VBS:Malware-gen i plik qqqif.sys

[t.U.r.]

Witam

Od wczoraj męczę się z problemem zainicjowanym przez mojego brata. Będąc na NothingToxic.com zignorował ostrzeżenie Avasta o wirusie. Od tamtej pory mam problem z "odradzającym się" plikiem qqqif.sys umieszczonym w C:\Windows\System32\Drivers .

Komputer zauważalnie zwolnił, proces ten trwał dopóki nie wyświetliło się okno Avasta informujące o infekcji. Zaznaczyłem usunięcie pliku, ale za chwilę pojawiło się ostrzeżenie o wykryciu wirusa w pamięci operacyjnej. Od razu wyłączyłem komputer pozwalając na skanowanie w fazie rozruchu. Avast znalazł podejrzany plik, potraktowałem go kwarantanną. Podziałało to na szybkość działania kompa, ale znowu otrzymałem ostrzeżenie o pliku qqqif.sys - po usunięciu go avast straszy mnie wirusem w pamięci operacyjnej.

Uruchamiałem już skanowanie Spybotem (znalazł 6 problemów - usunięto) oraz Malwarebytes' (1 problem, usunięto). Problem powtórzył się, włączyłem skan rozruchowy avasta - znalazł zainfekowany plik : C:\System Volume Information\_restore{984E3790-4214-4GBO-A5C7-A40089250016}\RP201\A0094226.bat , który kazałem usunąć. Po każdorazowym włączeniu komputera nadal wyświetla się informacja o podejrzanym pliku qqqif.sys , a następnie o wykryciu wirusa w pamięci operacyjnej

[Sevard]

No to na początek poproszę o kilka logów.

1. Jeśli masz programy emulujące napędy, to ściągnij program Defogger, uruchom go i wyłącz nim emulację napędów.

2. W OTL w sekcji Rejestr - skan dodatkowy zaznacz opcję Użyj filtrowania, poza tym pozaznaczaj również opcje Infekcja LOP - Sprawdzanie oraz Infekcja Purity - Sprawdzanie, Skanuj wszystkich użytkowników i kliknij skanuj.

3. Ściągnij program GMER. Nie zmieniaj żadnych opcji i kliknij przycisk Szukaj. Po zakończeniu pracy zostaniesz poinformowany, że log został zapisany w schowku. Otwórz notatnik, wklej go i zapisz na dysku.

Logi powstałe w krokach 2 oraz 3 (czyli dwa logi z OTL oraz log z GMERa) wrzuć na forum. Najlepiej jako załącznik do posta, albo na wklej.org i daj linki na forum.

W razie problemów z GMERem spróbuj go odpalić w trybie awaryjnym, jeśli i tam będzie sprawiał kłopoty, to daj znać.

[t.U.r.]

Skan OTL'em udał się bez problemów, logi dodaję w załączniku. Krótko po zakończeniu skanu OTL, Avast ostrzegł mnie o Win32:rootkit-gen w C:\WINDOWS\System32\Drivers\qqqjf.sys który zgodnie z zaleceniem usunąłem. Ściągnąłem GMERa z losową nazwą aplikacji, po uruchomieniu pojawiał się komunikat o wykryciu modyfikacji systemu - qqqif.sys która jest prawdopodobnie owocem aktywności rootkita. Dalsze skanowanie kończyło się jednak restartem systemu, skanowanie w trybie awaryjnym daje ten sam efekt...

OTL.Txt

Extras.Txt

[Sevard]

W logu z GMERa nie widać nic aktywnego, ale widać ten plik, o którym wspomniałeś. Na początek zrób co następuje. Jeśli nie podziała, to spróbujemy użyć poważniejszych narzędzi.

1. Ściągnij na pulpit program RKill.

2. Pozamykaj wszystkie otwarte okna i uruchom ściągnięty program. Jeśli przed uruchomieniem Malwarebytes' lub Dr.Web CureIt! zresetujesz komputer, to użyj tego narzędzia ponownie.

3. Ściągnij do katalogu z Malwarebytes' plik wykonywalny Malwarebytes' z losową nazwą.

4. Uruchom Malwarebytes' korzystając z pliku z losową nazwą.

5. Uaktualnij Malwarebytes' i przeprowadź pełne skanowanie komputera.

6. Następnie ściągnij Dr.Web CureIt! i również tym programem przeskanuj system.

7. Zresetuj komputer.

8. Ściągnij program RootRepeal.

9. Uruchom go. Przejdź do karty Report i kliknij opcję Scan.

10. W oknie, które się pojawi zaznacz wszystkie opcje.

11. W następnym oknie zaznacz tylko dysk systemowy.

12. Program będzie przechodził przez kolejne karty i będzie odnotowywał to co znajdzie.

13. Po zakończeniu skanowania pojawi się raport w oknie programu i równocześnie zostanie otwarty notatnik, w którym będziesz miał log.

Następnie na forum daj loga z Malwarebytes' oraz RootRepeal i napisz, czy Dr.Web! CureIt! coś znalazł.

[t.U.r.]

Skanowanie "Doktorem" dysku C zakończone, jedyna akcja to przywrócenie domyślnej wersji HOSTS w folderze autostartu. Skanowanie partycji D potrwa pewnie kilka godzin, więc na razie wyślę tylko log z Malwarebytes'.

Wykryło dwa pliki, co ciekawe jeden z nich to plik wykonywalny RKilla. Nie usuwałem go, ale pozbyłem się drugiego podejrzanego pliku.

Akcję z RootRepeal uskutecznię już raczej jutro.

mbam_log_2010_09_22__16_24_16_.txt

[Sevard]

Skoro Dr.Web nie wykrył nic na partycji systemowej, to nie rozwiąże on problemu.

No dobra, będzie trzeba użyć czegoś poważniejszego. Przeczytaj uważnie to. Następnie ściągnij i uruchom Combofix daj log z ComboFixa i zamieść na forum wygenerowany log.

[t.U.r.]

Zmodyfikowany plik HOSTS.

Systemy operacyjne z rodziny Windows używają pliku HOSTS do mapowania nazw hostów na adresy IP. Modyfikacja pliku HOSTS może wskazywać na działanie w systemie szkodliwego oprogramowania. Czy chcesz przywrócić domyślną wersję pliku HOSTS?

Zaznaczyłem TAK, nic nie pomaga. Jutro zaczynam od ComboFixa.

[t.U.r.]

Skanowanie ComboFixem zakończone, log w załączniku. (sorry za podwójny post, ale w takich desperackich tematach to chyba dozwolone)

log.txt

[Sevard]

Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:Files

C:\WINDOWS\System32\drivers\qqqjf.sys


:Reg

[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\qqqjf]


:Commands

[clearallrestorepoints]

[emptyflash]

[emptytemp]

i kliknij Uruchom skrypt. Po restarcie otrzymasz log. Po restarcie wygeneruj nowe logi z OTL. Wszystkie 3 logi wklej na forum.

[t.U.r.]

Daję dwa nowe logi, ale mam nie mogę znaleźć trzeciego Jest tylko wczorajszy plik extras.txt - ten się raczej do niczego nie przyda? Na wszelki wypadek też wkleję.

09232010_183112.txt

OTL.Txt

Extras.Txt

[mtx25]

Od siebie powiem, że przeglądając ten log ten plik nadal siedzi.

Poczekajmy na Sevarda, on jest w tym obcykany i powie Ci co dalej.

[t.U.r.]

Od siebie powiem, że przeglądając ten log ten plik nadal siedzi.

Tak, tyle to i ja zrozumiałem Zresztą avast po każdym uruchomieniu komputera również mnie o tym informuje.

Szukałem informacji m.in na Web of Trust o NothingToxic - myślałem że dowiem się czegoś o tym świństwie które mi ściągnięto - ale nic nie znalazłem.

[Sevard]

Sprawdź plik C:\WINDOWS\System32\drivers\qqqjf.sys na Jotti i rezultaty podaj na forum.

W OTL w sekcji Własne opcje skanowania/skrypt wklej:

qqqjf /rs

c:\windows\qqqjf.* /s

netsvcs

drivers32

%SYSTEMDRIVE%\*.*

%systemroot%\*. /mp /s

CREATERESTOREPOINT

i kliknij szybki skan. Wrzuć na forum wygenerowany log. Skan może trochę potrwać.

Spróbuj jeszcze użyć RootReapeal i z niego też daj loga.

Jaki dokładnie komunikat wyświetla Avast?

[t.U.r.]

Zapomniałem dodać że kilkukrotnie sprawdzałem już ten plik na jotti i za każdym razem był on pusty.

Dokładny komunikat z avasta :

"Znaleziono oprogramowanie typu rootkit!

W systemie wykryto podejrzany, ukryty obiekt (rootkit). Może to oznaczać zarażenie szkodliwym programowaniem. Zaleca się natychmiastowe usunięcie obiektu.

Plik : C:\WINDOWS\System32\Drivers\qqqjf.sys

Typ : ukryte usługi

Nazwa pasożyta : Win32:Rootkit-gen [Rtk]"

Za każdym razem usuwam.

Jak tylko logi będą gotowe, to wkleję na forum.

[Sevard]

Może więc to nie jest szkodnik. Nazwa jest losowa, więc nie jestem w stanie tego stwierdzić z całą pewnością. Zobaczy się po logu z RootRepeal, co to robi. Jest możliwe, że to element jakiegoś normalnego programu, tyle tylko, że ma on funkcje, które mogą być szkodliwe. Wysłałem Ci na PW swój adres e-mail. Jeśli możesz, to prześlij mi ten plik, spróbuję u siebie zobaczyć co to za twór.

Zobacz jeszcze, czy w katalogach C:\Windows\system32\dllcache oraz C:\Windows\driver cache (sprawdź również podkatalogi) nie ma pliku qqqjf.sys, lub qqqjf.sy_.

[t.U.r.]

A więc po kolei :

OTL z podanym skryptem zawsze zawiesza się na HKEY_LOCAL_MACHINES\SYSTEM\CurrentControlSet\Session Manager\DOS Devices\AUX . Próbowałem trzy razy, za każdym razem gdy program dochodził do tego procesu zamierał na kilkanaście minut (tak jak i odgłosy z HDD), więc w końcu odpuściłem.

Dodaję log z RootRepeal.

Co do wysłania podejrzanego pliku - gdy próbowałem go spakować WinRar wyświetlał komunikat o tym że nie może otworzyć pliku i że "urządzenie podłączone do komputera nie działa".

W podanych przez Ciebie katalogach nie znalazłem szukanych plików.

RootRepeal_report_09_23_10__23_13_19_.txt

[Sevard]

Rootkit, który w dodatku dosyć mocno się trzyma. Żeby się nie bawić bardziej niż to potrzebne usuniemy go z zewnątrz i potem usunie się resztki.

Ściągnij Dr.Web LiveCD, wypal to na płytę i zbootuj kompa z tej płyty. Wykonaj pełne skanowanie programem antywirusowym, który jest na płycie. Jeśli znajdzie plik qqqjf.sys i go usunie, to wtedy problem jako taki nie powinien występować. Jeśli jednak nie zadziała, to odszukaj z poziomu tej płyty plik C:\Windows\system32\drivers\qqqjf.sys i przenieś go w jakieś zupełnie inne miejsce. Następnie spróbuj uruchomić Windowsa i napisz, czy system działa.

Na stronie Dr.Web masz instrukcję do tej płyty w formie PDF (gdy klikniesz na download, to jeden z plików to będzie instrukcja).

[t.U.r.]

Skaner na LiveCD ciągle się zawieszał gdy dochodził do danych aplikacji Apple'a - C:/Documents and Settings/All Users/Dane Aplikacji/Apple/Installer Cache/Apple Mobile Device Support 2.6.0.32/AppleMobileDeviceSupport.msi/stream000 . Uruchomiłem więc skanowanie tylko folderu System32 ale program nie wykrył podejrzanego qqqjf. Korzystając z Midnight Commandera przeniosłem ten plik do folderu Codemasters na partycji D . Jak na razie Avast o niczym nie informuje. Teraz plik waży 552 kB, a tutaj są wyniki skanowania Jotti's.

[Sevard]

Czyli wygląda na to, że ten problem mamy z głowy. Daj w takim razie jeszcze nowy zestaw logów, ale powinno już być po problemie. Choć pewnie będzie trzeba jeszcze jakieś drobne rzeczy sprzątnąć.

Przeskanuj jeszcze system programem ESET Online Scanner i z niego też daj loga.

[t.U.r.]

Daję logi z GMERa i OTLa.

Skanowanie RootRepealem przerywane było tym razem komunikatem "Exception Address : 0x004eca19"

ESET... wykrył ponad 50 zagrożeń -między innymi dwa podejrzane pliki- ale większość to trainery z bonusów dołączanych do CD-Action (i dobrze, dla mnie zbędne, bo tylko nooby korzystają z trainerów ), za zagrożenie uznał też plik wykonywalny Might & Magic VII. Co ciekawe to nie pierwszy raz kiedy antywirusy uznają aplikacje wszelakich Might & Magic za szkodliwe - co jest z nimi nie tak? Log z ESETa również dołączam.

Avast jeszcze raz ostrzegł mnie o qqqjf , kazałem usunąć i jak na razie jest spokój.

GMER.txt

OTL.Txt

ESETlog.txt

[Sevard]

Pewnie znalazł go tam, gdzie to przeniosłeś. W logach już nic nie widać. Uruchom OTL i użyj opcji Sprzątanie (to usunie śmieci po użytych narzędziach). I teraz tak. Uaktualnij system, ponieważ XP SP2 nie jest już wspierany. Poza tym uaktualnij następujące programy (nawet jeśli ich nie używasz):

Internet Explorer

Java

Adobe Reader

Bo widzę, że masz zainstalowane bardzo nieaktualne wersje.

Dalej, antywirusa warto zmienić na coś, co rzeczywiście potrafi zatrzymać zagrożenia. Od siebie polecam antywirusa Avira i do tego jakiś firewall (np. Outpost, lub Comodo), lub cały pakiet Comodo Internet Security.

Po wykonaniu tych rzeczy daj znać jak działa system.

[t.U.r.]

Zaktualizowałem system (już dawno powinienem to zrobić, ale wcześniej miałem jakieś kłopoty z autoaktualizacją i przekładałem) i wymienione programy, zostałem tylko przy starej wersji Acrobat Readera bo nowsze strasznie powoli chodzą na moim złomie.

Do tej pory avast sprawiał wrażenie działania bez zarzutów, nawet w rankingu CD-Action na najlepszy program antywirusowy zajął pierwsze miejsce - myślałem że warto ufać temu programowi. Niedługo wypróbuję polecone przez Ciebie programy, zobaczę jak się u mnie spisują.

W tej chwili system działa bez zarzutów, problem można uznać za rozwiązany.

Bardzo dziękuję za pomoc.

[Sevard]

W takim razie zamiast Adobe Readera możesz zainteresować się programem Foxit Reader. Jest sporo lżejszy i też darmowy, a robi to samo. Poza tym wersja 9 Adobe Readera nie jest aż tak ciężka. To ósemka była pod tym względem tragiczna.

Avast! sporo wirusów wykrywa, ale niestety niespecjalnie sobie z nimi radzi. Ponadto potrafi zamulić kompa.

[Alaknar]

Adobe 9 też jakiś nadmiernie lekki nie jest - Foxit będzie zdecydowanie lepszym rozwiązaniem. Proponuję zainstalować Foxita ORAZ zaktualizować Adobe Readera (na jakiejś stronie widziałem kiedyś skrypt, który się odpalał tylko z Readerem)

Co do antywirów - mi by się nie chciało bawić w dwie osobne aplikacje, dlatego polecam pakiet Comodo Internet Security (antywirus razem z firewallem). Do tego tutaj jest bardzo fajny opis jak sobie dobrze CISa skonfigurować. Artykuł jest o CIS 4, teraz już wyszła wersja 5, ale instalacja i konfiguracja są identyczne.