,285,392 | ---- | M] (AVG Technologies CZ, s.r.o.) -- C:\Program Files\AVG\AVG9\avgwdsvc.exe PRC - [2009-11-09 21:40:44 | 05,832,712 | ---- | M] (AVG Technologies CZ, s.r.o.) -- C:\Program Files\AVG\AVG9\Identity Protection\Agent\Bin\AVGIDSAgent.exe PRC - [2009-11-09 21:40:44 | 00,592,392 | ---- | M] (AVG Technologies CZ, s.r.o.) -- C:\Program Files\AVG\AVG9\Identity Protection\Agent\Bin\AVGIDSMonitor.exe O2 - BHO: (AVG Safe Search) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG9\avgssie.dll (AVG Technologies CZ, s.r.o.) O4 - HKLM..\Run: [AVG9_TRAY] C:\Program Files\AVG\AVG9\avgtray.exe (AVG Technologies CZ, s.r.o.) O4 - HKLM..\Run: [KernelFaultCheck] File not found O18 - Protocol\Handler\linkscanner {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG9\avgpp.dll (AVG Technologies CZ, s.r.o.) O20 - Winlogon\Notify\avgrsstarter: DllName - avgrsstx.dll - C:\WINDOWS\System32\avgrsstx.dll (AVG Technologies CZ, s.r.o.) :Services avgfws9 avg9emc avg9wd AVGIDSAgent AVGIDSErHrxpx AvgLdx86 AvgTdiX AvgMfx86 AvgRkx86 AVGIDSShimxpx AVGIDSDriverxpx AVGIDSFilterxpx AvgArCln Avgfwfd Avgfwdx "AVG Anti-Rootkit" :Files C:\Program Files\AVG\ C:\Program Files\GRISOFT\ C:\Program Files\Sophos\ C:\WINDOWS\System32\drivers\Avg\ C:\Documents and Settings\All Users\Dane aplikacji\avg9\ C:\$AVG C:\WINDOWS\System32\Drivers\avgtdix.sys C:\WINDOWS\System32\Drivers\avgldx86.sys C:\WINDOWS\System32\Drivers\avgmfx86.sys C:\WINDOWS\System32\Drivers\AVGIDSxx.sys C:\WINDOWS\System32\Drivers\avgrkx86.sys C:\WINDOWS\system32\drivers\AvgArCln.sys C:\WINDOWS\system32\drivers\avgfwdx.sys C:\WINDOWS\system32\drivers\avgfwdx.sys C:\WINDOWS\System32\DRIVERS\avgarkt.sys C:\WINDOWS\System32\drivers\avgtdix.sys C:\WINDOWS\System32\avgrsstx.dll C:\WINDOWS\System32\drivers\avgldx86.sys C:\WINDOWS\System32\drivers\avgmfx86.sys C:\WINDOWS\System32\drivers\AVGIDSxx.sys C:\WINDOWS\System32\drivers\avgrkx86.sys C:\WINDOWS\System32\avgfwdx.dll C:\WINDOWS\System32\drivers\avgfwdx.sys :Commands [emptytemp] [start explorer] [Reboot] Nacisnij Run Fix, po wykonaniu daj log, ktory sie utworzy oraz nowy log z OTL. Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
ULLISSES Opublikowano 12 Listopada 2009 Zgłoś Opublikowano 12 Listopada 2009 Nie chce się czepiać, ale nie prościej odinstalować AVG przez Dodaj/Usuń Programy? Tak właściwie to jego "ntfs-chains" widzi Unhook i są one tam w celu ukrycia antywirusa przed wirusami. Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
Kolobos Opublikowano 13 Listopada 2009 Zgłoś Opublikowano 13 Listopada 2009 Autor napisal, ze nie moze odinstalowac, wiec pewnie probowal tak oczywistej rzeczy jak dodaj-usun programy 8O Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
ratava Opublikowano 13 Listopada 2009 Zgłoś Opublikowano 13 Listopada 2009 Kolobos napisał(a): Sprobuj uzyc obu programow w trybie awaryjnym. Dzięki. Dało radę tym sposobem. 8O) Choć jakieś śmieci po AVG jeszcze pozostały. Usuwam je właśnie z rejestru. ULLISSES napisał(a): Nie chce się czepiać, ale nie prościej odinstalować AVG przez Dodaj/Usuń Programy? Tak właściwie to jego "ntfs-chains" widzi Unhook i są one tam w celu ukrycia antywirusa przed wirusami. Dobrze, a co byście powiedzieli w takim razie na to, że Rootkit Unhooker na prawie czystym systemie (znaczy bez antywirusa, jedynie z jakimiś śmieciami po AVG, gg i paroma skanującymi programami) dalej wykrywa rootkita? Combofix raport: http://wklej.org/id/203804/ W kwarantannie trzyma to: 2009-11-13 00:11:24 . 2009-11-13 00:11:24 962 ----a-w- C:\Qoobox\Quarantine\Registry_backups\AddRemove-Nowe Gadu-Gadu.reg.dat 2009-11-13 00:11:24 . 2009-11-13 00:11:24 1,066 ----a-w- C:\Qoobox\Quarantine\Registry_backups\AddRemove-Adobe Flash Player Plugin.reg.dat 2009-11-13 00:11:09 . 2009-11-13 00:11:09 378 ----a-w- C:\Qoobox\Quarantine\Registry_backups\Notify-avgrsstarter.reg.dat 2009-11-13 00:10:09 . 2009-11-13 00:25:35 6,949 ----a-w- C:\Qoobox\Quarantine\Registry_backups\tcpip.reg 2009-11-11 18:56:16 . 2009-11-13 00:23:20 204 ----a-w- C:\Qoobox\Quarantine\catchme.log 2004-08-03 22:39:54 . 2004-08-03 22:39:54 46,306 ----a-w- C:\Qoobox\Quarantine\C\WINDOWS\system32\ieuinit.inf.vir A System Virginity Verifier z przyczyn niewiadomych nadal nie może odczytać modułu ntoskrnl? Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
ULLISSES Opublikowano 13 Listopada 2009 Zgłoś Opublikowano 13 Listopada 2009 Mówisz o tym pliku od MS? W logu widać resztki AVG i innych antywirusów oraz jakiś MEMSWEEP2. Wejdź w tryb awaryjny. Przy pomocy Unlocker wywal katalog AVG. Poza tym włącz systemowe oczyszczanie dysku (nie kompresuj starych plików!). Na koniec użyj czyszczenia przez CCleanser - sprzątanie dysku i rejestrów. Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
Kolobos Opublikowano 13 Listopada 2009 Zgłoś Opublikowano 13 Listopada 2009 Pisalem Ci juz zebys nie uzywal tych programow, w ogole nie rozumiesz wynikow. Nie masz rootkitow! Nie masz tez wirusow ani innej infekcji! Odinstaluj te wsystkie programy: C:\svv c:\program files\Trend Micro C:\RootkitRevealer_1.7 C:\McAfee Rootkit Detective Uzyj CFScript.txt z combofix: File:: c:\windows\system32\FBD369D9.exe c:\windows\system32\0E3A878E.exe Folder:: c:\program files\Sophos C:\$AVG c:\documents and settings\All Users\Dane aplikacji\avg9 c:\documents and settings\m\Dane aplikacji\AVG9 Driver:: Avgfwdx Avgfwfd MEMSWEEP2 rkhdrv40 SSVCZ Po wszystkim daj log, ktory sie utowrzy. Wpisz w uruchom: combofix /u oraz wybierz w OTL CleanUp. Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...