Skocz do zawartości
ratava

Proszę O Sprawdzenie Logów Pod Kątem Rootkit+keylogger/spy

Rekomendowane odpowiedzi

Mam uzasadnione podejrzenie, że ktoś wrzucił mi do systemu keyloggera. Sformatowałem komputer. Po sformatowaniu okazało się, że system operacyjny Windows XP wraz z AutoPatcher_XP_Feb2007_Polish_FULL + parę innych programów jak AVG antywirus i gg zajmują nieproporcjonalnie dużo miejsca, bo aż 8,92 GB! Czytałem w internecie, że taka zwiększona 'objętość' systemu operacyjnego może być efektem działalności rootkita.

 

Objawów jako takich nie ma jedynie może to, że komputer po włączeniu i wyświetleniu pulpitu jakby się zacina na parę minut i dopiero po tym czasie mogę dokonać jakiejkolwiek akcji typu otwarcie folderu, połączenie z internetem itp.

 

Zastanawiają mnie też zdarzenia, które zaczęły się dziać w momencie, gdy użyłem programu Icesword. Program się ściągnął, uruchomił (niestety jest on dość skomplikowany i nie potrafię go dobrze obsługiwać) i w nakładce "system check" pokazał coś takiego:

 

http://img26.imageshack.us/i/icesword10112029.jpg/

 

Po chwili (zanim odszukałem w nim funkcję generowania logów) AVG wykrył Icesword jako backdoor/znany koń trojański, usunął, zrestartował (obecnie w przechowalni wirusów widnieje pozostałość po tej infekcji pod nazwą New Malware.z). Wydało mi się to dziwne, ponieważ pobrałem program ze strony producenta. Postanowiłem więc ściągnąć go ponownie i uruchomić. Najdziwniejsze jest to, że tym razem już AVG nie identyfikował go jako wirusa ( ! ), ale też w nakładce "system check" nie widać komunikatu HKEY_CLASSES_ROOT\htafile\shell\open\command: C:\WINDOWS\system32\mshta.exe "%1" %* (widoczny na zdjeciu podlinkowanym powyżej). Jest zwykły komunikat "complete".

 

Dołączona grafikaDołączona grafika

 

 

Log z gmer:

http://wklej.org/id/202334/

 

Log OTL

http://wklej.org/id/202339/

 

Log OTL Extras

http://wklej.org/id/202344/

 

Log Hijackthis

http://wklej.org/id/202342/

Edytowane przez ratava

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

  Cytat

Pewnie masz wlaczone przywracanie systemu, hibernacje i stad zajete miejsce.

Jesli jest to włączone automatycznie w świeżym systemie, to mozliwe, że mam to włączone. System świeżutki, ale nie w tym problem; czytałem, że może być to wynik działalności rootkita i pamietam też, że wcześniej system zajmował o wiele mniej miejsca.

 

  Cytat

Zreszta co za problem zaznaczyc wszystko i sprawdzic co DOKLADNIE tyle zajmuje?

Moja wiedza informatyczna jest raczkująca, ale z tego, co wiem (albo wydaje mi się, że wiem), to w przypadku takich spryciarzy jak choćby przykładowo Hacker Defender (a tym bardziej wersja komercyjna w wersji Golden) mógłbym sprawdzać, sprawdzać, a i tak bym nic nie sprawdził... przynajmniej nie żadnym programem skanującym i z tą wiedzą, którą posiadam. I tu pytanie do Was: czy logi z Gmera, OTL i hijackthis są wystarczającym źródłem informacji, aby wykluczyć rootkita? Ten wiadomo ukrywa szkodliwe procesy przed użytkownikiem komputera. Pytanie brzmi tylko: w jakim stopniu? Ze nie wykryje go skanowanie - to wiem, ale czy jego obecność byłaby widoczna w logach i mogłaby je odczytać osoba potrafiąca je czytać?

 

No i czy rootkity zostają usunięte wraz z wgraniem nowego systemu czy mogą się również znajdować na pozostałych partycjach? Wirusa w MBR raczej wykluczam, bo wgrałem w kompa z dyskietki zrobionej na innym komputerze świeży MBR jeszcze przed formatowaniem.

 

Co mogę zrobić aby zyskać pewność? Strasznie mnie ta cała sytuacja denerwuje (mało powiedziane) i bardzo proszę o pomoc.

 

Przeleć Spybotem, dla pewności puść też Malwarebytes Anti Malware.

Spybotem skanowałem i nic nie wykrył. Malwarebytes zapuszczę jutro (dziś już po prostu nie mam siły się dalej z tym męczyć).

 

Dzieki za zainteresowanie i pozdrawiam 8O

Edytowane przez ratava

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

  ULLISSES napisał(a):

Tak, domyślnie jedno i drugie jest włączone.

Poza tym domyślnie nie widać plików ukrytych oraz systemowych.

Sam plik hibernacji pożera na dysku mniej więcej tyle GB, ile masz pamięci.

A gdzie mogę odznaczyć pliki ukryte i systemowe? Czy chodzi o Narzędzia->opcje folderów->widok->ukryte pliki i foldery->pokaż ukryte pliki i foldery?

Pamięci 3GB.

 

  Kolobos napisał(a):

Wlacz pokazywanie plikow ukrytych oraz odznacz ukrywanie chroionionych i sprawdz co dokladnie zajmuje miejsce zamiast wymyslac jakies rootkity/keyloggery itp.

J.w. Gdzie odznaczyć ukrywanie plików chronionych?

 

  Kolobos napisał(a):

Chyba wpadasz w paranoje.

Myślę, że można tym słowem określić stan umysłu podczas gonienia za królikiem, którego nie widać. :]

 

Z drugiej strony jednak dwa nowe programy zdaje się, że wskazują na rootkita kernel mode.

 

System Virginity Verifier co prawda nie do końca wykrywa, ale już Rootkit Unhooker wskazuje na obecność rootkita.

 

SVV: Dołączona grafika

 

Pokazuje co prawda poziom zainfekowania niebieski czyli najniższy z możliwych, ale zastanawia mnie komunikat

"Important module ntoskrnl.exe not found", który chyba nie powinien się pojawić, prawda?

 

Wyniki Rootkit Unhooker:

 

Dołączona grafika

 

W nakładce SSDT programu zastosowałem "UnHookSelected" - usunęło, jednak po restarcie, podczas ponownego skanowania pojawiają się dokładnie te same cztery problemy. Dodatkowo, podczas usuwania lub po komputer sam się restartował.

 

Dołączona grafikaDołączona grafika

 

W nakładce Code Hooks prbowałem zrobić to samo. Oto wyniki przed i po

 

Dołączona grafika

 

Czasem "po" nie pokazuje żadnych wyników i komputer sam się resetuje, a czasem widnieje coś takiego

 

Dołączona grafika

 

...i komputer się resetuje. Po restarcie i skanowaniu znów pojawiają sie te same wyniki.

 

Chciałem jeszcze o czymś wspomnieć, bo może to ważne. Wyniki skanowania RU przedstawione na obrazkach wskazują na jakieś nieprawidłowości z plikami AVG Identity Protection. Wcześniej miałem (i cały czas mam) problem z odinstalowaniem AVG, co opisuję w tym temacie:

 

http://forums.avg.com/pl-pl/avg-free-forum...id=641#post_641

Edytowane przez ratava

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

  Kolobos napisał(a):

Nie uzywaj juz tych programow.

Uważasz, że to fałszywy alarm? Co znaczą te wyniki?

 

  Kolobos napisał(a):

Obie opcje ukrywania/pokazywania plikow ukrytych masz w opcjach folderow.

 

Probowales: http://www.avg.com/us-en/download-tools ?

Tak, próbowałem wczoraj AVGremover (drugi raz przed chwilą). I dzisiaj AVGIDPUninstaller. Nic to nie dało. 8O

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

> Uważasz, że to fałszywy alarm? Co znaczą te wyniki?

 

Tak, zostaw to juz.

 

> Tak, próbowałem wczoraj AVGremover (drugi raz przed chwilą). I dzisiaj AVGIDPUninstaller. Nic to nie dało.

 

Sprobuj uzyc obu programow w trybie awaryjnym.

Jezeli dalej sobie nie poradza to zostaje opcja silowa tzn usuniecie wszystkiego przy pomocy OTL.

 

Wklej do OTL taki skrypt:

 

:OTL

PRC - [2009-11-09 21:47:26 | 02,016,536 | ---- | M] (AVG Technologies CZ, s.r.o.) -- C:\Program Files\AVG\AVG9\avgtray.exe

PRC - [2009-11-09 21:47:11 | 02,304,192 | ---- | M] (AVG Technologies CZ, s.r.o.) -- C:\Program Files\AVG\AVG9\avgfws9.exe

PRC - [2009-11-09 21:40:54 | 01,055,000 | ---- | M] (AVG Technologies CZ, s.r.o.) -- C:\Program Files\AVG\AVG9\avgchsvx.exe

PRC - [2009-11-09 21:40:54 | 00,702,744 | ---- | M] (AVG Technologies CZ, s.r.o.) -- C:\Program Files\AVG\AVG9\avgcsrvx.exe

PRC - [2009-11-09 21:40:54 | 00,702,744 | ---- | M] (AVG Technologies CZ, s.r.o.) -- C:\Program Files\AVG\AVG9\avgcsrvx.exe

PRC - [2009-11-09 21:40:54 | 00,702,744 | ---- | M] (AVG Technologies CZ, s.r.o.) -- C:\Program Files\AVG\AVG9\avgcsrvx.exe

PRC - [2009-11-09 21:40:54 | 00,600,344 | ---- | M] (AVG Technologies CZ, s.r.o.) -- C:\Program Files\AVG\AVG9\avgnsx.exe

PRC - [2009-11-09 21:40:54 | 00,502,040 | ---- | M] (AVG Technologies CZ, s.r.o.) -- C:\Program Files\AVG\AVG9\avgrsx.exe

PRC - [2009-11-09 21:40:48 | 00,906,520 | ---- | M] (AVG Technologies CZ, s.r.o.) -- C:\Program Files\AVG\AVG9\avgemc.exe

PRC - [2009-11-09 21:40:46 | 00,827,160 | ---- | M] (AVG Technologies CZ, s.r.o.) -- C:\Program Files\AVG\AVG9\avgam.exe

PRC - [2009-11-09 21:40:45 | 00,285,392 | ---- | M] (AVG Technologies CZ, s.r.o.) -- C:\Program Files\AVG\AVG9\avgwdsvc.exe

PRC - [2009-11-09 21:40:44 | 05,832,712 | ---- | M] (AVG Technologies CZ, s.r.o.) -- C:\Program Files\AVG\AVG9\Identity Protection\Agent\Bin\AVGIDSAgent.exe

PRC - [2009-11-09 21:40:44 | 00,592,392 | ---- | M] (AVG Technologies CZ, s.r.o.) -- C:\Program Files\AVG\AVG9\Identity Protection\Agent\Bin\AVGIDSMonitor.exe

O2 - BHO: (AVG Safe Search) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG9\avgssie.dll (AVG Technologies CZ, s.r.o.)

O4 - HKLM..\Run: [AVG9_TRAY] C:\Program Files\AVG\AVG9\avgtray.exe (AVG Technologies CZ, s.r.o.)

O4 - HKLM..\Run: [KernelFaultCheck] File not found

O18 - Protocol\Handler\linkscanner {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG9\avgpp.dll (AVG Technologies CZ, s.r.o.)

O20 - Winlogon\Notify\avgrsstarter: DllName - avgrsstx.dll - C:\WINDOWS\System32\avgrsstx.dll (AVG Technologies CZ, s.r.o.)

 

:Services

avgfws9

avg9emc

avg9wd

AVGIDSAgent

AVGIDSErHrxpx

AvgLdx86

AvgTdiX

AvgMfx86

AvgRkx86

AVGIDSShimxpx

AVGIDSDriverxpx

AVGIDSFilterxpx

AvgArCln

Avgfwfd

Avgfwdx

"AVG Anti-Rootkit"

 

:Files

C:\Program Files\AVG\

C:\Program Files\GRISOFT\

C:\Program Files\Sophos\

C:\WINDOWS\System32\drivers\Avg\

C:\Documents and Settings\All Users\Dane aplikacji\avg9\

C:\$AVG

C:\WINDOWS\System32\Drivers\avgtdix.sys

C:\WINDOWS\System32\Drivers\avgldx86.sys

C:\WINDOWS\System32\Drivers\avgmfx86.sys

C:\WINDOWS\System32\Drivers\AVGIDSxx.sys

C:\WINDOWS\System32\Drivers\avgrkx86.sys

C:\WINDOWS\system32\drivers\AvgArCln.sys

C:\WINDOWS\system32\drivers\avgfwdx.sys

C:\WINDOWS\system32\drivers\avgfwdx.sys

C:\WINDOWS\System32\DRIVERS\avgarkt.sys

C:\WINDOWS\System32\drivers\avgtdix.sys

C:\WINDOWS\System32\avgrsstx.dll

C:\WINDOWS\System32\drivers\avgldx86.sys

C:\WINDOWS\System32\drivers\avgmfx86.sys

C:\WINDOWS\System32\drivers\AVGIDSxx.sys

C:\WINDOWS\System32\drivers\avgrkx86.sys

C:\WINDOWS\System32\avgfwdx.dll

C:\WINDOWS\System32\drivers\avgfwdx.sys

 

:Commands

[emptytemp]

[start explorer]

[Reboot]

 

Nacisnij Run Fix, po wykonaniu daj log, ktory sie utworzy oraz nowy log z OTL.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

  Kolobos napisał(a):

Sprobuj uzyc obu programow w trybie awaryjnym.

Dzięki. Dało radę tym sposobem. 8O)

Choć jakieś śmieci po AVG jeszcze pozostały. Usuwam je właśnie z rejestru.

 

 

  ULLISSES napisał(a):

Nie chce się czepiać, ale nie prościej odinstalować AVG przez Dodaj/Usuń Programy?

 

Tak właściwie to jego "ntfs-chains" widzi Unhook i są one tam w celu ukrycia antywirusa przed wirusami.

Dobrze, a co byście powiedzieli w takim razie na to, że Rootkit Unhooker na prawie czystym systemie (znaczy bez antywirusa, jedynie z jakimiś śmieciami po AVG, gg i paroma skanującymi programami) dalej wykrywa rootkita?

 

Dołączona grafika

 

Combofix raport:

http://wklej.org/id/203804/

 

W kwarantannie trzyma to:

2009-11-13 00:11:24 . 2009-11-13 00:11:24 962 ----a-w- C:\Qoobox\Quarantine\Registry_backups\AddRemove-Nowe Gadu-Gadu.reg.dat

2009-11-13 00:11:24 . 2009-11-13 00:11:24 1,066 ----a-w- C:\Qoobox\Quarantine\Registry_backups\AddRemove-Adobe Flash Player Plugin.reg.dat

2009-11-13 00:11:09 . 2009-11-13 00:11:09 378 ----a-w- C:\Qoobox\Quarantine\Registry_backups\Notify-avgrsstarter.reg.dat

2009-11-13 00:10:09 . 2009-11-13 00:25:35 6,949 ----a-w- C:\Qoobox\Quarantine\Registry_backups\tcpip.reg

2009-11-11 18:56:16 . 2009-11-13 00:23:20 204 ----a-w- C:\Qoobox\Quarantine\catchme.log

2004-08-03 22:39:54 . 2004-08-03 22:39:54 46,306 ----a-w- C:\Qoobox\Quarantine\C\WINDOWS\system32\ieuinit.inf.vir

 

A System Virginity Verifier z przyczyn niewiadomych nadal nie może odczytać modułu ntoskrnl?

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Mówisz o tym pliku od MS?

 

W logu widać resztki AVG i innych antywirusów oraz jakiś MEMSWEEP2.

 

Wejdź w tryb awaryjny. Przy pomocy Unlocker wywal katalog AVG.

Poza tym włącz systemowe oczyszczanie dysku (nie kompresuj starych plików!).

Na koniec użyj czyszczenia przez CCleanser - sprzątanie dysku i rejestrów.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Pisalem Ci juz zebys nie uzywal tych programow, w ogole nie rozumiesz wynikow. Nie masz rootkitow!

Nie masz tez wirusow ani innej infekcji!

 

Odinstaluj te wsystkie programy:

C:\svv

c:\program files\Trend Micro

C:\RootkitRevealer_1.7

C:\McAfee Rootkit Detective

 

Uzyj CFScript.txt z combofix:

 

File::

c:\windows\system32\FBD369D9.exe

c:\windows\system32\0E3A878E.exe

 

Folder::

c:\program files\Sophos

C:\$AVG

c:\documents and settings\All Users\Dane aplikacji\avg9

c:\documents and settings\m\Dane aplikacji\AVG9

 

Driver::

Avgfwdx

Avgfwfd

MEMSWEEP2

rkhdrv40

SSVCZ

 

Po wszystkim daj log, ktory sie utowrzy. Wpisz w uruchom: combofix /u oraz wybierz w OTL CleanUp.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Dołącz do dyskusji

Możesz dodać zawartość już teraz a zarejestrować się później. Jeśli posiadasz już konto, zaloguj się aby dodać zawartość za jego pomocą.

Gość
Dodaj odpowiedź do tematu...

×   Wklejono zawartość z formatowaniem.   Przywróć formatowanie

  Dozwolonych jest tylko 75 emoji.

×   Odnośnik został automatycznie osadzony.   Przywróć wyświetlanie jako odnośnik

×   Przywrócono poprzednią zawartość.   Wyczyść edytor

×   Nie możesz bezpośrednio wkleić grafiki. Dodaj lub załącz grafiki z adresu URL.



×
×
  • Dodaj nową pozycję...