Sigurnosno skeniranje aktivnih procesa

MOLIM DA SE JAVLJAJU LJUDI KOJI SE RAZUMIJU U TEMU ! Ima li više na ovom forumu iko stvarno iz Bug-a ili sve tinejdžerski gameri, no offense ?

Ukratko, prije već dosta vremena sam skupio neki malware koji sam tada suzbio ali nisam uspio ukloniti, i sad sam se opet počeo baviti time (iz razloga koji nisu bitni) i suzbio sam sve njegove efekte ali njega nisam uspio identificirati i eliminirati.

Malware sam skupio surfajući IE-om (kojeg inače nikad ne koristim ali sam ga tada kratko privremeno koristio zbog problema sa Firefoxom), a radi sljedeće :

1. otvara svakave glupe stranice u IE-u ako je IE pokrenut (što nije problem jer IE nije nikad otvoren)

2. autostarta IE nakon dizanja Windowsa i svake dvi-tri minute nakon toga (ovo nisam mogao spriječiti jer ne znam koji proces pokreće iexplore.exe, a nisam mogao ni čisto izbrisati iexplore.exe jer ih Windowsi vraćaju iz svog sistemskog backup foldera, ali sam zato zamijenio iexplore.exe driverima za miša koje sam preimenovao u iexplore.exe, a taj proces mi ionako treba biti pokrenut pa nema problema)

3. nakon svakog dizanja Windowsa mijenja default browser sa Firefoxa u IE (ne pomaže postaviti default browseru ni u Firefoxu ni u Windowsima ni nigdje, jer oni minja svaki put, ali sam zato skino program BrowserTraySwitch koji može switchati default browser, napravio .bat da pokrene taj program i da on promini d.b. na Firefox i zatvori se, i onda sam taj .bat stavio u autostart)

Dakle suzbio sam sve efekte ovog smeća (i nije toliko briljantan u efektu koliko ga je teško naći) ali njega samog nisam uspio naći i eliminirati. Pobijedio sam ga ali ga nisam zatukao do kraja.

Pokušao sam skenirati raznim poznatijim antimalware programima, ali ili nisu ništa našli ili su makli neko drugo smeće ali ne i ovo. Pokušao sam ručno zamijenjivati neke sumnjive sistemske fileove čistim kopijama sa neta ali nije pomoglo. Međutim pošto ovo smeće pokušava pokrenuti iexplore.exe svakih par minuta (iako ništa ne uspijeva) znam da mora biti među aktivnim procesima, ali ga ne mogu naći.

Broj procesa koji se vrte nakon normalnog dizanja Windowsa mi je uvijek isti i znam ih sve poimence već 10 godina, ali tu nema ništa dodatno niti novo. To mora značiti da je ovaj malware zamijenio jedan od tih sistemskih procesa koji mi se ionako vrte. Program TaskPatrol (koji je kao proširena sigurnosna verzija Windows Task Managera i služi za skeniranje aktivnih procesa) mi je beskoristan, po njegovoj ocjeni mi je najopasniji True Image Monitor (shvaćam zašto, ima takve karakteristike), ali je to čista besmislica, dok svim sistemskim procesima daje ocjenu opasnosti 0% samo zato što imaju signature od Microsofta, blesavo !

Dakle ima li neko prijedlog za neki dobar program za detektiranje i skeniranje aktivnih procesa i servicea, da nekako istjeram na čistinu i ucmekam ovu gamad ? E, i savjeti tipa da reinstaliram Windowse ili da pazim po čemu surfam nisu potrebni, hvala !

E ovo zadnje bi možda moglo pomoći, hvala !

EDIT : Javin čim probam rezultate, htio sam odma al me omele druge stvari na ovom forumu, naime onaj kalendar gamer babes, nisam moga oči odlijepit... :)

E i mislin da san proba jednom jedan od ovih, ali drugi nisam...

Proba san Spyware Terminatorom, Malwarebytesom, Hijack This, CWShredder itd., stvarno mi se ne da više antimalware skenera testirati... Jedino mi je Malwarebytes išta naša, i to razne korisne stvari (tj. štetne oću reći). Između ostaloga registry setting di mi je ovo trenutačno sr... bilo disablealo Task Manager da ga ne mogu zatvorit (to sam odma googla i enablea u registryu, ali očigledno je neki trag ostao).

Što se autoruna tiče iman savršen program za to, Autoruns (freeware čini mi se), ne znam koliko me puta dobro poslužio, uštedi vrimena super ! Preporučam i Unlocker, super je za izbrisa tvrdoglave stvari koje se ne daju izbrisa (lipo ispiše procese koji imaju handle na fileove i unlocka / deletea ako treba).

Anyway, skeniranje diska ne pomaže, treba pomno proučiti aktivne procese sa nečim šta još nisam proba, probam ovo gore...

Inače pravi lijek za bilo koji malware in my experience nije nijedan antimalware program - nijedan od njih nije 100% uspješan i nijedan od njih nije 100% neškodljiv (da ne pravi nikakve probleme useru), pravi lijek je backup - tjedan dana star backup sistemske particije (klonirani image) svaki tjedan, i onda i najgoru boljku izliječiš dok popiješ kavicu (copy clone back to main HD)... Samo ja nisam imao svježi backup kad mi se ovo bilo dogodilo, jebga... Backupiranje je ko korištenje kondoma, ako propustiš učinit moš zažalit... :)

P.S.

Btw zna ko neku malu aplikaciju koja bi mi mogla reć koji proces trenutačno pristupa disku, onako obilatije ? Mrzim kad mi ponekad nešto kopa po disku a ne znam šta je (i ne vidi se po CPU aktivnosti u Task Manageru)... Uglavnom su Windowsi, ali nikad se ne zna...

Ovako, proba san ove gori navedene stvari i evo rezultata.

Comodo Cleaning Esentials Autorun Analyzer nalazi hrpu očiglednih false positivea i jedan sumnjivi (svi ostali piše unknown, ovaj je denied access) - atapi.sys. Pošto sam pročita da je taj vezan uz neki malware koji redirecta google search zaminia sam atapi.sys čistim ali ovo se i dalje događa a A. A. ga opet javlja kao denied access - dakle ništa.

Kill Switch sve javlja kao safe osim True Imagea šta očigledno nije.

Comodo Cleaning Esentials antimalware scanner radi "quick" scan dvi i po ure i opet nalazi hrpu obvious false positivea i samo jedan vrlo sumnjiv - oreans32.sys. Na netu piše da je on neka komponenta vezana uz software od kompanije Oreans, searcham po disku i vidim da nema ništa od njih, maknem i to. I dalje isto.

Onda probam System Explorer i Process Explorer, prvi sve prijavljuje kao safe, drugi kad sam starta prvi put INSTATNO mi je srušio komp ko da je nestalo struje. Drugi put i dalje lipo radi, nemam pojma zašto prvi put nije.

E sad, Process Explorer ima ono što sam stalno htio, prikazuje parent process. Podmetnem notepad na misto iexplore.exe (driveri od miša se zatvore pa otvore drugi driver od miša pa to nije vrijedilo) i otkrijem da je proces koji stalno otvara iexplore.exe svchost.exe. Međutim file izgleda legitimno, a imam i niz drugih svchost procesa aktivnih koji rade korisne stvari. Šta poduzeti, molim savjet ?

Evo što više infoa mogu dati o tom procesu (copy / paste iz Process Explorera) :

EDIT - screenshotovi će biti lakši

ubacin sad odma dok vi ovo pročitate

e btw po oba ta programa taj proces je Safe

Ne ide mi ubacit slike u post sa ovim glupim Silvercrapom pa evo link :

https://rapidshare.com/files/2757809502/screenshots.rar

EDIT 2 : Skinia sam program Svchost Process Analyzer koji analizira šta se vrti unutar Svchost procesa, ali ne kaže mi puno više nego Process Explorera, ovaj svchost.exe koji pokreće IE uključuje samo dva čini se legit i nužna Windows servicea : DCOM Server Process Launcher i Terminal Services

Da, to sam i ja zaključio. Bia sam prije par dana upotrijebio GMER, koji je navodno najbolji za uklanjanje rootkitova, ali mi nije baš puno pomogao.

Anyway, hvala svima na pomoći, ali odlučio sam odustati od bavljenja sa ovim. 99% sam siguran da je malware spriječen u obavljanju ikakve štete, a bio sam i kad sam započeo ovaj thread ali sam ga htio eliminirati do kraja više iz tvrdoglavosti. Međutim izgubio sam dva i po dana baveći se time za relativno malo koristi. Cijena u vremenu je previsoka s obzirom da imam ispit za spremati a i druge stvari, a osim toga taj malware će nestati zauvijek kad nabavim novi hardver nekad u dogledno vrijeme, instaliram novi OS, kopiram samo birane podatke s ovog HD-a i onda ga prebrišem temeljito jednim od onih alata za tu svrhu...

Sve što preostaje je reći merci et adieu !

Pa, kao što rekoh u prvom postu spriječio sam malware da pokreće IE i da ga postavlja za default browser, a ništa osim toga ne radi koliko ja znam. Jasno da je moguće da nešto jako dijabolično i opasno radi u pozadini dok ja ne znam, međutim držim oko obično na aktivnosti procesora, HD-a i veze, tako da da ijedan proces počne raditi nešto neobjašnjeno šta uzrokuje primjetnu aktivnost odma bi ga zatvoria. Kao što rekoh, po mom mišljenju je odnos između rizika i vremena potrebnog za riješiti ovo takav da se ne isplati to riješavati, i ionako će se riješiti kad maknem ovaj sistem.

Evo radi se (RK začas, OTS već poduže)...

EDIT :
Ovo skenira već po ure i troši 100% procesora pa ne mogu ništa radit na kompjuteru, a nemam pojma dokad će tako, ne piše nikakva vremenska procjena (štoviše čitav mu je prozor trenutačno zablurean zbog zauzeća procesora) a nemogu ostavit kompjuter do sutra ovako !

Tia san ostavit ovo da radi dok odem večerat pa sam pokrenuo jedan film (jer ne želim da se screensaver pokrene i opterećuje procesor, a pauzirani BSplayer spriječava screensver da se pokrene, a direktno isključit screensaver mi se činilo presporo jer W. E. totalno zapinje), i film se lipo pokrenuo ali se W. E. totalno shebao - odjednom su se pojavili hidden i system fileovi (bez da sam ja uključio u W. E. opcijama da ih prikazuje) i odjednom su postale vidljive ekstenzije fileova (koje inače držim hidden), očigledno je W. E. nekako zaboravio svoje settingse uslijed rada ovog OTS-a, ko zna šta se još shebalo, i sad se bojim nasilno prekinuti ovaj OTS jer ko zna šta je on uradio sistemu da bi obavio svoje skeniranje, a ne mogu ga pustit da radi do sutra kao što već rekoh ! Daj reci Total jel se ovo smi isključit il ne smi, u onom drugom threadu kažeš da ne smi al ne znam jel radi reprorta ili da se ne bi šta shebalo... Nemam svježi backup sistemske particije pa ako se nešto poremeti (više nego šta već je) grdno ću zažalit šta sam pokreno ovo na tvoj savjet...

OK good to know da je ovo sa hidden fileovima normalna procedura...

Ovo i dalje prži, dosad preko uru vrimena. Ako ne završi za još uru-dvi, moraću nekad prekinit, jer ne mogu ništa radit na kompjuteru ovako... Dakle jel opasno prekinit OTS proces ?

Ili prastar procesor... :)

Pokuša sam uploadat maloprije al ne radi zbog nonstop zauzeća procesora. Al evo ovaj forum je jedna od malobrojnih stvari koje rade (premda usporeno) pa ti evo copy / paste, uz dvije napomene :

-od onih registry itema 2-5 sam ja disablea (glupa Windows upozorenja)

-napravio mi je folder RK_Quarantine i u njemu file PhysicalDrive0_User.dat, jel to treba čemu ?

RogueKiller V6.2.4 [01/12/2012] by Tigzy
mail: tigzyRK<at>gmail<dot>com
Feedback: http://www.geekstogo.com/forum/files/file/413-roguekiller/
Blog: http://tigzyrk.blogspot.com

Operating System: Windows XP (5.1.2600 Service Pack 2) 32 bits version
Started in : Normal mode
User: VD [Admin rights]
Mode: Scan -- Date : 01/17/2012 17:57:31

¤¤¤ Bad processes: 0 ¤¤¤

¤¤¤ Registry Entries: 6 ¤¤¤
[PROXY IE] HKCU\[...]\Internet Settings : ProxyServer ( ) -> FOUND
[HJ] HKLM\[...]\SystemRestore : DisableSR (1) -> FOUND
[HJ] HKLM\[...]\Security Center : AntiVirusDisableNotify (1) -> FOUND
[HJ] HKLM\[...]\Security Center : FirewallDisableNotify (1) -> FOUND
[HJ] HKLM\[...]\Security Center : UpdatesDisableNotify (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

¤¤¤ Particular Files / Folders: ¤¤¤
[FOLDER] plugs : c:\documents and settings\vd\application data\adobe\plugs - FOUND
[FOLDER] shed : c:\documents and settings\vd\application data\adobe\shed - FOUND

¤¤¤ Driver: [LOADED] ¤¤¤
SSDT[241] : NtSetSystemPowerState @ 0x8066608F -> HOOKED (d346bus.sys @ 0xF77B4230)
SSDT[177] : NtQueryValueKey @ 0x8056B9A8 -> HOOKED (d346bus.sys @ 0xF77B4D56)
SSDT[160] : NtQueryKey @ 0x8056F473 -> HOOKED (d346bus.sys @ 0xF77A951C)
SSDT[119] : NtOpenKey @ 0x805684D5 -> HOOKED (d346bus.sys @ 0xF77B4C84)
SSDT[116] : NtOpenFile @ 0x805715E7 -> HOOKED (d346bus.sys @ 0xF77A8A60)
SSDT[73] : NtEnumerateValueKey @ 0x805801FE -> HOOKED (d346bus.sys @ 0xF77B4E00)
SSDT[71] : NtEnumerateKey @ 0x8056F76A -> HOOKED (d346bus.sys @ 0xF77A94FC)
SSDT[45] : NtCreatePagingFile @ 0x805BD9D8 -> HOOKED (d346bus.sys @ 0xF77A8A20)
SSDT[41] : NtCreateKey @ 0x8056F063 -> HOOKED (d346bus.sys @ 0xF77B4CC0)
SSDT[25] : NtClose @ 0x805675D9 -> HOOKED (d346bus.sys @ 0xF77B4D08)

¤¤¤ Infection : ¤¤¤

¤¤¤ HOSTS File: ¤¤¤
127.0.0.1       localhost


¤¤¤ MBR Check: ¤¤¤

+++++ PhysicalDrive0: +++++
--- User ---
[MBR] c0782ba974755f5f13ebe6c68c1c43a8
[BSP] 81ccdac66ffe62a8fe9481d943e67b07 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 63 | Size: 11910 Mo
1 - [XXXXXX] UNKNW [VISIBLE] Offset (sectors): 23262120 | Size: 188136 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Finished : << RKreport[1].txt >>
RKreport[1].txt



Btw, moran priznat da ne kužim zašto ovoliko vrimena ulažeš za pomoć nekome drugome besplatno... :) Tj. da bolje kažem takvi ljudi (naivčine :) ) su rijetki...

P.S.

Evo OTS je baš bio prešao u neku drugu fazu i presta toliko abuseati procesor i počea kopa po disku, sad opet tare procesor, ali valjda to znači da je završia sa najgorom fazom pa bi uskoro trebalo bit gotovo, bar se nadam...

Nisam ima vrimena za postati ovdje jučer i prekjučer pa evo sad raporta.

Ovaj scan sa OTS-om u utorak naveče je traja 7 sati i dalje je pržio kad sam ja otiša na spavanje, tako da ne znam koliko je ukupno traja... Kad sam se diga idući dan kompjuter se bia resetira (i Windowsi digli iznova), ne znam iz kojeg razloga, možda je bio pad napona tokom noći a možda se pregrijalo (sumnjam jer sam otvoria prozor), ko zna šta...

Anyway čini se da se srušilo dok je OTS još skenirao, jer nije vratio promjene koje je napravio, tj. un-hideanje hidden i sistemskih fileova i file  ekstenzija, međutim koliko vidim dosad nije ništa drugo izneredio a to je lako srediti...

Anyway, ne planiram ga opet pokretati i čekati cili dan, imam bitnijeg posla (ispit !). Hvala na dosadašnjoj pomoći, ako znaš šta tu treba konkretno učiniti (neki file izbrisati / zamijeniti čistim, neki registry key brisnuti / izmijeniti) samo reci, al ako nije neka brza i jednostavna mjera ja se ovoga generalno ostavljam...

P.S.

OTS scan sam bio pokrenuo sa tačno onim settingsima koje si ti opisao u onom drugom threadu gore linkanom (plus defaultni jasno).

 pogledaj u c:/ imaš li OTS.txt ili na desktopu...

dok ne pogledam log, ne znam što konkretno brisati/mijenjati

možeš odraditi tdsskiller sacn kako je preporučeno

tdsskiller log se nalazi u c:/ i izgleda otprilike ovako

C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt

combofix

skini combofix i spremi na desktop

-isključi antivirus

-poreni combofix i na sve što traži odgovori potvrdno

-log koji dobiješ kopiraj