Rootkit problém

[Caroprd111]

Dejte log z Gmer http://www.viry.cz/forum/viewtopic.php?f=29&t=62878


Kde přesně Avast viry hlásí

[Tomas 34]

C:\WINDOWS\System32\Drivers\Changer.sys

[Caroprd111]

Tohle otestujte na http://www.virustotal.com/cs/
C:\WINDOWS\System32\Drivers\Changer.sys

(Soubor nehledejte, jenom vložíte tučně označenou cestu, v případě hlášky "Soubor již byl testován" dejte otestovat znovu. Výsledek analýzy sem vložte.)

[Tomas 34]

Uvedl jsem celou cestu,ale nic mi to nevyhledalo

[Caroprd111]

Tak to asi Avast smazal, počkám na log z Gmer.

[Tomas 34]

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit quick scan 2010-03-02 16:11:40
Windows 5.1.2600 Service Pack 3
Running: gmer.exe; Driver: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\awtdrpog.sys


---- System - GMER 1.0.15 ----

SSDT sptd.sys ZwEnumerateKey [0xF7410C7E] <-- ROOTKIT !!!
SSDT sptd.sys ZwEnumerateValueKey [0xF7410FF6] <-- ROOTKIT !!!

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 8643A7C8
Device \FileSystem\Ntfs \Ntfs 8679BC78

AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

---- Services - GMER 1.0.15 ----

Service (*** hidden *** ) [SYSTEM] Changer <-- ROOTKIT !!!

---- EOF - GMER 1.0.15 ----

To mi hned našlo na začátku skenu,dál jsem už nepokračoval

[Caroprd111]

Pokud nemáte, přesuňte Combofix na plochu

• otevřete si Poznámkový blok a zkopírujte do něj text z bílého okénka.

Kód: Vybrat vše

Driver::
Changer 

• uložte Vámi vytvořený TXT soubor jako CFScript.txt na plochu
• po uložení uchopte vámi vytvořený skript levým myšítkem a přesuňte ho nad ikonu Combofixu, kde ho upustíte:
  
• po aplikaci na Vás vypadne další log,vložte ho sem

Může se stát, že po aplikaci skriptu a restartu Windows nenaběhnou, v tom případě znovu restartujte a přitom mačkejte F8, pak zvolte Poslední známou funkční konfiguraci

[Tomas 34]

ComboFix 10-03-01.03 - Administrator 02.03.2010 16:32:27.5.1 - x86
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.420.1029.18.1023.604 [GMT 1:00]
Spuštěný z: c:\documents and settings\Administrator\Plocha\ComboFix.exe
Použité ovládací přepínače :: c:\documents and settings\Administrator\Plocha\CFScript.txt
AV: avast! antivirus 4.8.1368 [VPS 100302-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

.
((((((((((((((((((((((((((((((((((((((( Ovladače/Služby )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_CHANGER
-------\Service_Changer


((((((((((((((((((((((((( Soubory vytvořené od 2010-02-02 do 2010-03-02 )))))))))))))))))))))))))))))))
.

2010-02-27 11:17 . 2010-02-27 11:17 -------- d-----w- C:\_OTM
2010-02-27 10:57 . 2010-03-02 15:36 792064 ----a-w- c:\windows\system32\drivers\Changer.sys
2010-02-22 07:59 . 2009-08-06 18:23 274288 ----a-w- c:\windows\system32\mucltui.dll
2010-02-22 07:59 . 2009-08-06 18:23 215920 ----a-w- c:\windows\system32\muweb.dll
2010-02-21 19:56 . 2010-02-21 19:56 -------- d-----w- c:\program files\Microsoft Silverlight
2010-02-20 10:42 . 2010-02-20 10:42 -------- d-----w- c:\program files\Real
2010-02-08 18:11 . 2010-02-08 18:11 -------- d-----w- C:\rsit

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-03-02 15:36 . 2010-02-27 10:57 792064 ----a-w- c:\windows\system32\drivers\Changer.sys
2010-03-01 14:06 . 2009-08-22 17:43 41 ----a-w- c:\documents and settings\Administrator\jagex_runescape_preferences.dat
2010-03-01 13:26 . 2009-12-14 18:33 69 ----a-w- c:\documents and settings\Administrator\jagex_runescape_preferences2.dat
2010-02-27 17:59 . 2009-02-13 12:55 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-02-26 14:17 . 2009-04-16 16:23 -------- d-----w- c:\program files\Common Files\Real
2010-02-07 17:31 . 2009-02-16 15:32 -------- d-----w- c:\program files\Java
2009-12-31 16:50 . 2004-08-03 21:14 353792 ----a-w- c:\windows\system32\drivers\srv.sys
2009-12-22 05:09 . 2004-08-17 13:49 668160 ------w- c:\windows\system32\wininet.dll
2009-12-22 05:09 . 2004-08-17 13:49 81920 ----a-w- c:\windows\system32\ieencode.dll
2009-12-17 07:42 . 2009-02-13 12:39 343552 ----a-w- c:\windows\system32\mspaint.exe
2009-12-14 07:10 . 2004-08-17 13:49 33280 ----a-w- c:\windows\system32\csrsrv.dll
2009-12-10 06:07 . 2001-10-25 14:00 82642 ----a-w- c:\windows\system32\perfc005.dat
2009-12-10 06:07 . 2001-10-25 14:00 437336 ----a-w- c:\windows\system32\perfh005.dat
2009-12-09 10:11 . 2004-08-17 15:45 2068224 ------w- c:\windows\system32\ntkrnlpa.exe
2009-12-09 10:11 . 2004-08-17 13:45 2191360 ------w- c:\windows\system32\ntoskrnl.exe
2009-12-04 18:22 . 2004-08-03 21:15 455424 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
.

(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PC Suite Tray"="c:\program files\Nokia\Nokia PC Suite 7\PCSuite.exe" [2009-03-20 1312256]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2004-12-22 77824]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-01-23 101136]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-01-23 101136]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000]
"DAEMON Tools"="c:\program files\DAEMON Tools\daemon.exe" [2005-12-10 133016]
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Nabˇdka Start\Programy\Po spuçtŘnˇ\
Adobe Gamma Loader.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2009-8-23 113664]
InterVideo WinCinema Manager.lnk - c:\program files\InterVideo\Common\Bin\WinCinemaMgr.exe [2009-10-10 278528]
Logitech SetPoint.lnk - c:\program files\Logitech\SetPoint\SetPoint.exe [2009-2-13 688128]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\InterVideo\\DVD7\\WinDVD.exe"=
"c:\\Program Files\\Nokia\\Nokia Software Updater\\nsu_ui_client.exe"=
"c:\\Program Files\\Common Files\\Nokia\\Service Layer\\A\\nsl_host_process.exe"=
"c:\\Program Files\\ICQ6.5\\ICQ.exe"=
"d:\\Hry\\Valve\\hl.exe"=
"d:\\Hry\\Claw\\CLAW.EXE"=
"c:\\WINDOWS\\system32\\dplaysvr.exe"=
"d:\\Hry\\GardenFurys\\GFonline.exe"=
"c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
"d:\\Hry\\Battle for Wesnoth 1.6.1\\wesnothd.exe"=
"d:\\Hry\\EA Games\\Ultima Online Mondain's Legacy\\AndariaClient.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"9958:TCP"= 9958:TCP:BitComet 9958 TCP
"9958:UDP"= 9958:UDP:BitComet 9958 UDP
"22505:TCP"= 22505:TCP:BitComet 22505 TCP
"22505:UDP"= 22505:UDP:BitComet 22505 UDP

R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [13.2.2009 15:33 642560]
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [13.2.2009 15:22 114768]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [13.2.2009 15:22 20560]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Obsah adresáře 'Naplánované úlohy'

2010-02-26 c:\windows\Tasks\1-Click Maintenance.job
- c:\program files\TuneUp Utilities 2008\OneClick.exe [2007-12-21 12:49]

2010-03-02 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2009-04-22 20:18]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.seznam.cz/
uInternet Connection Wizard,ShellNext = iexplore
uSearchURL,(Default) = hxxp://www.searchgateway.net/search/%s
IE: E&xportovat do aplikace Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: {889F71F5-0472-4C8E-9832-9BAD23A2F85D} = 213.29.58.9,88.146.135.10
FF - ProfilePath - c:\documents and settings\Administrator\Data aplikací\Mozilla\Firefox\Profiles\m7yavp9e.default\
FF - prefs.js: browser.search.selectedEngine - ICQ Search
FF - prefs.js: browser.startup.homepage - www.seznam.cz
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- NASTAVENÍ FIREFOXU ----
c:\program files\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".cz");
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-03-02 16:37
Windows 5.1.2600 Service Pack 3 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe >>UNKNOWN [0x8679B0E8]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> 0x8679b0e8
\Driver\ACPI -> ACPI.sys @ 0xf73cbcb8
\Driver\atapi -> atapi.sys @ 0xf7360b40
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x80579022
ParseProcedure -> ntkrnlpa.exe @ 0x80577c84
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x80579022
ParseProcedure -> ntkrnlpa.exe @ 0x80577c84
NDIS: NVIDIA nForce Networking Controller -> SendCompleteHandler -> NDIS.sys @ 0xf723fbb0
PacketIndicateHandler -> NDIS.sys @ 0xf724ca21
SendHandler -> NDIS.sys @ 0xf722a87b
Warning: possible MBR rootkit infection !
user & kernel MBR OK
PE file found in sector at 0x04A891C1 !

**************************************************************************
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'winlogon.exe'(756)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(1024)
c:\program files\Logitech\SetPoint\lgscroll.dll
c:\windows\system32\WPDShServiceObj.dll
c:\program files\Nokia\Nokia PC Suite 7\PhoneBrowser.dll
c:\program files\Nokia\Nokia PC Suite 7\NGSCM.DLL
c:\program files\Nokia\Nokia PC Suite 7\Lang\PhoneBrowser_cze.nlr
c:\program files\Nokia\Nokia PC Suite 7\Resource\PhoneBrowser_Nokia.ngr
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\program files\Alwil Software\Avast4\aswUpdSv.exe
c:\program files\Alwil Software\Avast4\ashServ.exe
c:\windows\SOUNDMAN.EXE
c:\program files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Common Files\Logitech\khalshared\KHALMNPR.EXE
c:\program files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
c:\program files\Alwil Software\Avast4\ashWebSv.exe
c:\program files\PC Connectivity Solution\ServiceLayer.exe
c:\program files\PC Connectivity Solution\Transports\NclUSBSrv.exe
c:\program files\PC Connectivity Solution\Transports\NclRSSrv.exe
c:\windows\system32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Celkový čas: 2010-03-02 16:42:34 - počítač byl restartován
ComboFix-quarantined-files.txt 2010-03-02 15:42
ComboFix2.txt 2010-02-27 12:18
ComboFix3.txt 2010-02-27 11:47
ComboFix4.txt 2009-07-29 14:21

Před spuštěním: 946 089 984
Po spuštění: 1 024 761 856

- - End Of File - - 8ABDB984799E86B6189C39250051ED77

[Caroprd111]

Odinstalujte všechny emulátory virtuálních mechanik

Stáhněte SPTD http://www.duplexsecure.com/en/downloads

• Vyberte verzi podle svého operačního systému (64 & 32b). Uložte na plochu a spusťte.
• zvolte možnost Uninstall a restartujte PC.

Po provedení předchozího úkonu dejte log z MBR a Gmer.

Stáhněte MBR na plochu http://www2.gmer.net/mbr/mbr.exe

Start > Spustit (Win + R)

• Vyskočí okénko, zkopírujte do něj:

Kód: Vybrat vše

"%userprofile%\plocha\mbr" -t

• Klikněte na OK

• Vytvoří se log s názvem mbr.log, vložte ho sem.

Dejte log z Gmer http://www.viry.cz/forum/viewtopic.php?f=29&t=62878

[Tomas 34]

MBr

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: >>UNKNOWN [0x804D7000]<< >>UNKNOWN [0xF761C000]<< >>UNKNOWN [0xF760C000]<< >>UNKNOWN [0xF74AD000]<< >>UNKNOWN [0x806D0000]<< >>UNKNOWN [0xF7428000]<<
kernel: MBR read successfully
user & kernel MBR OK
PE file found in sector at 0x04A891C1 !

[Caroprd111]

OK, ještě ten Gmer.

[Tomas 34]

Zachvíly sem hodím i z Gmer,jen se chci zeptat k čemu byl ten SPTD dobrý? Sem to nějak nepochopil,ale udělal jsem to podle pokynů

[Caroprd111]

Potřebuji dočasně odstranit ovladače od virtuálních mechanik, abych poznal nákazu. Po dokončení léčení si tam můžete emulátory znovu nainstalovat

[Tomas 34]

Doskenovalo se to,ale kam se uložil log? Se mi to jen vyplo a nic

[Caroprd111]

Ten log musíte uložit Vy, pokud aplikace spadla, spusťte sken znovu.