Hacktool.Rootkit? - log

[JanX]

No tak snazim se alespon o minimalni snahu, preci jen je to muj pocitac

...takze:
Norton aktualitovan, neprve scan kompletni (vysledky: 1 Tracking cookie - vyřešeno), kontrola ciste Ccka - bez nalezu ..

složky zazipovány, ale nešla zazipovat jedna část (C:\Qoobox\BackEnv), problém s oprávněním

http://www.ulozto.cz/xZpMrSh/qoobox-otl-rar

[JanX]

takže linky:

https://www.virustotal.com/file/ed1a03d ... 352298628/
https://www.virustotal.com/file/c02a46c ... 352301179/
https://www.virustotal.com/file/86a1c2e ... 352301262/
https://www.virustotal.com/file/3cb8273 ... 352301450/
https://www.virustotal.com/file/a1f78d5 ... 352301618/

k těm 4 souborům ke smazání:
smazal jsem je normálně přes Windows průzkumníka a pak vysypal, ale další informace tě možná nepotěší, tydle 4 soubory měli ve vlastnostech napsáno, pokud se nejednalo i chybný/záměrně zavádějící údaj, že jsou to rozšíření pro ruskou fonetickou klávesnici, takže je možná chyba že jsem tě o tom, že jsem si ji v průběhu co jsme začali řešit log(v pátek), někdy v neděli jsem si ji pak pro studijní účely nainstaloval, jestli se pak objevila v tvém zorném poli, jen kvůli tomu, že jsou to nově vytvořené soubory, pak je to asi jen z tohoto důvodu...

nefunkce:
nefungují mi PDF soubory, chrome už mi normálně funguje, jde mi na něm otevřít i seznam.cz a normálně se lognout na e-mail, ale tohle mi nefunguje na IEčku...tam mi to vyhodí hlášku: "Acrobat failed co load its Core DLL"...když se snažím dál, tak pak mě dovolí napsat přihlašovací údaje, ale když je chci potvrdit, tak se to kousne znovu s hláškou že nfunguje adobe acrobat / reader a že ho mám opustit a zkusit znovu a stejně tak mi nejdou otevřít novinky.cz ..nevím jestli už mám zkusit přeinstalovat Adobe - reader a player...

[JanX]

ještě pak: už si nepamatuju jak to vypadá normálně ve Windows Centru zabezpečení - píše mi to tam, že mám vyplou bránu firewall systému Windows a Norton 360 a v ochraně proti malwaru mi píše že je Norton taky vyplý, ale když otevřu Norton samotný, tak mi tam všechno zeleně svítí (kromě zálohování)...

Historie zabezpečení Norton (teď jsem si teprve všiml, že se dá exportovat i txt souboru ten základní přehled...) přikládám jako přílohu, jestli to je k něčemu dobré...

[JanX]

No tak myslel jsem, že už končíme, ale zatím jsem stihl akorát aktualizovat adobe reader a flash player, pdf fungují, problém s IE a seznamem taky vyřešen reinstalací...
ale po restartu vyžadovaném adobe se mi objevily nějaké errory (už tam byli dříve, ale nějak jsem na to zapomněl, asi to jsou "jen" doplňkové programy - nefunguje ovládání hlasitosti, jasu obrazovky, on/off na wifi, a spol. když je chci ovládat přes klávesu "Fn" a něco dalšího(F1,F2 atd)...)

konkrétně pak hlášky byly:
RunDLL - Chyba při načítání souboru C:\PROGRA~1\ASUSSE~1\Bin\ASTSVCC.dll - Nepřístupný přístup k paměťovému místu.
Program Adobe Gamma Loader přestal pracovat.
Program HControl přestal fungovat a byl ukončen.
Program Catalyst*"R"v kroužku nevím jak se to píše* Control Center Launcher přestal pracovat.

Jdu se ještě podívat jestli mi Windows nenabízí řešení, ale radši to tu nejdřív napíšu.

Dotazy:
Co s těmi 3 z 5 souborů co jsem testoval na té stránce http://www.virustotal.com? zatím nic nebo to vyřeší otl?
- a to otl-nastavení myslíš úplně stejně jako z příspěvku z 03 lis 2012 13:09 (stejné nastavení a stejný skript?)

A to z posledního výsledku myslíš jak? som z toho už nějaké zmetený..
- chápu princip... 00000001 na 00000000 ale co/kde je ten "regedit"?

[JanX]

Řešení Windows nenašel, pouze odeslal hlášení...jestli jsou důležité podrobnosti pak:
__________________________________________
Podpis problému
Název události problému: APPCRASH
Název aplikace: Adobe Gamma Loader.exe
Verze aplikace: 1.0.0.1
Časové razítko aplikace: 38220378
Název chybného modulu: StackHash_7dc0
Verze chybného modulu: 0.0.0.0
Časové razítko chybného modulu: 00000000
Kód výjimky: c0000005
Posun výjimky: 0022002c
Verze operačního systému: 6.0.6002.2.2.0.768.3
ID národního prostředí: 1029
Další informace 1: 7dc0
Další informace 2: b4ee5de6a2322745523997a782b35692
Další informace 3: 027b
Další informace 4: 277e19c30fbd5f6bb531ec9e027c37c3

Další informace o tomto problému
ID sady: 1943756934
________________________________________
[ATI]Catalyst Control Center Launcher
Podpis problému
Název události problému: APPCRASH
Název aplikace: CLIStart.exe
Verze aplikace: 1.0.0.1
Časové razítko aplikace: 4794d39d
Název chybného modulu: StackHash_7dc0
Verze chybného modulu: 0.0.0.0
Časové razítko chybného modulu: 00000000
Kód výjimky: c0000005
Posun výjimky: 0023002c
Verze operačního systému: 6.0.6002.2.2.0.768.3
ID národního prostředí: 1029
Další informace 1: 7dc0
Další informace 2: b4ee5de6a2322745523997a782b35692
Další informace 3: 027b
Další informace 4: 277e19c30fbd5f6bb531ec9e027c37c3

Další informace o tomto problému
ID sady: 1971742859
___________________________________________
Podpis problému
Název události problému: APPCRASH
Název aplikace: Hcontrol.exe
Verze aplikace: 1043.2.31.91
Časové razítko aplikace: 47a2c785
Název chybného modulu: StackHash_e51a
Verze chybného modulu: 0.0.0.0
Časové razítko chybného modulu: 00000000
Kód výjimky: c0000005
Posun výjimky: 003d002c
Verze operačního systému: 6.0.6002.2.2.0.768.3
ID národního prostředí: 1029
Další informace 1: e51a
Další informace 2: 4c0d4d78887f76d971d5d00f1f20a433
Další informace 3: e51a
Další informace 4: 4c0d4d78887f76d971d5d00f1f20a433

Další informace o tomto problému
ID sady: 1560004754
_____________________________
Popis
Služba SharedAccess při spuštění neodpovídá.

Podpis problému
Název události problému: ServiceHang
Název služby: SharedAccess
Název bitové kopie: ipnathlp.dll
Verze bitové kopie: 6.0.6001.18000
Typ služby: 20
Typ spuštění: 2
Verze operačního systému: 6.0.6002.2.2.0.768.3
ID národního prostředí: 1029

Další informace o tomto problému
ID sady: 171784678

[JanX]

Ee, to jsme si nerozuměli, já smazal ty 4 soubory kbdru666.dll atd., tam na ty analyzované jsem ještě čekal jestli nebudou nějaký "kouzla" ...
tak z tech 3 infikovanych mi nejde c:\windows\system32\9A3voGafB smazat přes průzkumníka, ...(hláška: akci nejde dokončit, protože soubor je otevřený v jiném programu...nejsem si ničeho vědom) ve Správci úloh to nevidím v procesech/službách abych to ukončil a vymazal...v Total Commanderovi to také nevidím...

A to těm dotazům:
To otl-nastavení myslíš úplně stejně jako z příspěvku z 03 lis 2012 13:09 (stejné nastavení co jak prohledat a stejný skript nebo bez skriptu?)

------------------------------------------
OPRAVA: REGEDIT už jsem asi našel...
-----------------------------------------
OPRAVA2: regedit jsem pustil a vždy našel daný údaj a přes RMB, volba "Změnit..." a údaj hodnoty změnil na "0"
----------------------------------------
OPRAVA3: 9A3voGafB po několika restartech (něco jsem reinstaloval (AverTV...)) snad smazáno

[JanX]

Np, takze: dal jsem stejné nastavení jako z příspěvku z 03 lis 2012 13:09 (stejné nastavení a stejný skript), pak jsem si ale uvědomil, že by 7 dní možná nestačilo, tak jsem dal 14 a pak to přepsal manuálně na 11 dní...nevím jestli je to žádoucí iniciativa...pak mi 2x za sebou OTL při scanu "neodpovídal" tak po třetí jsem na počítači už vůbec nic nedělal a počkal až na výsledek...no ale vyjel jen jeden log...s názvem OTL.txt..žádný Extras se neobjevil a na ploše (kde je OTL) není...

ten soubor v systemu32 "9A3voGafB" co jsem nakonec smazal se tam zase objevil po restartu...jde normálně smazat jako správce, ale řekl bych že se tam zase objeví...

problémy, no ještě jsem pak přeinstaloval shockwave player kvůli chybě, ale nějak mi začal blbnout IE.....asi ho budu muset zkusit přeinstalovat (kdo to kdy viděl.., když ale já mám tak rád jeho systém oblíbenejch položek )

možná ještě dotaz: z Déčka jsem si před začátkem řešení logů vše zálohoval a smazal...ale teď tam jsou nějaké 2 složky a jeden soubor soubor jsem jen tak prověřil na virustotal.com a nic nenašel, pak je tam složka do které nemám přístup "System Volume Information" a pak složka "$RECYCLE.BIN" ve které je koš a další 2 složky kam nemám přístup ...je to součást jednoho z instalovaných programů combofix, powertool, gmer.....? mám to zkusit smazat?

[JanX]

hmm
1. jak to se k tomu souboru v Powetools dostanu? dokážu přes záložku *File najít ten soubor, ale přes RMB tam žádný handle není, na foru pak vyhledávání spojení: handle powertools nic než tento thread nevidím ...
2. na virustotalu mi to nešlo otevřít(, hláška: Tento soubor je používán. Zadejte nový název nebo zavřete soubor, který otevřen v jiné aplikaci.,), ale našel jsem to v powertools a přes RMB volba scan and upload to virustotal...:
https://www.virustotal.com/file/912478e ... 352477892/

a pak opět nevím jak k tomu "handle" viz bod1

[JanX]

1.Takže, zkopíroval jsem to tam, dal jsem opravit a pak restart, složku _OTL jsem dal jako přílohu, a ještě tohle mi to vyplivlo po restartu jako nějaký log:

========== OTL ==========
Error: No service named jcbkpesf was found to stop!
Service\Driver key jcbkpesf not found.
File C:\Windows\system32\drivers\jcbkpesf.sys not found.
C:\Users\Jenda\Desktop\NgELZcjt moved successfully.
C:\Windows\System32\acovcnt.exe moved successfully.
C:\Windows\System32\iXUxlYo moved successfully.
File C:\Windows\System32\9A3voGafB not found.
C:\Windows\System32\NgELZcjt moved successfully.
File move failed. C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0 scheduled to be moved on reboot.
File move failed. C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0 scheduled to be moved on reboot.

OTL by OldTimer - Version 3.2.69.0 log created on 11112012_044848

Files\Folders moved on Reboot...
File move failed. C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0 scheduled to be moved on reboot.
File move failed. C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0 scheduled to be moved on reboot.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

___________________________________________
___________________________________________

2.ze všech těch souborů co jsou uveden v tom kódu co jsem vkládal do OTL se objevil po restartu jen C:\Windows\System32\acovcnt.exe, zbytek se tam neobjevil...

3.zdroje/puvodce si nejsem vědom...? (IP útočníků, co se jediný dají najít v historii zabezpečení nortna, když to blokoval, ti asi nepomůžou..: 46.165.204.2, 443;; 87.255.51.230, 443;; 62.75.216.37, 443)

4. nevim jestli ze zbytku toho postu mam neco dohledavat (v 5 rano mi to už! nějak nemyslí ,ale chtěl jsem to udělat, než půjdu spát, abychom se tu zase neminuli...)

[JanX]

Hmm, tak asi ještě nekončíme, já jsem teda případ.. před tím než jsem ráno rozeběhl otl s tou opravou, tak norton označil ten soubor 9A3voGafB jako trojského koně (Trojan.ADH.2), ale po rozeběhnutí otl a restartu jsem ho tam neviděl ve složce otevřené v průzkumníkovi (stejně jako ty ostatní soubory) a norton nic nehlásil (v historii je jen: blokace trojana, puštění otl-které provedlo nějaké úpravy)...

Mezitím jsem byl jen na internetu, úplně na nejobyčejnějších stránkách (seznam,fb,youtube,9gag,forum.viry,stranky školy)....!

Když jsem však dopoledne znovu počítač pustil tak se ozval norton, že zase blokuje trojana a že souborem je zase 9A3voGafB, ale v průzkůmníkovi jsem ho neviděl, tak jsem se pro jistotu podíval přes powertools záložka *File a tam ho vidím ve složce jako vždycky, s atributem "hidden", (a když se kouknu níž tak tam vidím i C:\Windows\System32\iXUxlYo, C:\Windows\System32\NgELZcjt) ale v průzkumníkovi Windows ho nevidím,

..tak jsem "projevil iniciativu", což možná byla k***a chyba, a přes powertool jsem na ty soubory RMB + volba force delete file soubory smazal, 9A3voGafB mi powertools rekl, ze smaze, az kdyz restartuju pocitac, tak jsem to udelal, po restartu se me navic zeptal windows, jestli bych mu aktualizoval klíč na windows. že byly provedeny neautorizované úpravy? (visty mam samozrejme original s notebookem, na spodní straně noťasu je však ta nálepka ošoupaná, ale recovery disk (nebo co jsem to k tomu noťasu jako Visty na disku dostal a na čem snad je taky napsanej product key), stejně jako ovladače, mám v Brně, kam přijedu až dnes večer, takže jsem to zatím stornoval)

zase přes průzkumníka ty soubory nevidím, ale přes powetools ano, i když jsem je smazal přes ten powertools, nějaký postup pro to?

kromě tej reinstalace ovladačů a uvedení aktivačního klíče (wtf?!) bych si měl akorát ještě reinstalovat IE, jenže když si to stáhnu ze stránek microsoftu, tak mi napíše, že mám novější verzi a že instalace proto nemůže pokračovat...

[JanX]

Takze jsem zmenil poradi na bootovani, na prvni pokus to vyhodilo nejakou chybu na modry obrazovce, podruhy uz to najelo, log v příloze (akorát to trvalo trochu dyl), a tady je odkaz na to zalohambr.dat testovani:

https://www.virustotal.com/file/eed2de1 ... 352710359/

Jen se mi nejde připojit na internet (respektive nevim kde v tom prostreti realtogo-x-pe najit bezdratove site a pripojit se k nim), takze jsem vypnul pocitac, CD/dvd mechanika sama vyjela s CDckem a pustil jsem normalne visty pro to testovani...