Problém s rootkitem

[cunik.cz]

Zdravím, poslední dobou pozoruji že mi Rouge Killer detekoval Pum hrozbu v internetovém prohlížeči. Nešlo to sice odstranit ale to není ten nejmenší problém. Poté mi detekoval asi Trojana v registrech který mi evidentně měnil DNS. Poté jsem přeinstaloval Windows ale to bohužel nepomohlo. Ten zmetek se furt vracel a vracel. Nakonec jsem projel GMEREM a ten našel rootkit. Bohužel mi při skenování program spadl. Zkusil jsem sken znovu ale poté co jsem cca po 15 minutách se vrátil k PC tak nic neběželo. Myslím že to byla modrá smrt. Nevíte co bych mohl dělat abych se tohoto sprasju zbavil?

[Rudy]

Zdravím!
Zde: https://forum.viry.cz/viewforum.php?f=29 je dost návodů, stačí projít. Mimochodem MBAM (pokud mu zaškrtnete hledání rootkitů) by ho měl najít.

[cunik.cz]

Ok, zkusil jsem tedy MBAM ale ten jsem po dvouhodinovém skenování vypnul. Potom jsem zkusil nějakej skener na který jste mi poslal Link. Zkusil jsem ten skener od Nortons a potom KVRT. Ale vzhledem k tomu že nemám internet protože ten DNS Changer mi blokuje přístup k netu tak jsem nemohl ten od Nortona spustit. A KVRT ještě pořádně zkusím. Jinak nevím.

[JaRon]

mam pocit, ze sa pri hladani velmi nenamahas
https://forum.viry.cz/viewtopic.php?f=2 ... 7#p1446937 dva linky v zavere

[cunik.cz]

Ok, díky Jaronovi za Link. Taky jsem v tomto threadu byl akorát jsem nebyl úplně na konci. Jinak jsem použil TDSSKillera a ten nic nedetekoval. Tak jsem pustil ten MBAR a ten mi našel cca 6 hrozeb. Mezi tím byl i nějaký Trojan a samozřejmě rootkit. Budu skenovat a pozorovat jak se PC chová a dám vědět

[altrok]

Muzu ze zvedavosti poprosit o log z MBARu? Jaky konkretni rootkit nasel?

[cunik.cz]

Muzu ze zvedavosti poprosit o log z MBARu? Jaky konkretni rootkit nasel?

Samozřejmě ale k PC se dostanu nejpozději do tří dnů ale jinak ho sem hodím. Jinak tímto se potvrdilo že jsou už i GPT viry.

[cunik.cz]

Malwarebytes Anti-Rootkit BETA 1.9.3.1001
www.malwarebytes.org

Database version:
main: v2014.11.18.05
rootkit: v2014.11.12.01

Windows 10 x64 NTFS
Internet Explorer 11.674.15063.0
cunik.cz :: DESKTOP-JMFHIRU [administrator]

19.10.2017 20:06:44
mbar-log-2017-10-19 (20-06-44).txt

Scan type: Quick scan
Scan options enabled: Anti-Rootkit | Drivers | MBR | Physical Sectors | Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken
Scan options disabled:
Objects scanned: 311482
Time elapsed: 22 minute(s), 43 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 6
HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\MRT.exe (Trojan.Agent) -> Delete on reboot. [16276bd27ffd350127a611e345bea35d]
HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\MsMpEng.exe (Security.Hijack) -> Delete on reboot. [48f5a69788f466d0db0b9064679c1ce4]
HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\svchost.exe (Security.Hijack) -> Delete on reboot. [97a6201d4b319d99df270dea57ac7e82]
HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\MRT.exe (Trojan.Agent) -> Delete on reboot. [c37a3b02156744f2fdd0dc18b152b14f]
HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\MsMpEng.exe (Security.Hijack) -> Delete on reboot. [8bb2f14cb7c5e155707663918c770000]
HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\svchost.exe (Security.Hijack) -> Delete on reboot. [89b4c9746517ce6856b0c0377a89e21e]

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

Physical Sectors Detected: 0
(No malicious items detected)

(end)

[cunik.cz]

Tak PC se teď chová normálně ale přesto bych byl rád za zkouknutí logu z nějakého AntiRootkitu. Napadl mně Ice Sword nebo Rootkit Hook Analyzer.

[Rudy]

MBAR je také antirootkit. Zkuste nový sken, mělo by to stačit. Jinak je vcelku jedno, jakým AR budete skenovat.

[cunik.cz]

Ok, tak po dvou dnech pozorování to vypadá zatím ok. Dneska jsem ale spustil sken Rogue Killerem a ten mi tam našel přesně ten DNS Changer a chvilku jsem nechytal internet ale po cca pěti sekundách co jsem PC probudil z režimu spánku to bylo OK. Jinak to pochopitelně projedu ještě něčím a uvidí se. A měl bych dotaz. Mohou se i dnes viry šířit po síti jako to bylo dříve co ještě byly v kurzu červi? A může mi takový nějaký sprasek přepsat Firmware routeru? Četl jsem sice že je to opravdu vzácný případ ale jen tak se ptám.

[cunik.cz]

Tak jsem dneska ráno zapnul PC a nešel net. Rogue Killer sice nic nenašel ale MBAR mi smazal toto. A po rebootu to našlo znovu. Je možné že by to byl falešný poplach?

Malwarebytes Anti-Rootkit BETA 1.9.3.1001
http://www.malwarebytes.org

Database version:
main: v2014.11.18.05
rootkit: v2014.11.12.01

Windows 10 x64 NTFS
Internet Explorer 11.674.15063.0
cunik.cz :: DESKTOP-JMFHIRU [administrator]

26.10.2017 9:08:26
mbar-log-2017-10-26 (09-08-26).txt

Scan type: Quick scan
Scan options enabled: Anti-Rootkit | Drivers | MBR | Physical Sectors | Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken
Scan options disabled:
Objects scanned: 318894
Time elapsed: 25 minute(s), 43 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 14
HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\about.exe (Security.Hijack) -> Delete on reboot. [5fde5be2176582b49b707e73ba4920e0]
HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\bdfvcl.exe (Security.Hijack) -> Delete on reboot. [b984c77693e93cfaef46d12130d316ea]
HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\bdfvwiz.exe (Security.Hijack) -> Delete on reboot. [231aa09d2557b086d561de149271c937]
HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\deloeminfs.exe (Security.Hijack) -> Delete on reboot. [d46984b9df9d95a1945026cccd367e82]
HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\driverctrl.exe (Security.Hijack) -> Delete on reboot. [b88554e9fc80e65004edc131996a3cc4]
HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\odsw.exe (Security.Hijack) -> Delete on reboot. [97a6f845adcf8fa7165f07ee966dd12f]
HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\setloadorder.exe (Security.Hijack) -> Delete on reboot. [bb82f548017b45f1ded1c23414efbc44]
HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\about.exe (Security.Hijack) -> Delete on reboot. [b687a09deb91c472c74406eb887bc739]
HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\bdfvcl.exe (Security.Hijack) -> Delete on reboot. [112c5de00379092d0a2b3bb71de60af6]
HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\bdfvwiz.exe (Security.Hijack) -> Delete on reboot. [2b1265d8fd7f90a6f244569c8e75718f]
HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\deloeminfs.exe (Security.Hijack) -> Delete on reboot. [72cb70cd1c60142204e006ec14ef6d93]
HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\driverctrl.exe (Security.Hijack) -> Delete on reboot. [ef4e2f0e1f5d4ceac62ba052ea1947b9]
HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\odsw.exe (Security.Hijack) -> Delete on reboot. [5ce15edf304c9b9b7afbad48e0237f81]
HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\setloadorder.exe (Security.Hijack) -> Delete on reboot. [75c8ae8f790345f1f8b756a027dc57a9]

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

Physical Sectors Detected: 0
(No malicious items detected)

(end)

[Rudy]

Rootkit tam žádný není, jsou to jen Hijackery - problém má prohlížeč.

[cunik.cz]

Aha, já si myslel že Security Hijack znamená Rootkit . Jinak ostatní počítače v síti asi ohroženy nejsou ne? A jak bych odstranil ten šmejd co mi mění tu DNS a jak odstraním tohle? Četl jsem že se musí něco smáznout z internetového prohlížeče. Anebo je s tou DNS taky možnost že ji mám jenom požkozenou tím virem protože Rogue Killer mi nic nedetekuje.

[Rudy]

Tak s IP by to nemělo mít nic společného. Rootkit je rootkit (malware, které pracuje skrytě a snaží se předstírat, že je v systému prospěšné) a Hijacker je v podstatě únosce prohlížeče. K vyčištění prohlížečů spusťte púostupně tyto utility:

1. Stahnete Zoek.exe http://download.bleepingcomputer.com/smeenk/zoek.exe a ulozte jej na plochu

Pokud pouzivate Win Vista ci W7, kliknete na Zoek pravym a dejte Run As Administrator ci Spustit jako spravce
Do okna vlozte skript nize

autoclean;
resethosts;
emptyclsid;
IEdefaults;
FFdefaults;
CHRdefaults;
emptyIEcache;
emptyFFcache;
emptyCHRcache;
emptyalltemp;
emptyflash;
emptyjava;
emptyrecycle.bin;

Nasledne kliknete na Run Script
PC provede opravu, restartuje se a da Vam log, jeho obsah vlozte sem.

a

2. Junkware removal tool: http://thisisudax.org/downloads/JRT.exe
•Ulozte nejlepe na plochu
•Po spusteni se zobrazi licencni podminky, stisknete libovolnou klavesu
•Probehne vytvoreni zalohy a nasledne prohledavani
•Probehne skenovani a pak se objevi log, pripadne bude ulozen v c:\JRT jako JRT.txt, ten sem vlozte.