Logi - Niedziałający Internet ( Rootkit )

Witam... mam problem taki gdyż przy odpalaniu komputera, po załadowaniu winxp mija gdzieś z 20 min zanim pojawi się ikonka połączenia sieciowego i wszystko zacznie działać (GG, Firefox, Explorer)...

OLT:
http://wklej.to/Cz2T7 (key:333)
http://wklej.to/l6R5v (key:333)
GMER
http://wklej.to/zPTFu (key:333)



Avengerem na razie to usunąłem:

C:\WINDOWS\zip.exe
C:\WINDOWS\grep.exe
C:\WINDOWS\sed.exe
C:\WINDOWS\System32\drivers\StarOpen.sys
C:\WINDOWS\catchme.exe
C:\Documents and Settings\All Users\Dane aplikacji\LauncherAccess.dt
C:\WINDOWS\System32\pwsex_service.exe

Zapoznaj się z tym :

Przed zadaniem nam pytania:
1. Wyczyść komputer programami anty-szpiegowskimi: SpyBot, Ad-aware
2. Sprawdź komputer antywirusowymi skanerami Online: MKS, KAV
3. Zrób logi przy pomocy programów: OTL, GMER, Silent Runners
4. Sprawdź czy problem znikł, jeśli nie napisz temat stosując tagi, czyli tytuły: [antywirus], [firewall], [logi], [wirus].

I logi zamieszczaj w taki sposób aby nikt nie musiał dodatkowo jeszcze bawić się w odkodowanie czy rejestrowanie.
Twoje logi są nie czytelne, nie licz na poradę.

Użytkownik brutus3 edytował ten post 16 04 2011 - 02:38

Popraw logi - zaistnieje możliwość pomocy.

@brutus3:

Przed zadaniem nam pytania:
1. Wyczyść komputer programami anty-szpiegowskimi: SpyBot, Ad-aware
2. Sprawdź komputer antywirusowymi skanerami Online: MKS, KAV
3. Zrób logi przy pomocy programów: OTL, GMER, Silent Runners

Spybot to zbyt przestarzałe narzędzie, by zalecać jego stosowanie
Sillent Runner też nie powinien być zalecany (z wyjątkiem Win98) - pokazuje zbyt mało.
Moderator lub Admin powinien te narzędzia usunąć z tego Regulaminu.

===================================================================================

@ l3ol3a:

Avengerem na razie to usunąłem:
C:\WINDOWS\zip.exe
C:\WINDOWS\grep.exe
C:\WINDOWS\sed.exe
C:\WINDOWS\System32\drivers\StarOpen.sys
C:\WINDOWS\catchme.exe

Usuwałeś prawidłowe pliki. Zaznaczona na zielono to pliki utworzone przez ComboFix!
A "StarOpen.sys" to nazwa mówi sama za siebie.

Reg HKLM\SYSTEM\ControlSet005\Services\gaopdxserv.sys@start 1
Reg HKLM\SYSTEM\ControlSet005\Services\gaopdxserv.sys@type 1
Reg HKLM\SYSTEM\ControlSet005\Services\gaopdxserv.sys@group file system
Reg HKLM\SYSTEM\ControlSet005\Services\gaopdxserv.sys@imagepath \systemroot\system32\drivers\gaopdxirqlmpcrpjbowktmbaqqpxetjlkrtbij.sys
Reg HKLM\SYSTEM\ControlSet005\Services\gaopdxserv.sys\modules (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet005\Services\gaopdxserv.sys\modules@gaopdxserv \\?\globalroot\systemroot\system32\drivers\gaopdxirqlmpcrpjbowktmbaqqpxetjlkrtbij.sys
Reg HKLM\SYSTEM\ControlSet005\Services\gaopdxserv.sys\modules@gaopdxl \\?\globalroot\systemroot\system32\gaopdxklvmlrqmitaaisditndxjdbwwrgmymov.dll

Jest paskudny Rootkit.
1) Użyj >TDSSKiller >http://www.bezpieczenstwosystemow.pl/index.php?topic=7461.0
Jeśli wykryje gaopdx* - to ustaw na: DELETE
Daj z tego raport.
2) Ściągnij -->Avenger.
wklej do niego ten tekst:

Files to delete:
%windir%\system32\drivers\gaopdxirqlmpcrpjbowktmbaqqpxetjlkrtbij.sys
C:\%windir%\system32\drivers\gaopdxirqlmpcrpjbowktmbaqqpxetjlkrtbij.sys
E:\%windir%\system32\drivers\gaopdxirqlmpcrpjbowktmbaqqpxetjlkrtbij.sys
C:\%windir%\system32\gaopdxklvmlrqmitaaisditndxjdbwwrgmymov.dll
E:\%windir%\system32\gaopdxklvmlrqmitaaisditndxjdbwwrgmymov.dll

Registry keys to delete:
HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys
HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys
HKLM\SYSTEM\ControlSet004\Services\gaopdxserv.sys
HKLM\SYSTEM\ControlSet005\Services\gaopdxserv.sys

Drivers to delete:
gaopdxserv.sys

Kliknij w "Execute" i zatwierdź restart komputera.
Zrestartuj komputer.
Daj Raport z Avengera z C:\avenger.txt.

3) Zainstaluj bezpieczniejszą wersję Javy >Java 6 Update 24 (JRE)
Stare wersje odinstaluj.

4) W logach widać działąjące trzy Antivirusy: Avast, Avira i NOD. To o dwa za dużo!
Które chcesz usunąć?
5) Daj nowy log z GMER, by sprawdzić, czy Rootkit usunięty.

Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{F98EB7EA-A9B0-DAA6-EEBE-E0AE5931233F}@gabcmafhonhfbo 0x61 0x69 0x6D 0x6B ...
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{FB88F1EF-E1F8-02AE-5014-95F43117FA9C}@hanlnbaddkojflfd 0x65 0x61 0x6A 0x6E ...
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{FB88F1EF-E1F8-02AE-5014-95F43117FA9C}@hanlnbadfeeilooo 0x65 0x61 0x6A 0x6E ...
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{FB88F1EF-E1F8-02AE-5014-95F43117FA9C}@iablfehoepjekbglkk 0x69 0x61 0x61 0x69 ...
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{FB88F1EF-E1F8-02AE-5014-95F43117FA9C}@halkcllehbfhdona 0x6B 0x61 0x6E 0x68 ...

Nie wiem, co to jest.
Ale zostawiamy to w spokoju, ze względu na to, że logi były robione w niedozwolonym środowisku: zainstalowane "Daemon Tools" oraz "Alcohol".
Jeśli ktoś ma zainstalowany któryś z tych programów, to nie powinien robić żadnych logów, bo logi z tymi programami są zafałszowane przez te programy.
.

Użytkownik ordynat edytował ten post 16 04 2011 - 09:53

Witam... jest mały progres - komputer się odpala ładnie... w Taskmenagerze widać że jest połączenie lokalne i działa... Ale nie odpala się żadna przeglądarka... Ale Kadu, Outlook działają zaraz po załadowaniu się antivira i firewalla.
Nowym symptomem jest zdeformowany dźwięk... To znaczy jakby podkręcone na maksa 100Hz - czyli niskie tony i wszystko (słuchawki, głośniki, kolumny) "pierdzi".

1) - nic nie znalazł
Log z niego: http://www.wklej.org/id/513574/
2) - done
3) Stara usunięta... nowa: Java SE Development Kit 6u24 jdk-6u24-windows-i586.exe zainstalowana
4) Wątpię żeby działały, bo usługi i gui wyłączone... to było spowodowane, że nie miałem wcześniej kupionego Noda i musiałem czymś z tym walczyć... Avas i Avira do kosza.
5)Logi się robią...
6)... przepraszam, nie wiedziałem nawet że mam jeszcze Deamon Tools - usuwam i robię nowe logi OLT i GMER...
(...)

I o alkoholu nie zapomnij, ja odradzam używania tego programu.
Ordynat dzisiejsza wypowiedź :

Spybot to zbyt przestarzałe narzędzie, by zalecać jego stosowanie

Dlaczego rzeczywiście nie jest to narzędzie nowe ale stale ma aktualizowaną bazę wirusów, w moim przypadku jest skuteczne, stare ale jare .
Z tym że jeśli autor wątku ma obecnie płatnego NOD32 to nic już mu do szczęścia (zabezpieczenia) nie potrzeba.
Koledze wcześniej brakowało firewalla przez co złapał wirusa.

Użytkownik brutus3 edytował ten post 16 04 2011 - 12:00

@brutus3:
Owszem, Spybot aktualizuje swoją bazę, ale nie potrafi wykryć ani usuwać tych nowych infekcji, które bez problemu wykrywa i usuwa np. MBAM.

================================================================

@ l3ol3a
Szkoda, że TDSSKiller nie wykrył tego Rootkita, byłoby łatwiej.

Z logu OTL wynika, że usługi Avasta i Aviry dalej działają.
Do usunięcia tych programów używa się specjalnych narzędzi:
Avast Uninstall Utility - http://www.avast.com/uninstall-utility
Avira RegistryCleaner - http://www.avira.com/en/support/kbdetails.php?id=135
W przypadku Aviry usuwane są tylko klucze z Rejestru, natomiast inne obiekty trzeba usuwać samemu ręcznie.
.

Po usunięciu avira i avasta...
To jest nowy LOG OTL:
http://wklej.org/id/513612/


Problem pogarsza się... Po uruchomieniu kompa, jest czysty pulpit chociaż explorer.exe chodzi... Muszę go zabić i na nowo urochomić aby pulpit i pasek się pokazał... dodatkowo jak widać w logu NOD i Firewall (GUI) nie ładują się... Dodatkowo z pulpitu zniknęły Avenger i GMER

Log gmera się robi... robi... i robi - coś strasznie długo!?

Tak, GMER długo się robi.
Potem:
Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL
SRV - File not found [Disabled | Stopped] -- -- (OMSI download service)
SRV - File not found [Disabled | Stopped] -- -- (CesarFTP)
SRV - File not found [Disabled | Stopped] -- -- (Bonjour Service)
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {4C4E7CDB-5BFC-4D74-83E2-8AE659B7EDA2} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - No CLSID value found.
O4 - HKLM..\Run: [nod32kui] File not found
[2009-12-21 22:04:34 | 000,148,736 | ---- | C] (Avanquest Software) -- C:\Documents and Settings\All Users\Dane aplikacji\hpeDE.dll


:Commands
[emptyflash]
[emptytemp]

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania.
.

Usuwanie:

All processes killed
========== OTL ==========
Service OMSI download service stopped successfully!
Service OMSI download service deleted successfully!
Service CesarFTP stopped successfully!
Service CesarFTP deleted successfully!
Service Bonjour Service stopped successfully!
Service Bonjour Service deleted successfully!
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\\{2318C2B1-4965-11D4-9B18-009027A5CD4F} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2318C2B1-4965-11D4-9B18-009027A5CD4F}\ deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{2318C2B1-4965-11D4-9B18-009027A5CD4F} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2318C2B1-4965-11D4-9B18-009027A5CD4F}\ not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{4C4E7CDB-5BFC-4D74-83E2-8AE659B7EDA2} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4C4E7CDB-5BFC-4D74-83E2-8AE659B7EDA2}\ deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\nod32kui deleted successfully.
C:\Documents and Settings\All Users\Dane aplikacji\hpeDE.dll moved successfully.
========== COMMANDS ==========
 
[EMPTYFLASH]
 
User: Admin
->Flash cache emptied: 2128945 bytes
 
User: Administrator
->Flash cache emptied: 620 bytes
 
User: All Users
 
User: Ann
->Flash cache emptied: 1048 bytes
 
User: Default User
 
User: Gość
->Flash cache emptied: 516 bytes
 
User: LocalService
 
User: M2
->Flash cache emptied: 348 bytes
 
User: NetworkService
->Flash cache emptied: 875 bytes
 
User: Darek
->Flash cache emptied: 405 bytes
 
Total Flash Files Cleaned = 2,00 mb
 
 
[EMPTYTEMP]
 
User: Admin
->Temp folder emptied: 90084792 bytes
->Temporary Internet Files folder emptied: 29124943 bytes
->Java cache emptied: 128942775 bytes
->FireFox cache emptied: 57176957 bytes
->Flash cache emptied: 0 bytes
 
User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
->Flash cache emptied: 0 bytes
 
User: All Users
 
User: Ann
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Gość
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
->Flash cache emptied: 0 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: M2
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
->Flash cache emptied: 0 bytes
 
User: Darek
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
->FireFox cache emptied: 3430312 bytes
->Flash cache emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 66560 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 295,00 mb
 
 
OTL by OldTimer - Version 3.2.22.3 log created on 04162011_134335

Files\Folders moved on Reboot...
C:\Documents and Settings\Admin\Ustawienia lokalne\Temp\~DF1F49.tmp moved successfully.
C:\WINDOWS\temp\Perflib_Perfdata_278.dat moved successfully.
C:\WINDOWS\temp\ZLT05161.TMP moved successfully.

Registry entries deleted on Reboot...

Nowy Log:
http://wklej.org/id/513661/

http://wklej.org/id/513662/

Gmer się zawiesił po wciśnięciu Save... To co z niego zostało:

GMER 1.0.15.15570 - http://www.gmer.net
Rootkit quick scan 2011-04-16 12:34:02
Windows 5.1.2600 Dodatek Service Pack 2 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T1L0-3 WDC_WD800JD-75MSA3 rev.10.01E04
Running: gmer.exe; Driver: C:\DOCUME~1\Admin\USTAWI~1\Temp\pwldapog.sys


---- Devices - GMER 1.0.15 ----

Device          \Driver\atapi \Device\Ide\IdePort0                        875CC8E0
Device          \Driver\atapi \Device\Ide\IdePort1                        875CC8E0
Device          \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-e               875CC8E0
Device          \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-3               875CC8E0
Device          \Driver\VClone \Device\Scsi\VClone1                       871EA340
Device          \Driver\VClone \Device\Scsi\VClone1Port2Path0Target0Lun0  871EA340

AttachedDevice  \FileSystem\Ntfs \Ntfs                                    eamon.sys (Amon monitor/ESET)
AttachedDevice  \FileSystem\Fastfat \Fat                                  eamon.sys (Amon monitor/ESET)

Device          \Driver\Tcpip \Device\Ip                                  vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
Device          \Driver\Tcpip \Device\Tcp                                 vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
Device          \Driver\Tcpip \Device\Udp                                 vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
Device          \Driver\Tcpip \Device\RawIp                               vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)

---- EOF - GMER 1.0.15 ----

Teraz system zamykał się około 30 minut po czym zrobił się czarny ekran i nic... - musiałem go zrestartować z przcisku... Po wykonaniu skryptu z OTL też tak było :?
Dodatkowo zainstalowałem najnowszą wersję przeglądarki i usunąłem wszystkie jej dodatki i pluginy...

ps... wykonałem jeszcze Silenrunners
http://wklej.org/id/513681/

Wydawało mi się, że usuwałem Hamachi2Svc ?!

GMER nic tu właściwie nie pokazał, tak więc nie wiemy, czy Rootkit został usunięty, czy nie.
Daj log z VBA32Arkit >http://www.bezpieczenstwosystemow.pl/index.php?topic=7635.0
Może w nim coś będzie widać?

.W logach OTL - czysto.
.

Użytkownik ordynat edytował ten post 16 04 2011 - 14:53

Proszę...
http://ippx.ip.funpic.de/Vba32ArkitLog.html

VBA nie wykrył tego Rootkita, więc w tej chwili nie masz żadnej infekcji (o ile Twój Antivirus nic nie wykrywa!).
W logu Sillent Runners, który dałeś we wcześniejszym poście - nic ciekawego.

system32\drivers\ctooygap.sys

Sprawdź go na --> JOTTI/ albo na VIRUSTOTAL albo na VIRSCAN
Jego nazwa i jego usługa jakoś z niczym mi się nie kojarzą, choć VBA nie uznał go za szkodliwy.

Ale jeśli okaże się szkodliwy, to zrobisz to:
>>>Avenger >>
wkleisz do niego ten tekst:

Files to delete:
c:\windows\system32\drivers\ctooygap.sys

Registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\uyrkxz

Drivers to delete:
ydxwvx

Klikniesz w "Execute" i zatwierdzisz restart komputera.

Dasz Raport z Avengera z C:\avenger.txt.
.

Użytkownik ordynat edytował ten post 16 04 2011 - 16:09

@up

VBA nie wykrył tego Rootkita, więc w tej chwili nie masz żadnej infekcji (o ile Twój Antivirus nic nie wykrywa!).

Miałem jakąś badziewną infekcje na pendrive... ale Zone Alarm skutecznie zablokował a NOD usuną.

system32\drivers\ctooygap.sys

Nie wiem czemu ale nie ma już takiego pliku - albo go nie widać :?


Nie wiem... może to coś z sterownikami karty sieciowej (chociaż przywróciłem sterownik), albo z Tym nieszczęsnym Hamachi?

ps... zauważyłem też że miałem otwarty DCOM RPC

ale nie ma już takiego pliku - albo go nie widać :?

Na wszelki wypadek wykonaj to z Avengerem, co napisałem w swoim poprzednim poście.
.

Teraz system się zawiesza na czystym pulpicie... W trybie awaryjnym też... Udało mi się odpalić livecd linuxa... ale nie wiem co mam teraz robić... nawet jak odpalę menadżera zadań to chwilkę pochodzi i zawiesza się całość z ikonką klepsydry...

Co robić?!

W sprawach ewentualnej infekcji może mógłbym pomóc, ale na pewno nie potrafię pomagać w sprawach złego działania Systemu. System to nie moje hobby.
Ponieważ nie masz już żadnej infekcji, to moja rola się skończyła.
.

Użytkownik ordynat edytował ten post 17 04 2011 - 08:30

Super... Windows dzialal, ale dlogo siec sie ladowala... a teraz nawet nie zdarze otworzyc jakiegos folderu bo juz sie zawiesza...? Gdzie szukac teraz pomocy!?