Rootkit - je tam ještě? Vyřešeno

[jaojao]

Ahoj, proscenoval jsem PC combofixem a hned v úvodu, ohlásil výskyt rootkitu a provedl restart PC.
Nevím z výsledku logu jestli ho odstranil, může se mi na to někdo mrknout?
Díky.
Vkládám spodní část logu:

R0 d347bus;d347bus;c:\windows\system32\drivers\d347bus.sys [12.8.2009 18:54 155136]
R0 d347prt;d347prt;c:\windows\system32\drivers\d347prt.sys [12.8.2009 18:54 5248]
R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [18.3.2010 15:36 164048]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [18.3.2010 15:36 19024]
R3 BENDER;Pinnacle AV/DV2 Capture;c:\windows\system32\drivers\bender.sys [12.8.2009 18:26 200320]
R3 LVHybrid;LVHybrid service;c:\windows\system32\drivers\LVHybrid.sys [12.8.2009 18:28 660992]
S0 sptd;sptd;c:\windows\system32\Drivers\sptd.sys --> c:\windows\system32\Drivers\sptd.sys [?]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [18.3.2010 18:53 1691480]
S3 DM9USB;DM9601 USB To Fast Ethernet Adapter;c:\windows\system32\drivers\dm9usb.sys [31.3.2009 20:06 21376]
S3 epmntdrv;epmntdrv;c:\windows\system32\epmntdrv.sys [6.11.2009 8:36 8704]
S3 EuGdiDrv;EuGdiDrv;c:\windows\system32\EuGdiDrv.sys [6.11.2009 8:36 3072]
S3 vaxscsi;vaxscsi;c:\windows\system32\Drivers\vaxscsi.sys --> c:\windows\system32\Drivers\vaxscsi.sys [?]
.
Obsah adresáře 'Naplánované úlohy'
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://eu.ask.com?o=14672&l=dis
mStart Page = hxxp://www.seznam.cz/
mWindow Title =
TCP: {C683A300-BF28-4B06-ACA3-8AAA4440433F} = 62.240.178.250,10.0.0.1
FF - ProfilePath - c:\documents and settings\....\Data aplikací\Mozilla\Firefox\Profiles\1auwh97o.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.seznam.cz/
FF - prefs.js: keyword.URL -
FF - plugin: c:\program files\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll
FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- NASTAVENÍ FIREFOXU ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".cz");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -

BHO-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
HKLM-Run-nwiz - nwiz.exe
Notify-EFS - (no file)



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-06-07 19:28
Windows 5.1.2600 Service Pack 3 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe catchme.sys CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x8A11F170]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xb810cf28
\Driver\ACPI -> ACPI.sys @ 0xb7f59cb8
\Driver\atapi -> 0x8a11f170
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
NDIS: Marvell Yukon 88E8056 PCI-E Gigabit Ethernet Controller -> SendCompleteHandler -> NDIS.sys @ 0xb7ddfbb0
PacketIndicateHandler -> NDIS.sys @ 0xb7deca21
SendHandler -> NDIS.sys @ 0xb7dca87b
Warning: possible MBR rootkit infection !
user & kernel MBR OK

**************************************************************************
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------

[HKEY_USERS\S-1-5-21-1202660629-1788223648-839522115-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:9c,2f,53,4a,9e,85,4b,d3,15,6b,87,02,53,04,50,0b,1e,98,0a,aa,48,fc,3c,
20,e7,66,62,f2,9f,c7,67,52,a4,61,2e,5d,db,6e,26,29,09,20,3c,93,ce,22,99,43,\
"??"=hex:3b,f5,c7,44,25,e7,23,da,a6,dc,1b,ac,40,1f,5d,02

[HKEY_USERS\S-1-5-21-1202660629-1788223648-839522115-1003\Software\SecuROM\License information*]
"datasecu"=hex:e1,73,e8,53,9a,b7,7b,34,34,71,b0,c7,7e,e5,3e,4a,32,18,1f,5f,fe,
87,84,e7,7b,4c,d4,b1,af,63,e2,2e,cd,af,8b,12,01,6c,37,27,3c,e5,bf,bd,79,f9,\
"rkeysecu"=hex:e1,a5,a4,75,89,e7,6b,b8,37,b6,b3,fc,53,e8,ce,de
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'winlogon.exe'(856)
c:\program files\Common Files\Adobe\Adobe Drive CS4\AdobeDriveCS4_NP.dll
.
Celkový čas: 2010-06-07 19:30:17
ComboFix-quarantined-files.txt 2010-06-07 17:30

Před spuštěním: Volných bajtů: 25 452 773 376
Po spuštění: Volných bajtů: 25 417 822 208

WindowsXP-KB310994-SP2-Pro-BootDisk-CSY.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect /numproc=2
multi(0)disk(0)rdisk(1)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

- - End Of File - - FAAEF4BA1A625DFB861475DCDB49A500

[Reklama]

[Damned]

Pokud tomu tak rozumíš, mohl by si vědět, že to co odstranil se píše nahoře pod hlavičkou.

Start -> Spustit... a napiš do okna tento příkaz označený modře:
C:\WINDOWS\MBR.exe -f a dej Ok. mezi mbr.exe a -f je mezera
- pokud by tě bezpečnostní software upozornil na přepsání MBR tak to povol
- počkej až program proběhne a pak restartuj Pc
Po restartu Windows zadej červený příkaz (Start-->>Spustit):
C:\WINDOWS\MBR.exe a dej OK.
Spustí se znovu a log co vytvoří sem vlož (najdeš ho v C:\WINDOWS\MBR.log)

[jaojao]

Tak zadal jsem to s tím f a napsal, mi že nenalezen, tak zkusím po restartu.
Ani po restartu > C:\WINDOWS\MBR.exe > nenalezen....
Dal jsem > hledat>MBR.exe a nebyl nalezen, takže je pryč, hláška o přepsání nebyla....

[Damned]

Stáhni si ho tedy.

Stáhni si MBR Rootkit Detektor
- ulož si ho do C:\WINDOWS

Pokračuj pak podle návodu výše.

Dej sem pak i celý log z CF.

[jaojao]

Tak našel jsem jen tohle jestli je to ono:
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

A z CF chceš nový log, nebo původní?
(musel bych ho znovu stáhnout)

[Damned]

Starej log na C nemáš?

[jaojao]

Mám než jsem to vyčistl jsem ho skopír. moment.
ComboFix 10-06-07.01 - XXXX 07.06.2010 19:24:37.3.2 - x86
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.420.1029.18.2046.1678 [GMT 2:00]
Spuštěný z: c:\documents and settings\XXXX\Plocha\ComboFix.exe
AV: avast! Antivirus *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
.
ADS - WINDOWS: deleted 24 bytes in 1 streams.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\regedit.com
c:\windows\system32\taskmgr.com

.
- - End Of File - - FAAEF4BA1A625DFB861475DCDB49A500

[Damned]

Otevři si Poznámkový blok (Start -> Spustit... a napiš do okna Notepad a dej Ok).
Zkopíruj do něj následující celý text označený zeleně:

File::
c:\windows\system32\ezsidmv.dat
c:\windows\system32\KGyGaAvL.sys

Driver::
KGyGaAvL

Rootkit::
c:\windows\system32\KGyGaAvL.sys



Zvol možnost Soubor -> Uložit jako... a nastav tyto parametry:
Název souboru: zde napiš: CFScript.txt
Uložit jako typ: tak tam vyber Všechny soubory
Ulož soubor na plochu.
Ukonči všechna aktivní okna.


Uchop myší vytvořený skript CFScript.txt, přemísti ho nad stažený program ComboFix.exe
a když se oba soubory překryjí, skript upusť.


- Automaticky se spustí ComboFix, oprava může trvat i déle než 10 minut. ! Nech ComboFix dokončit svou práci !
- Vlož sem log, který vyběhne v závěru čistícího procesu

[jaojao]

ComboFix 10-06-07.01 - XXXX 07.06.2010 21:52:12.4.2 - x86
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.420.1029.18.2046.1680 [GMT 2:00]
Spuštěný z: c:\documents and settings\XXXX\Plocha\ComboFix.exe
Použité ovládací přepínače :: c:\documents and settings\XXXX\Plocha\CFScript.txt
AV: avast! Antivirus *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

FILE ::
"c:\windows\system32\ezsidmv.dat"
"c:\windows\system32\KGyGaAvL.sys"
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\ezsidmv.dat
c:\windows\system32\KGyGaAvL.sys


- - End Of File - - 7264D23AA3F236FE620BD9DFBC08AA3F

nevím co to bylo za soubor (KGyGaAvL.sys), jestli ten rootkit, ale našel jsem tam tenhle: KGyGaAvL.sys.vir - je to v Qooboxu to je asi součást combofixu....

[Damned]

CF ho takto při přesunu označí.

Start -> Spustit... a napiš do okna tento příkaz označený modře:
C:\WINDOWS\MBR.exe -t a dej Ok. mezi mbr.exe a -t je mezera
- pokud by tě bezpečnostní software upozornil na přepsání MBR tak to povol
- počkej až program proběhne a pak restartuj Pc
Po restartu Windows zadej červený příkaz (Start-->>Spustit):
C:\WINDOWS\MBR.exe a dej OK.
Spustí se znovu a log co vytvoří sem vlož (najdeš ho v C:\WINDOWS\MBR.log)

[jaojao]

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

(KGyGaAvL.sys) -"sbírka použitých filtrů z divX..?
Tak OK?
Vyházet a vyčistit ?

[Damned]

Vypni antivir a pokud máš i Antispyware a odinstaluj ComboFix ( nutné ) .
ComboFix se odinstaluje takto:
Start -> Spustit (nebo klávesy Win+R) a zadej do řádku: Combofix[mezera]/uninstall

Stáhni si T-Cleaner ( nutné - smaže vše po Combu,SDFixu,Avengeru,MWAVu atd.-stáhneš->spustíš)
*****************************************************************************************************************************************
Stáhni si OTL na Plochu.
Ujisti se , že máš zavřena všechna ostatní okna a poklepej na ikonu OTL.Nahoře v okně pod Výstup klikni na Minimální výstup.Pod Běžné registry změň na Vše, Specifické registry na Vše. Zatrhni Kontrola na havěť LOP a Kontrola na havěť Purity. Stáří souborů změň na 14 dnů. Všechny ostatní nastavení ponech jak jsou. Klikni na Prohledat. Sken může trvat dlouho, až skončí otevřou se dva logy:
OTL.Txt
Extras.Txt
Jsou uloženy ve stejném místě jako OTL. Oba logy sem prosím zkopíruj