2 replies to this topic

[ratava]

Mam uzasadnione podejrzenie, że ktoś wrzucił mi do systemu keyloggera. Sformatowałem komputer. Po sformatowaniu okazało się, że system operacyjny Windows XP wraz z AutoPatcher_XP_Feb2007_Polish_FULL + parę innych programów jak AVG antywirus i gg zajmują nieproporcjonalnie dużo miejsca, bo aż 8,92 GB! Czytałem w internecie, że taka zwiększona 'objętość' systemu operacyjnego może być efektem działalności rootkita.

Objawów jako takich nie ma jedynie może to, że komputer po włączeniu i wyświetleniu pulpitu jakby się zacina na parę minut i dopiero po tym czasie mogę dokonać jakiejkolwiek akcji typu otwarcie folderu, połączenie z internetem itp.

Zastanawiają mnie też zdarzenia, które zaczęły się dziać w momencie, gdy użyłem programu Icesword. Program się ściągnął, uruchomił (niestety jest on dość skomplikowany i nie potrafię go dobrze obsługiwać) i w nakładce "system check" pokazał coś takiego:



Po chwili (zanim odszukałem w nim funkcję generowania logów) AVG wykrył Icesword jako backdoor/znany koń trojański, usunął, zrestartował (obecnie w przechowalni wirusów widnieje pozostałość po tej infekcji pod nazwą New Malware.z). Wydało mi się to dziwne, ponieważ pobrałem program ze strony producenta. Postanowiłem więc ściągnąć go ponownie i uruchomić. Najdziwniejsze jest to, że tym razem już AVG nie identyfikował go jako wirusa ( ! ), ale też w nakładce "system check" nie widać komunikatu HKEY_CLASSES_ROOT\htafile\shell\open\command: C:\WINDOWS\system32\mshta.exe "%1" %* (widoczny na zdjeciu powyżej). Jest zwykły komunikat "complete".




Log z gmer:
http://wklej.org/id/202334/

Log OTL
http://wklej.org/id/202339/

Log OTL Extras
http://wklej.org/id/202344/

Log Hijackthis
http://wklej.org/id/202342/

[Michal]

Jeszcze z ComboFix poproszę ...

[ratava]

Niestety na razie nie mogę wygenerować loga z Combo, ponieważ nie mogę ani wyłączyć (bo w tym programie zdaje się nie przewidzieli takiej funkcji), ani odinstalować (bo wyskakuje Błąd: Akcja dla klucz rejestru HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows: Trwa tworzenie klucza rejestru... nie powiodła się. Odmowa dostępu) AVG. Jesli tylko uda mi się go odinstalować, wrzucę log z Combofixa.

A jak to wygląda na podstawie logów, które wcześniej wkleiłem?

[ Dodano: 2009-11-12, 14:56 ]
Przeskanowałem jeszcze dwoma programami i wydaje mi się, że wskazują one na na rootkita kernel mode. Mógłby ktoś zerknąć czy to nie fałszywy alarm? No i jest jeszcze spory problem z odinstalowaniem AVG.

System Virginity Verifier co prawda nie do końca wykrywa, ale już Rootkit Unhooker wskazuje na obecność rootkita.

SVV:

Pokazuje co prawda poziom zainfekowania niebieski czyli najniższy z możliwych, ale zastanawia mnie komunikat
"Important module ntoskrnl.exe not found", który chyba nie powinien się pojawić, prawda?

Wyniki Rootkit Unhooker:



W nakładce SSDT programu zastosowałem "UnHookSelected" - usunęło, jednak po restarcie, podczas ponownego skanowania pojawiają się dokładnie te same cztery problemy. Dodatkowo, podczas usuwania komputer sam się restartował.



W nakładce Code Hooks prbowałem zrobić to samo. Oto wyniki przed i po



Czasem "po" nie pokazuje żadnych wyników i komputer sam się resetuje, a czasem widnieje coś takiego



...i komputer się resetuje. Po restarcie i skanowaniu znów pojawiają sie te same wyniki.

Chciałem jeszcze o czymś wspomnieć, bo może to ważne. Wyniki skanowania RU przedstawione na obrazkach wskazują na jakieś nieprawidłowości z plikami AVG Identity Protection. Wcześniej miałem (i cały czas mam) problem z odinstalowaniem AVG, co opisuję w tym temacie:

http://forums.avg.co...id=641#post_641