VIRY.CZ

Zdravím, poslední dobou pozoruji že mi Rouge Killer detekoval Pum hrozbu v internetovém prohlížeči. Nešlo to sice odstranit ale to není ten nejmenší problém. Poté mi detekoval asi Trojana v registrech který mi evidentně měnil DNS. Poté jsem přeinstaloval Windows ale to bohužel nepomohlo. Ten zmetek se furt vracel a vracel. Nakonec jsem projel GMEREM a ten našel rootkit. Bohužel mi při skenování program spadl. Zkusil jsem sken znovu ale poté co jsem cca po 15 minutách se vrátil k PC tak nic neběželo. Myslím že to byla modrá smrt. Nevíte co bych mohl dělat abych se tohoto sprasju zbavil?

Zdravím!
Zde: https://forum.viry.cz/viewforum.php?f=29 je dost návodů, stačí projít. Mimochodem MBAM (pokud mu zaškrtnete hledání rootkitů) by ho měl najít.

Ok, zkusil jsem tedy MBAM ale ten jsem po dvouhodinovém skenování vypnul. Potom jsem zkusil nějakej skener na který jste mi poslal Link. Zkusil jsem ten skener od Nortons a potom KVRT. Ale vzhledem k tomu že nemám internet protože ten DNS Changer mi blokuje přístup k netu tak jsem nemohl ten od Nortona spustit. A KVRT ještě pořádně zkusím. Jinak nevím.

mam pocit, ze sa pri hladani velmi nenamahas
https://forum.viry.cz/viewtopic.php?f=2 ... 7#p1446937 dva linky v zavere

Ok, díky Jaronovi za Link. Taky jsem v tomto threadu byl akorát jsem nebyl úplně na konci. Jinak jsem použil TDSSKillera a ten nic nedetekoval. Tak jsem pustil ten MBAR a ten mi našel cca 6 hrozeb. Mezi tím byl i nějaký Trojan a samozřejmě rootkit. Budu skenovat a pozorovat jak se PC chová a dám vědět

Muzu ze zvedavosti poprosit o log z MBARu? Jaky konkretni rootkit nasel?

altrok píše:Muzu ze zvedavosti poprosit o log z MBARu? Jaky konkretni rootkit nasel?

Samozřejmě ale k PC se dostanu nejpozději do tří dnů ale jinak ho sem hodím. Jinak tímto se potvrdilo že jsou už i GPT viry.

Malwarebytes Anti-Rootkit BETA 1.9.3.1001
www.malwarebytes.org

Database version:
main: v2014.11.18.05
rootkit: v2014.11.12.01

Windows 10 x64 NTFS
Internet Explorer 11.674.15063.0
cunik.cz :: DESKTOP-JMFHIRU [administrator]

19.10.2017 20:06:44
mbar-log-2017-10-19 (20-06-44).txt

Scan type: Quick scan
Scan options enabled: Anti-Rootkit | Drivers | MBR | Physical Sectors | Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken
Scan options disabled:
Objects scanned: 311482
Time elapsed: 22 minute(s), 43 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 6
HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\MRT.exe (Trojan.Agent) -> Delete on reboot. [16276bd27ffd350127a611e345bea35d]
HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\MsMpEng.exe (Security.Hijack) -> Delete on reboot. [48f5a69788f466d0db0b9064679c1ce4]
HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\svchost.exe (Security.Hijack) -> Delete on reboot. [97a6201d4b319d99df270dea57ac7e82]
HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\MRT.exe (Trojan.Agent) -> Delete on reboot. [c37a3b02156744f2fdd0dc18b152b14f]
HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\MsMpEng.exe (Security.Hijack) -> Delete on reboot. [8bb2f14cb7c5e155707663918c770000]
HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\svchost.exe (Security.Hijack) -> Delete on reboot. [89b4c9746517ce6856b0c0377a89e21e]

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

Physical Sectors Detected: 0
(No malicious items detected)

(end)

Tak PC se teď chová normálně ale přesto bych byl rád za zkouknutí logu z nějakého AntiRootkitu. Napadl mně Ice Sword nebo Rootkit Hook Analyzer.

MBAR je také antirootkit. Zkuste nový sken, mělo by to stačit. Jinak je vcelku jedno, jakým AR budete skenovat.

Ok, tak po dvou dnech pozorování to vypadá zatím ok. Dneska jsem ale spustil sken Rogue Killerem a ten mi tam našel přesně ten DNS Changer a chvilku jsem nechytal internet ale po cca pěti sekundách co jsem PC probudil z režimu spánku to bylo OK. Jinak to pochopitelně projedu ještě něčím a uvidí se. A měl bych dotaz. Mohou se i dnes viry šířit po síti jako to bylo dříve co ještě byly v kurzu červi? A může mi takový nějaký sprasek přepsat Firmware routeru? Četl jsem sice že je to opravdu vzácný případ ale jen tak se ptám.

Tak jsem dneska ráno zapnul PC a nešel net. Rogue Killer sice nic nenašel ale MBAR mi smazal toto. A po rebootu to našlo znovu. Je možné že by to byl falešný poplach?

Malwarebytes Anti-Rootkit BETA 1.9.3.1001
http://www.malwarebytes.org

Database version:
main: v2014.11.18.05
rootkit: v2014.11.12.01

Windows 10 x64 NTFS
Internet Explorer 11.674.15063.0
cunik.cz :: DESKTOP-JMFHIRU [administrator]

26.10.2017 9:08:26
mbar-log-2017-10-26 (09-08-26).txt

Scan type: Quick scan
Scan options enabled: Anti-Rootkit | Drivers | MBR | Physical Sectors | Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken
Scan options disabled:
Objects scanned: 318894
Time elapsed: 25 minute(s), 43 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 14
HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\about.exe (Security.Hijack) -> Delete on reboot. [5fde5be2176582b49b707e73ba4920e0]
HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\bdfvcl.exe (Security.Hijack) -> Delete on reboot. [b984c77693e93cfaef46d12130d316ea]
HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\bdfvwiz.exe (Security.Hijack) -> Delete on reboot. [231aa09d2557b086d561de149271c937]
HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\deloeminfs.exe (Security.Hijack) -> Delete on reboot. [d46984b9df9d95a1945026cccd367e82]
HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\driverctrl.exe (Security.Hijack) -> Delete on reboot. [b88554e9fc80e65004edc131996a3cc4]
HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\odsw.exe (Security.Hijack) -> Delete on reboot. [97a6f845adcf8fa7165f07ee966dd12f]
HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\setloadorder.exe (Security.Hijack) -> Delete on reboot. [bb82f548017b45f1ded1c23414efbc44]
HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\about.exe (Security.Hijack) -> Delete on reboot. [b687a09deb91c472c74406eb887bc739]
HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\bdfvcl.exe (Security.Hijack) -> Delete on reboot. [112c5de00379092d0a2b3bb71de60af6]
HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\bdfvwiz.exe (Security.Hijack) -> Delete on reboot. [2b1265d8fd7f90a6f244569c8e75718f]
HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\deloeminfs.exe (Security.Hijack) -> Delete on reboot. [72cb70cd1c60142204e006ec14ef6d93]
HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\driverctrl.exe (Security.Hijack) -> Delete on reboot. [ef4e2f0e1f5d4ceac62ba052ea1947b9]
HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\odsw.exe (Security.Hijack) -> Delete on reboot. [5ce15edf304c9b9b7afbad48e0237f81]
HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\setloadorder.exe (Security.Hijack) -> Delete on reboot. [75c8ae8f790345f1f8b756a027dc57a9]

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

Physical Sectors Detected: 0
(No malicious items detected)

(end)

Rootkit tam žádný není, jsou to jen Hijackery - problém má prohlížeč.

Aha, já si myslel že Security Hijack znamená Rootkit . Jinak ostatní počítače v síti asi ohroženy nejsou ne? A jak bych odstranil ten šmejd co mi mění tu DNS a jak odstraním tohle? Četl jsem že se musí něco smáznout z internetového prohlížeče. Anebo je s tou DNS taky možnost že ji mám jenom požkozenou tím virem protože Rogue Killer mi nic nedetekuje.

Tak s IP by to nemělo mít nic společného. Rootkit je rootkit (malware, které pracuje skrytě a snaží se předstírat, že je v systému prospěšné) a Hijacker je v podstatě únosce prohlížeče. K vyčištění prohlížečů spusťte púostupně tyto utility:

1. Stahnete Zoek.exe http://download.bleepingcomputer.com/smeenk/zoek.exe a ulozte jej na plochu

Pokud pouzivate Win Vista ci W7, kliknete na Zoek pravym a dejte Run As Administrator ci Spustit jako spravce
Do okna vlozte skript nize

autoclean;
resethosts;
emptyclsid;
IEdefaults;
FFdefaults;
CHRdefaults;
emptyIEcache;
emptyFFcache;
emptyCHRcache;
emptyalltemp;
emptyflash;
emptyjava;
emptyrecycle.bin;

Nasledne kliknete na Run Script
PC provede opravu, restartuje se a da Vam log, jeho obsah vlozte sem.

a

2. Junkware removal tool: http://thisisudax.org/downloads/JRT.exe
•Ulozte nejlepe na plochu
•Po spusteni se zobrazi licencni podminky, stisknete libovolnou klavesu
•Probehne vytvoreni zalohy a nasledne prohledavani
•Probehne skenovani a pak se objevi log, pripadne bude ulozen v c:\JRT jako JRT.txt, ten sem vlozte.