[es] - Rootkit i 'infected VOLSNAP.SYS'

kristi1

Član broj: 151211
Poruke: 2012
*.dynamic.isp.telekom.rs.

Sajt: www.mycity.rs/Ambulanta

+88 Profil

Re: Rootkit i 'infected VOLSNAP.SYS'

^{06.01.2014. u 07:52 - pre 125 meseci}

Preuzmi Gmer na desktop:
http://www2.gmer.net/download.php

Pokreni Gmer dvoklikom

Sačekaj da se završi uvodno skeniranje - ukoliko se pojavi bilo kakav upit, klikni No;
klikni Scan i sačekaj da skeniranje bude završeno;
klikni Save ... - izveštaj sačuvaj na Desktop (pod nazivom Gmer1)
klikni desnim tasterom u prozor programa Gmer i odaberi Options > 3rd party - klikni Scan;
po završetku skeniranja klikni Save ... - izveštaj sačuvajte na Desktop (pod nazivom Gmer2);

Oba izvestaja postavi zasebno na http://pastebin.com/

Klikni Submit pa kopiraj linkove sa izvestajima u poruci.

Ponovo pokreni FRST/FRST64:

upiši volsnap.sys u polje Search: i klikni na dugme Search File(s);
alat će skenirati tvoj računar i formirati izveštaj (Search.txt) u isti direktorijum gde je FRST alat sačuvan;
iskopiraj sadržaj Search.txt izveštaja u poruku;

Goran Mijailovic

Član broj: 12684
Poruke: 6907

+437 Profil

Re: Rootkit i \'infected VOLSNAP.SYS\'

^{06.01.2014. u 10:56 - pre 125 meseci}

Citat:

nikitaGradov:
>Posle ciscenja virusa nisam siguran koliko ce taj sistem da bude funkcionalan.

Da li to znaci da se spremam za format diska i reinstalaciju sistema ?

Stvarno ne znam, vidim da je @kristi uporan da ti pomogne u ciscenju tog sistema pa je verovatno on i upoznat u stete koje ostaju posle te infekcije. Ko ce ga znati sta je taj rootkit sve spreman da uradi i koje je sve drugare pozvao u pomoc, ali necu da mracim ovde :)
Ono sto ja znam je da je posle nekih virusa sistem tako reci neupotrebljiv, opet iz svog iskustva znam da su neki sistemi posle uklanjanja rootkita bili ok za upotrebu medjutim koliko ja vidim ti si pazario neko uporno cudo. Jednom kada ga budes ocistio preporucujem detaljan sken svih tvojih particija nekim ozbiljnim antivirusom, makar i u trial verziji i naravno ciscenje svih fleski itsl.

kristi1

Član broj: 151211
Poruke: 2012
*.dynamic.isp.telekom.rs.

Sajt: www.mycity.rs/Ambulanta

+88 Profil

Re: Rootkit i 'infected VOLSNAP.SYS'

^{06.01.2014. u 13:42 - pre 125 meseci}

Pokusavam da vidim sta ce novi Gmer da mi kaze, jer mi je sumnnjivo da mu je svaki win drajver inficiran rootkitom, to do sad jos nisam video.

nikitaGradov
Beograd

Član broj: 223576
Poruke: 206
95.180.91.*

+3 Profil

Re: Rootkit i 'infected VOLSNAP.SYS'

^{06.01.2014. u 23:02 - pre 125 meseci}

link za log gmer1 : http://pastebin.com/R1G1gYMw

link za log gmer2: javlja mi poruku -> 'You have exceeded the maximum file size of 500 kilobytes per paste. PRO users don't have this limit!'

Da li da sadrzaj log-a gmer2 paste-jem u okviru poruke ?

Inace, ako ti nesto znaci - tokom skena GMER (izmedju ostalog) javlja sledece (a to je javljao i u prethodnim skenovima):

1. javlja 'Access is denied' za sledece fajlove:
ntkrnlpa.exe
hal.dll
KDCOM.dll
BOOTVID.dll
win32k.sys
watchdog.sys
igxpgd32.dll
igxprd32.dll
igxpdv32.dll
igxpdx32.dll
ATMFD.dll

Ne znam da li su ovo neki kriticni dll-ovi za Windows XP, pa je zbog toga 'access denied' ili , mozda, rootkit blokira pristup ovim fajlovima ?

2. crvenom bojom prikazuje (da se tako izrazim, zarazene fajlove) sledece Library fajlove:
wbemprox.dll -> winlogon.exe
wbemcomn.dll -> winlogon.exe
wbemsvc.dll -> winlogon.exe
fastprox.dll -> winlogon.exe

wmisvc.dll -> svchost.exe
wbemcomn.dll -> svchost.exe
wbemcore.dll -> svchost.exe
esscli.dll -> svchost.exe
FastProx.dll -> svchost.exe
wmiutils.dll -> svchost.exe
repdrvfs.dll -> svchost.exe
wmiprvsd.dll -> svchost.exe
wbemess.dll -> svchost.exe
ncprov.dll -> svchost.exe
wbemsvc.dll -> svchost.exe

Dok sam imao zivaca (na radnom stolu imam jos jedan racunar, sa identicnom instalacijom XP-a, dakle, sa istog instalacionog diska sam instalirao XP na obije masine) sa ciste masine (provjereno gmer-om, tdsskiller-om i combofix-om) sam iskopiraoo sve (gore navedene) dll fajlove (butovao sam zarazenu amsinu u safe rezim sa command prompt-om, pa preimenovao sve ove nabrojane fajlove, pa iskopirao ciste, pa ponovo butovao u safe rezim sa command promptom da bih obvrisao dll fajlove koje sam preimenovao itd). Zatim sam butovao racunar u normalnom rezimu i pokrenuo GMER. U jezicku 'processes' nije bilo procesa 'winlogon.exe', ali je ostao svchost.exe. Poslije , recimo, 20-ak minuta ponovo se pojavio i winlogon.exe.

3. javlja da je 'zarazen' i jedan servis: 'winspool.drv'. I njega sam brisao, pa kopirao sa 'cistog' racunara. Neko vrijeme ga GMER ne prijavljuje, a onda se, opet, prikazuje u scan-u.

Od 2009-e, kada sam kupio racunara, do ovoga , nikada nisam imao nikakav problem sa virusima (imao sam free Avast, koji sam uredno azurirao). Ni meni nije jasno sta se dogadja, tim prije sto sam za termin rootkit cuo upravo kada je ovaj problem i poceo ...

Programming is fun, but writing good software is hard ...

nikitaGradov
Beograd

Član broj: 223576
Poruke: 206
95.180.91.*

+3 Profil

Re: Rootkit i 'infected VOLSNAP.SYS'

^{06.01.2014. u 23:13 - pre 125 meseci}

>Ponovo pokreni FRST/FRST64:

>upiši volsnap.sys u polje Search: i klikni na dugme Search File(s);
>alat će skenirati tvoj računar i formirati izveštaj (Search.txt) u isti direktorijum gde je FRST alat sačuvan;
i>skopiraj sadržaj Search.txt izveštaja u poruku;

Kao sto sam i ranije napisao, ovaj alat mogu da pokrenem samo u safe rezimu -> evo sadrzaja Search.txt:

Farbar Recovery Scan Tool (x86) Version: 05-01-2014
Ran by Milovan at 2014-01-07 00:05:59
Running from C:\Documents and Settings\Milovan\My Documents\Downloads
Boot Mode: Safe Mode (with Networking)

================== Search: "volsnap.sys" ===================

C:\WINDOWS\system32\drivers\VOLSNAP.SYS
[2013-12-18 17:53] - [2014-01-03 16:40] - 0052352 ____A (Microsoft Corporation) 4c8fcb5cc53aab716d810740fe59d025

C:\WINDOWS\system32\dllcache\volsnap.sys
[2013-12-14 23:27] - [2008-04-14 13:00] - 0052352 ___AC (Microsoft Corporation) 4c8fcb5cc53aab716d810740fe59d025

C:\Documents and Settings\Milovan\Application Data\FixTDSS\Archive\VolSnap.sys
[2014-12-25 12:06] - [2013-12-25 08:38] - 0052352 ____A (Microsoft Corporation) 4c8fcb5cc53aab716d810740fe59d025

=== End Of Search ===

Programming is fun, but writing good software is hard ...

kristi1

Član broj: 151211
Poruke: 2012
*.dynamic.isp.telekom.rs.

Sajt: www.mycity.rs/Ambulanta

+88 Profil

Re: Rootkit i 'infected VOLSNAP.SYS'

^{07.01.2014. u 08:08 - pre 125 meseci}

Ovo se ne isplati da se cisti. Sve legitimni drajveri i svaki bi morao da se zameni.

Najbolje resenje je da oboris sistem.

Probaj jos ovaj alat ako nece rusi sistem

Preuzmi Malwarebytes Anti-Rootkit

(MBAR) sa sledeceg linka i sacuvaj ga na Desktop.

[list][*] dvoklikom pokreni MBAR na ikonicu i u novom prozoru koji se otvori klikni na dugme Ok.
Alat ce biti raspakovan u zaseban mbar folder na desktop-u. Ovo ce ujedno i startovati Malwarebytes Anti-Rootkit.
>> Ukoliko se pojavi bilo kakav upit, klikni na dugme NO

Kada se MBAR startuje...
[*]klikni na dugme Next a potom na dugme Update da bi preuzeo najsvezije definicije;
[*]klikni na dugme Next i postaraj se da pod Scan targets: budu stiklirane Drivers, Sectors i System opcije;
[*]klikni na dugme [color=green]Scan[/color] i picekaj da MBAR zavrsi skeniranje;

Ukoliko malware nije detektovan, klikni na dugme [color=green]Exit[/color] da bi zatvorio program i postavi nam system-log.txt i mbar-log-year-month-day (sat-minuti-sekundi).txt izvestaje.

Ukoliko je malware detektovan, postaraj se da je Create Restore Point opcija stiklirana i klikni na [color=red]Cleanup[/color] dugme;
Procedura uklanjanja malware ce biti zapoceta i ubrzo ce program zatraziti restart sistema.

[*] klikni na dugme Yes da bi dozvolio restart sistema radi ciscenja.
[*]Po zavrsetku ciscenja, otvori MBAR folder i uz poruku okaci sledece MBAR izvestaje koristeci opciju "Prikaci fajl"
[/list]
- system-log.txt
- mbar-log-year-month-day (sat-minuti-sekundi).txt.

edit, sve mora da bude iz Normal mode.

Goran Mijailovic

Član broj: 12684
Poruke: 6907

+437 Profil

Re: Rootkit i \'infected VOLSNAP.SYS\'

^{07.01.2014. u 09:46 - pre 125 meseci}

Citat:

nikitaGradov:
Evo dva dana pokusavam da smislim neki 'trik' , ne bih li pokrenuo mbar. Ovaj rootkit (osim u safe rezimu) ne dozvoljava pokretanje mbar aplikacije.

Ima li jos nesto sto bi mogao da pokusam ?

???

kristi1

Član broj: 151211
Poruke: 2012
*.dynamic.isp.telekom.rs.

Sajt: www.mycity.rs/Ambulanta

+88 Profil

Re: Rootkit i 'infected VOLSNAP.SYS'

^{07.01.2014. u 11:23 - pre 125 meseci}

Posalji winlogon.exe na https://www.virustotal.com/ Pa daj ovde izvestaj.

nikitaGradov
Beograd

Član broj: 223576
Poruke: 206
95.180.91.*

+3 Profil

Re: Rootkit i 'infected VOLSNAP.SYS'

^{07.01.2014. u 16:16 - pre 125 meseci}

Citat:

kristi1: Posalji winlogon.exe na https://www.virustotal.com/ Pa daj ovde izvestaj.

Rezultat analize (izvestaj): ' Probably harmless! There are strong indicators suggesting that this file is safe to use. '

Pored svakog antivirus alata stoji zeleni simbol za znakom za potvrdu...

Zelim da se zahvalim na dosadasnjoj pomoci ... odradicu reinstalaciju sistema ...

Ako nista drugo, barem sam naucio koje alate treba da koristim u slucaju da se ovo ponovi (combofix, gmer, ...)...

Programming is fun, but writing good software is hard ...

kristi1

Član broj: 151211
Poruke: 2012
*.dynamic.isp.telekom.rs.

Sajt: www.mycity.rs/Ambulanta

+88 Profil

Re: Rootkit i 'infected VOLSNAP.SYS'

^{07.01.2014. u 16:51 - pre 125 meseci}

Tebi nesto nije u redu sa tim sistemom, a mogu da se kladim da su svi oni fajlovi koji ukazuju na rootkit cisti.

Takodje i VOLSNAP.SYS na sve tri lokacije gde postoji je cist.

Sta i zasto se to desava ne znam, uglavnom ni TDSSKiller nije pokazao da imas rootkit. Kod Combofixa si imao problem sa malware-ima i pretpostavljam da ih je ocistio iako nisam dobio log.

Takodje video sam da imas program MalwareDefender, odakle ti to ne znam, ali proveravajuci google vidim da nije maliciozan.
http://www.softpedia.com/get/S...leaning/Malware-Defender.shtml

Sta ce ti to nije mi jasno.

kristi1

Član broj: 151211
Poruke: 2012
*.dynamic.isp.telekom.rs.

Sajt: www.mycity.rs/Ambulanta

+88 Profil

Re: Rootkit i 'infected VOLSNAP.SYS'

^{07.01.2014. u 17:05 - pre 125 meseci}

C:\WINDOWS\system32\drivers\acpi.sys

Ajde ako nisi oborio sistem posalji na VT i ovaj fajl, cisto da vidimo, obelezen je da je rootkit.

nikitaGradov
Beograd

Član broj: 223576
Poruke: 206
95.180.91.*

+3 Profil

Re: Rootkit i 'infected VOLSNAP.SYS'

^{07.01.2014. u 17:08 - pre 125 meseci}

Jos jednom hvala na odgovoru i javljanju ...

MalwareDefender sam ja instalirao poslije, da se tako izrazim, 'zaraze' -> htio sam da, ako postoje, blokiram 'maliciozne' veze, otvorene tcp portove i slicno ... da li je tvoja preporuka da ga deinstaliram ?

Da li imas ideju zasto ne mogu da pokrenem (skoro) nijedan program -> osim Internet browser-a, Notepad-a, za sve ostale programe javlja da ne moze da ih pokrene ???

Programming is fun, but writing good software is hard ...

nikitaGradov
Beograd

Član broj: 223576
Poruke: 206
95.180.91.*

+3 Profil

Re: Rootkit i \'infected VOLSNAP.SYS\'

^{07.01.2014. u 17:10 - pre 125 meseci}

Citat:

kristi1:
C:\WINDOWS\system32\drivers\acpi.sys

Ajde ako nisi oborio sistem posalji na VT i ovaj fajl, cisto da vidimo, obelezen je da je rootkit.

Ne mogu da ga posaljem, javlja mi da je 'Access denied' za windows\system32\drivers ???

Programming is fun, but writing good software is hard ...

nikitaGradov
Beograd

Član broj: 223576
Poruke: 206
95.180.91.*

+3 Profil

Re: Rootkit i 'infected VOLSNAP.SYS'

^{07.01.2014. u 17:22 - pre 125 meseci}

Citat:

nikitaGradov: Ne mogu da ga posaljem, javlja mi da je 'Access denied' za windows\system32\drivers ???

Evo, sada sam uspio da upload-ujem acpi.sys, maloprije mi je javljao da je 'access denied' za folder drivers?

Rezultat analize: ' Probably harmless! There are strong indicators suggesting that this file is safe to use. '
Pored svakog antivirus alata stoji zeleni simbol sa potvrdom.

Sad si me 'zagolicao' -> znaci da GMER prijavljuje u log-u da je u ovom fajlu ROOTKIT, a ovaj scan pokazuje da je fajl cist ?

Sad cu da pokusam da testiram jos neke fajlove za koje GMER javlja da su inficirani ROOTKIT-om ...

Programming is fun, but writing good software is hard ...

nikitaGradov
Beograd

Član broj: 223576
Poruke: 206
95.180.91.*

+3 Profil

Re: Rootkit i 'infected VOLSNAP.SYS'

^{07.01.2014. u 17:38 - pre 125 meseci}

Testirao sam sve fajlove (exe, sys, drv, dll) za koje GMER prijavljuje da imaju rootkit -> virustotal za sve njih kaze da su 'Probably harmless! There are strong indicators suggesting that this file is safe to use. ' i pored svakog antivirus alata stoji zeleni simbol sa potvrdom.

Kako da protumacim ove rezultate ?

Programming is fun, but writing good software is hard ...

Goran Mijailovic

Član broj: 12684
Poruke: 6907

+437 Profil

Re: Rootkit i 'infected VOLSNAP.SYS'

^{07.01.2014. u 18:08 - pre 125 meseci}

Citat:

Malware Defender is an intrusion detection tool that allows you to prevent viruses or other applications for making modifications to your system.

Mozda je i ovo jedan od razloga neuspelog ciscenja, ovaj program stalno vraca neka podesavanja i/ili fajlove koji su sistemski i za koje on misli da su ok. Tako se slicno ponasala neka komponenta Ad-awarea koji je ranije bio popularan.

kristi1

Član broj: 151211
Poruke: 2012
*.dynamic.isp.telekom.rs.

Sajt: www.mycity.rs/Ambulanta

+88 Profil

Re: Rootkit i 'infected VOLSNAP.SYS'

^{07.01.2014. u 18:25 - pre 125 meseci}

Ti si prijatelju 14 puta pokretao Combofix pre moje zadnje skripte, a uopste ne znas kako taj program funkcionise i kakvu stetu moze da napravi.

Milovan 03.01.2014 1:54.14.2 - x86 MINIMAL

Sta je tu radjeno ni bog otac to ne moze da ti kaze, jedino resenje je da instaliras nov sistem i ubuduce kad imas problem ovakve vrste nista ne cackaj nego pitaj.

nikitaGradov
Beograd

Član broj: 223576
Poruke: 206
95.180.91.*

+3 Profil

Re: Rootkit i \'infected VOLSNAP.SYS\'

^{08.01.2014. u 22:05 - pre 125 meseci}

Citat:

Goran Mijailovic:

Citat:

Malware Defender is an intrusion detection tool that allows you to prevent viruses or other applications for making modifications to your system.

Dragi forumasi, vjerovali ili ne, moj racunar od juce popodne radi savrseno !

Uradio sam uninstall Malware Defender-a (mada se dobro sjecam da sam par puta pokusavao 'ciscenje' bez pokretanja ovog programa u StartUp-u, bezuspjesno) i poslije toga sam probao da: pokrenem sve MS aplikacije (koje do juce nije bilo moguce pokrenuti) - USPJESNO. Pokrenuo sam sve aplikacije koje mi je kristi predlagao i svaku sam uspio da pokrenem u Normal modu. GMER (kao ni ComboFix,FRST,...) vise ne prijavljuje rootkit !

Da li je, definitivno, bio problem u ovoj aplikaciji (od juce popodne neprestano testiram i radim na racunaru i za sada je SVE KAKO TREBA -> racunar radi savrseno, odnosno, onako kako je radio prije ovog napada) ? Ponavljam, vise puta sam pokusavao da podignem sistem bez ove aplikacije, ali sam dobijao rezultate kao da rootkit i dalje postoji ... inace se dobro sjecam da sam preporuku za ovaj program (kao firewall) procitao bas na ovom forumu ...

E sad, da li je uninstall ovog programa bio dobitna kombinacija, ja ne znam ?

Zaista VELIKO HVALA kristiju i tebi na pomoci ...

PITANJE (za ubuduce): da li je dovoljno da i dalje koristim Avast (free) ili bih trebao nesto da promijenim ?

Programming is fun, but writing good software is hard ...