Problemy z rootkitem

vitio · 5 Marzec 2012

Witam
Bardzo proszę o pomoc.
Dziś rano włączyłem komputer (nawet przeinstalowany parę dni temu). Nie wchodziłem na podejrzane strony ani nie instalowałem nic nietypowego. Jedynie wczoraj usuwałem niektóre niepotrzebne pliki ze studiów (zazwyczaj doc, xls, ppt), niektóre otwierając przed ich usunięciem.

Dziś rano w trakcie startu systemu Windows pojawiło się okienko:

Zaloguj lub Zarejestruj się aby zobaczyć!

Po naciśnięciu OK komputer wyłączył się.
Włączyłem go ponownie. System włączył się już bez tego komunikatu.
Jednak po chwili pojawił się komunikat Avasta Antivirus 7 Free:

Zaloguj lub Zarejestruj się aby zobaczyć!

Niestety, miałem w tym czasie podłączone dwa zewnętrzne dyski (które dopiero po tym komunikacie Avasta odłączyłem) oraz kabel internetowy (który tez odłączyłem po komunikacie Avasta).
Teraz piszę z drugiego komputera.

Nie wiem czy dobrze zrobiłem, ale ponieważ i tak postanowiłem po tym przeinstalować system, to wybrałem „Usuń natychmiast”. Po czym Avast zalecił zresetowanie komputera. Po zresetowaniu system się włączył bez żadnego komunikatu.

Komputer mogę przeinstalować (jeszcze tego nie zrobiłem).

1) Ale po pierwsze nie wiem jaki to rootkit i nie wiem więc co mógł mi zrobić - czy są jakieś programy, które mogłyby pomóc rozpoznać co to za rootkit (zanim przeinstaluję system)?
2) Bardzo martwi mnie to, że miałem podłączone te dyski. Nie chcę stracić z nich danych.
Boję się też, że zostały zainfekowane i nawet jak przeinstaluję system i je podłączę, to znowu system się zainfekuje - czy to możliwe?
Proszę pomóżcie – najważniejsze dla mnie jest jak sprawdzić może jakimiś programami (nie infekując być może ponownie systemu lub drugiego komputera) czy te dyski nie są na pewno zainfekowane?

System mogę przeinstalować, ale chodzi mi o te dyski.

Błagam o pomoc, bo jestem w rozpaczy.

OXYGEN THIEF · 5 Marzec 2012

Jeśli masz możliwość to

Zaloguj lub Zarejestruj się aby zobaczyć!

Pobierz, nagraj na płytę lub pamięć USB ( instrukcja po Polsku ) przeskanuj kompa.

Przed tym jak chcesz to możesz pobrać sobie program HitmanPro i przeskanować.

Zaloguj lub Zarejestruj się aby zobaczyć!

Oczywiście te dyski też przeskanuj, np: darmowym Malwarebytes Anti-Malware czy Emsisoft Anti-Malware.Przed rozpoczęciem skanowania Malwarebytes ANti-Malware czy Emsisoft Anti0malware zwróć uwagę aby pobrały najnowsze definicje baz czyli aktualizacje.
Infekcja pewnie z tych dysków.

Możesz zaszczepić nośniki zewnętrzne tym programem

Zaloguj lub Zarejestruj się aby zobaczyć!

Aplikacja blokuje funkcje AutoRun zarówno na komputerze, dyskach USB jak i wszelkich innych urządzeniach. Plik autorun.inf zawiera informacje, jakie czynności ma wykonać komputer. Przestępcy internetowi często wykorzystują tę funkcję do rozprzestrzeniania wirusów, umieszczając w pliku autorun.inf złośliwy kod.

Obsługa:
Wybierasz dyski i klikasz vaccinate, najlepiej jak to ustawisz dla wszystkich czyli komputer + nośniki wymienne.

Likwis · 5 Marzec 2012

Główną funkcją rootkita jest ukrywanie się w systemie przed oprogramowaniem zabezpieczającym . To nie virus, który infekuje i usuwa pliki jak leci. Tylko jest trudny w wykryciu, ukrywa swoje szkodliwe procesy.

Przeskanuj system oprogramowaniem od Kaspersky'ego TDSSKillerem:

Zaloguj lub Zarejestruj się aby zobaczyć!

Jest to specjalistyczne narzędzie do walki z rootkitami, jak wykryje to usuń.

Możesz też pobrać narzędzie od Comodo:

Zaloguj lub Zarejestruj się aby zobaczyć!

Jest to pakiet narzędzi, dlatego poszukaj KillSwitcha, jest to manager procesów, analizuje je , które są szkodliwe a , które nie. Jak będzie się palić na czerwono, to znaczy,że masz aktywną infekcje w systemie Dawniej te narzędzie było oddzielne, teraz wkomponowane w pakiet.

SE7EN · 5 Marzec 2012

Napisz tutaj:

Zaloguj lub Zarejestruj się aby zobaczyć!

, wcześniej zapoznaj się z z tym

Zaloguj lub Zarejestruj się aby zobaczyć!

tematem.

vitio · 20 Marzec 2012

Dziękuję za dotychczasowe odpowiedzi.
Przepraszam, że nie odpisywałem, ale miałem dużo jeszcze innych problemów i musiałem trochę odłożyć na później rozwiązanie problemu z laptopem.
W tym czasie przeinstalowałem system chyba 2-3 razy, bo zaczęły się też pojawiać dosyć często „niebieskie ekrany” (może związane z rootkitem a może związane z nowymi programami zabezpieczającymi, których wcześniej nie miałem (Zone Alarm i Sandboxie oraz nowsza wersja Avasta tzn. 7) i próbowałem sprawdzić czy nie mam nadal tej infekcji (np. w MBR dysku lub na podłączonych wtedy dyskach zewnętrznych, na których mam autoruny o nazwie „autorun.inf.ren” z chyba dziwnym tym rozszerzeniem „ren”). Miałem już prawie gotowy post do zamieszczenia tutaj, który jeszcze miałem uzupełnić.
Jednak dzisiaj po 10 dniach działania systemu po przeinstalowaniu pojawił się znowu ten komunikat Avasta Antivirus 7 Free:

Zaloguj lub Zarejestruj się aby zobaczyć!

Avast napisał tak jak piszę, czyli bez podania nazwy rootkita. Poprzednim razem natychmiast wybrałem „Usuń natychmiast” i przeinstalowałem system – czego potem żałowałem, bo chcąc później stwierdzić czy nie mam nadal infekcji brakowało mi tego jaki to rootkit i czułem się jakbym walczył z wiatrakami.
Ponieważ z powodu wątpliwości czy nie mam nadal tej infekcji nie trzymam nic ważnego na tym komputerze (tylko na dyskach zewnętrznych) i nie logowałem się na żadne strony, więc ten rootkit nie ma nic ciekawego do znalezienia na moim komputerze. Dysków zewnętrznych nie podłączałem od dwóch dni.
Chciałbym więc najpierw stwierdzić co to za rootkit, a potem mogę przeinstalować system (nie muszę ratować tego obecnego), tylko, że niestety jak widać on się potem znowu pojawia.
Teraz tylko odłączyłem go od internetu, na ekranie mam ten powyższy komunikat Avasta i piszę tu z drugiego komputera.

Laptop to Lenovo R61i z Windows XP Pro zainstalowanym z ukrytej partycji Lenovo (Rescue and Recovery). Programy zabezpieczające zainstalowane to: Avast Antivirus 7 Free, Malwarebytes Anti-Malware 1.60.1 trial oraz Zone Alarm Free, Sandboxie 3.64.

Wiem, że ten plik może wyglądać na plik od Lenovo, ale mam tego laptopa już 4 lata i nigdy wcześniej nie miałem takiego komunikatu, a poza tym bardzo dziwne jest to, że gdy po pierwszym komunikacie o tym rootkicie przeinstalowałem system, to ani Avast Antivirus 7 ani GMER 1.0.15.15641 z pełnym skanowaniem (oba programy cały czas w tej samej wersji) przez 10 dni nie stwierdziły nic złego. Natomiast dzisiaj akurat kiedy Avast wykrył tego rootkita, to również GMER go znajduje (na czerwono):

Zaloguj lub Zarejestruj się aby zobaczyć!

Log pełny z Gmera:

Zaloguj lub Zarejestruj się aby zobaczyć!

Log z OTL (nie wiem dlaczego OTL nie tworzy mi logu Extras ? nie wiem też dlaczego Dr Web wykrył w pliku OTL.exe Trojan.Siggen3.52150 ?):

Zaloguj lub Zarejestruj się aby zobaczyć!

MBRCheck dla dysku w laptopie (nie wiem czy on sprawdza też tą ukryta partycje Lenovo):

Zaloguj lub Zarejestruj się aby zobaczyć!

Log pełny z MBRCheck:

Zaloguj lub Zarejestruj się aby zobaczyć!

Log z DrWeb (wykrył trojany m.in. w Rescue and Recovery i ThinkVantage):

Zaloguj lub Zarejestruj się aby zobaczyć!

Log z Malwarebytes (uruchomiony po Dr Web):

Zaloguj lub Zarejestruj się aby zobaczyć!

Czyżby ten rootkit infekował ten plik czy coś w tym stylu (może jest w MBR dysku albo na tej ukrytej partycji Rescue and Recovery)?

Mam wielką prośbę o pomoc jak stwierdzić co to za rootkit, bo wygląda chyba na to, że on potrafi „przeżyć” przeinstalowanie systemu.

PODSUMOWUJĄC: Proszę bardzo o pomoc w stwierdzeniu jaki to rootkit, aby móc następnie adekwatnie do tego zbadać czy dyski zewnętrzne (podłączone podczas poprzedniej infekcji tym rootkitem) nie są zainfekowane (to jest dla mnie najważniejsze). Mniej zależy mi na tym dysku wewnątrz komputera, bo i tak miałem zamiar go zmienić, ale na razie boje się go wymieniać, aby ten nowy dysk nie zainfekował się z powrotem z tych dysków zewnętrznych, jeśli są zainfekowane (podejrzenie to mam z powodu tego, że podczas wykrycia infekcji były podłączone, ich autoruny maja nazwę autorun.inf.ren. oraz na jednym z nich MBRCheck wykrył podejrzany MBR, oprócz tego jeszcze te "niebieskie ekrany").

Z góry bardzo dziękuję za pomoc

Anonymous · 20 Marzec 2012

Mi się wydaje że tu nie ma żadnego rootkita. Avast wykrywa sterownik od lenovo.
Tak samo gmer i MBRCheck pokazują tylko modyfikację MBR i wskazują na ten sterownik :klawik

.

Rescue and Recovery\WAM.sys

czyli jest to część aplikacji do backupu która bardzo prawdopodobne że integruje w MBR.

OXYGEN THIEF · 20 Marzec 2012

Łeeeeeeee, toć to fałszywy alarm i tyle.Antywirusy też się mylą.Dodaj ten plik
C:\Program Files\Lenovo\Rescue and Recovery\WAM.sys
do wykluczeń w Avaście i tyle.
Ty masz partycję ukrytą ( Recovery ) więc MBR jest zmodyfikowany co jest normalne, a to co Avast pokazuje jako Rootkita to sterownik od programu do tworzenia kopii które dodaje lenowo jak sprzedaje swoje komputerki.
To fałszywy alarm
tu na ich forum też mieli taki problem i też z kompem od Lenovo

Zaloguj lub Zarejestruj się aby zobaczyć!

Avast po postu strzela fałszywy alarm
Dodaj jak wcześniej już pisałem ten plik do wykluczeń i tyle

vitio · 20 Marzec 2012

To dlaczego od dawna już mi tak nie wykrywało. GMER przecież też to wykrył, przy czym to ta sama instalka GMERa, którą używałem przed tą informacją o infekcji i wtedy GMER nie informował mnie o infekcji rootkitem.
Poza tym co z tymi plikami o nazwie „autorun.inf.ren” na obu dyskach zewnętrznych podłączonych do laptopa - dawniej miały nazwy bez dodatkowego rozszerzenia „.ren”. Na jednym z tych dysków (bez żadnego systemu, tylko dane) GMER wykrył też nieprawidłowy MBR.
Nie wiem skąd też te trojany, które może ściągnął rootkit (zwłaszcza Trojan.Rmnet.1), które pojawiły się po informacji o rootkicie i znalazłem w internecie, że są niebezpieczne i też nie jest prosto je usunąć - nie wiem skąd one, gdyż od tego przeinstalowania 10 dni temu nie wchodziłem do internetu, zainstalowałem tylko wymienione wcześniej programy zabezpieczające i nie podłączałem żadnych pendrive’ów, tylko te dyski zewnętrzne (bez autoodtwarzania).
Jeszcze są „niebieskie ekrany”, które pojawiają się od tamtego czasu w bardzo różnych dziwnych momentach. W związku z tym wymieniłem pamięć, ale to nic nie pomogło.
Bardzo proszę o pomoc jak jednak mógłbym sprawdzić czy nie ma na pewno tego rootkita, a przede wszystkim czy te dyski zewnętrzne (bo na nich mam najważniejsze dane) nie są zainfekowane, żeby mieć 100%-ową pewność.

SE7EN · 20 Marzec 2012

Zobacz TU.

OXYGEN THIEF · 20 Marzec 2012

sprawdz tym jak masz cykora i nie wierzysz
TDSSKiler

Zaloguj lub Zarejestruj się aby zobaczyć!

co do Gmera to nie wie czy wiesz ale to program dla zaawansowanych użytkowników.

Problemy z rootkitem

vitio

Bardzo aktywny

OXYGEN THIEF

Bardzo aktywny

Likwis

Bardzo aktywny

SE7EN

Bardzo aktywny

vitio

Bardzo aktywny

Anonymous

OXYGEN THIEF

Bardzo aktywny

vitio

Bardzo aktywny

SE7EN

Bardzo aktywny

OXYGEN THIEF

Bardzo aktywny

Podobne tematy: