Rootkit Zeroaccess

[Anonyxyxy]

Witam wszystkich forumowiczów

 

Wczoraj po restarcie kompa nastały następujące objawy:

 

Komunikat: "Wystąpił problem z aplikacją xjdvyauk.exe i zostanie ona zamknięta. Przepraszamy za kłopoty."

 

KIS 11 GB nie uruchamia się (nie pomaga repair or remove)

 

Nie mogę wejść na popularne strony z zabespieczeniami antywirusami (Kaspersky,Norton,Gmer itp) .

 

Zaczołem z grubej rury czyli ComboFix i wykrył RootKit zeroaccess z loga wynika że zrobił to za pomocą serwera gmer.Po całym zabiegu objawy nie ustąpiły natomiast z loga wynika że w rejestrze widnieje klucz z zapisem o wyłączonym Kasperskym "disabled".

 

Następnie użyłem TDSSKiller (nic nie wykrył) i zrobiłem logi OTL / GMER.

 

Dodam że ten system żyje ok czterech lat i wchodzi w gre format partycji C systemowej ale wolałbym go usunąć gdyż mam drugiego kompa z Win7 i mam zamiar częć danych tam przetransferować z partycji D.

 

Wstawiam Logi proszę o zapoznanie się i o wskazówki

 

Pozdrawiam.

ComboFix.txt

OTL.Txt

Gmer.txt

[Landuss]

Zabrakło drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Wykonaj tak następnym razem i załącz ten log w kolejnym poście.

 

Co do ZeroAccess to tutaj był tylko w szczątkowym stanie a więc to jakieś pozostałości.

 

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
SRV - File not found [Auto | Stopped] -- C:\Program Files\Common Files\supportsoft\bin\ssrc.exe -- (SupportSoft RemoteAssist)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\NVNET.dll -- (avgclean)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\rt2870.sys -- (rt2870)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\CT_QUALCOMM_U_drv.sys -- (CT_QUALCOMM_U_drv)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Joker_PC\USTAWI~1\Temp\catchme.sys -- (catchme)
IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678"
[2011-07-23 16:01:23 | 000,000,000 | ---D | M] (uTorrentBar Community Toolbar) -- C:\Documents and Settings\Joker_PC\Dane aplikacji\Mozilla\Firefox\Profiles\b415q0ki.default\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}
[2011-07-23 16:01:25 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Documents and Settings\Joker_PC\Dane aplikacji\Mozilla\Firefox\Profiles\b415q0ki.default\extensions\engine@conduit.com
O4 - HKCU..\Run: [GefBwxse] C:\Documents and Settings\Joker_PC\Ustawienia lokalne\Dane aplikacji\xxnomxmn\gefbwxse.exe File not found
O20 - HKLM Winlogon: UserInit - (C:\Documents and Settings\Joker_PC\Ustawienia lokalne\Dane aplikacji\xxnomxmn\gefbwxse.exe) - C:\Documents and Settings\Joker_PC\Ustawienia lokalne\Dane aplikacji\xxnomxmn\gefbwxse.exe File not found
 
:Files
C:\Documents and Settings\Joker_PC\Ustawienia lokalne\Dane aplikacji\xxnomxmn
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

2. Uruchom AdwCleaner z opcji Delete

 

3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL

[Anonyxyxy]

Dzięki za podjęcie tematu.

 

Wykonałem te czynności i objawy pozostały.

 

Zamieściłem logi:

08132012_141836.txt

AdwCleanerS1.txt

OTL_3.Txt

Extras_3.Txt

[Landuss]

OTL sobie nie poradził ze wszystkim. Wykonaj skrypt poprawkowy o takiej treści:

 

:Files
C:\Documents and Settings\Joker_PC\Ustawienia lokalne\Dane aplikacji\xxnomxmn
 
:Reg
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"GefBwxse"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
 
:Commands
[reboot]

 

Do oceny nowy log.

[Anonyxyxy]

Logi poniżej, sytuacja bez zmian.

Wyinstalowałem kaspera, ręcznie w rejestrze wykasowałem wszystko co zawierało słowo "kaspersky"

a po uruchomieniu kompa i tak wyświetlał dymek z komunikatem "Kasperski internet security jest wyłączony".

Zainstalowałem go ponownie w innym katalogu o innej nazwie ale i tak bez rezultatów.

OTL_4.Txt

[Landuss]

Kaspersky sypie błędami co widać w logu OTL w dzienniku zdarzeń, ale dlaczego? trudno powiedzieć. Spróbuj go odinstalować dokładnie za pomocą firmowego narzędzia Kaspersky Remover. Zwykła deinstalacja często jest niekompletna i mogą zostawać sterowniki.

 

W kwestii skryptu OTL niestety to się nie wykonało, nadal widzę w rejestrze te puste co prawda odnośniki do infekcji. Spróbuj może to zrobić zwykłym plikiem rejestru.

 

Wklej do notatnika systemowego:

 

Windows Registry Editor Version 5.00
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"GefBwxse"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

 

Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG >>> uruchom ten plik

 

Do kontroli nowy log z OTL.

[Anonyxyxy]

Wyinstalowałem Kaspera za pomocą remove_era i przestało krzyczeć że jest wyłączony wyglądało na to że faktycznie całkowicie go wywaliło.

Odpaliłem FIX.REG , zainstalowałem Kaspera i dalej krzyczy że jest wyłączony i reszta bez zmian Logi poniżej:

OTL_5.Txt

[picasso]

Jest bez zmian:

 

O4 - HKCU..\Run: [GefBwxse] C:\Documents and Settings\Joker_PC\Ustawienia lokalne\Dane aplikacji\xxnomxmn\gefbwxse.exe File not found
O20 - HKLM Winlogon: UserInit - (C:\Documents and Settings\Joker_PC\Ustawienia lokalne\Dane aplikacji\xxnomxmn\gefbwxse.exe) - C:\Documents and Settings\Joker_PC\Ustawienia lokalne\Dane aplikacji\xxnomxmn\gefbwxse.exe File not found

 

To jest prawdopodobnie infekcja w plikach wykonywalnych (typu Ramnit), a "not found" w OTL to pozory. ComboFix usuwał już wpis startowy i plik infekcji:

 

(((((((((((((((((((((((((((((((((((((((   Usunięto   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\Joker_PC\Ustawienia lokalne\Dane aplikacji\xxnomxmn\gefbwxse.exe
 
.
- - - - USUNIĘTO PUSTE WPISY - - - -
.
HKCU-Run-GefBwxse - c:\documents and settings\Joker_PC\Ustawienia lokalne\Dane aplikacji\xxnomxmn\gefbwxse.exe

 

Wszystko jednak się zrekonstruowało. Później, już po ComboFix, wykonany skan z GMER wyraźnie twierdził, że pliki są na dysku ukryte techniką rootkit (to co w Qoobox to kopie w kwarantannie, widać że od nowa powstały pliki w Danych aplikacji):

 

---- Files - GMER 1.0.15 ----
 
File            C:\Documents and Settings\Joker_PC\Moje dokumenty\Menu Start\Programy\Autostart\gefbwxse.exe                          94456 bytes executable
File            C:\Documents and Settings\Joker_PC\Ustawienia lokalne\Dane aplikacji\xxnomxmn                                         0 bytes
File            C:\Documents and Settings\Joker_PC\Ustawienia lokalne\Dane aplikacji\xxnomxmn\gefbwxse.exe                            94456 bytes executable
File            C:\Qoobox\Quarantine\C\Documents and Settings\Joker_PC\Ustawienia lokalne\Dane aplikacji\xxnomxmn                     0 bytes
File            C:\Qoobox\Quarantine\C\Documents and Settings\Joker_PC\Ustawienia lokalne\Dane aplikacji\xxnomxmn\gefbwxse.exe.vir    94456 bytes executable
File            C:\Qoobox\Quarantine\C\Documents and Settings\Joker_PC\Ustawienia lokalne\Dane aplikacji\xxnomxmn\_gefbwxse_.exe.zip  159844 bytes

 

GMER widzi folder na dysku, OTL nie jest jednak zdolny go zobaczyć, rzekomo folder "not found":

 

========== FILES ==========
File\Folder C:\Documents and Settings\Joker_PC\Ustawienia lokalne\Dane aplikacji\xxnomxmn not found.

 

 

Z poziomu dowolnego niezainfekowanego komputera zrób płytę Kaspersky Rescue Disk i przeskanuj chory system. Przedstaw co widzi skaner. Jeśli to infekcja w plikach wykonywalnych, format na widoku, bo nie ma sensu się męczyć.

 

 

.

[Anonyxyxy]

Odpaliłem Kaspera Rescue Disk z USB i znalazł trojany w tych plikach :

C:\Documents and Settings\Joker_PC\Moje dokumenty\Menu Start\Programy\Autostart\gefbwxse.exe

i w kilku innych w folderze dane aplikacji tam gdzie są te buble z przeglądarek i od neta ciasteczka itp.

 

Wszystko kazałem mu usunąć.Uruchomiłem kompa ponownie i wszystkie objawy ustały Kasper się odpalił przeskanuje dyski z poziomu windowsa kasperem i dam logi.Niestety nie mam loga z Rescue Disk nie zapisał go nigdzie powinien niby na C ale nie ma go tam, po skanowaniu odrazu urochomiłem ponownie kompa może trzeba było manualnie zapisać log niestety niezrobiłem tego byłem pewien że odbędzie się to automatycznie.

Pamiętam że w nazwie trojana było Trojan Win 32 Hack

 

KIS wykrył jeszcze te:

 

Backdoor.Win32.Azbreg.cuy

 

Trojan-Ransom.Win32.Cidox.vja

 

i wszystkie wykasował.

 

Dzięki kolego za pomoc i twój poświęcony czas.Może ten post komuś też pomoże/podpowie jakich narzędzi używać przy podobnych objawach, Pozdrawiam.

KIS11.txt

[picasso]

Apropos "kolego" = jestem kobietą.

 

To teraz po czyszczeniu z poziomu płyty poproszę o nowy zestaw logów OTL + GMER.

 

 

 

.

[Anonyxyxy]

Przepraszam za "Kolego" napisałem tak, że tak to ujmę z rozpędu, gdyż twoim poprzednikiem był Landuss.Ale nie ma wymówek mój błąd przepraszam.

 

Napiszę tak dziękuję załodze tego forum za pomoc.

OTL.Txt

Gmer.txt

[picasso]

Skan z GMER zrobiłeś w złych warunkach, przy czynnym Alcoholu i jego sterowniku SPTD. Ale zostaw już ten wątek. Infekcja wygląda na usuniętą w obszarze czynnym, ale nadal jest jej folder na dysku:

 

[2012-08-11 16:19:52 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Joker_PC\Ustawienia lokalne\Dane aplikacji\xxnomxmn

 

Czyli końcowe usuwanie szczątków:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
[2012-08-11 16:19:52 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Joker_PC\Ustawienia lokalne\Dane aplikacji\xxnomxmn
FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.3.3.2
FF - prefs.js..extensions.enabledItems: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}:3.5.0.12
O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Documents and Settings\All Users\Dane aplikacji\Gadu-Gadu 10\_userdata\ggbho.2.dll File not found
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://java.sun.com/update/1.7.0/jinstall-1_7_0_05-windows-i586.cab" (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0017-0000-0005-ABCDEFFEDCBA} "http://java.sun.com/update/1.7.0/jinstall-1_7_0_05-windows-i586.cab" (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "http://java.sun.com/update/1.7.0/jinstall-1_7_0_05-windows-i586.cab" (Reg Error: Key error.)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i otworzy się log z wynikami usuwania.

 

2. W Dzienniku zdarzeń jest nagrany błąd zawieszającej się usługi Hewlett-Packard:

 

Error - 2012-08-19 05:26:31 | Computer Name = JOKER | Source = Service Control Manager | ID = 7022
Description = Usługa Usługa HP CUE DeviceDiscovery zawiesiła się podczas uruchamiania.

 

Start > Uruchom > services.msc, na liście wyszukaj tę usługę, z dwukliku wejdź do Właściwości i Typ uruchomienia ustaw na Wyłączony.

 

3. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1.

 

 

 

.

[Anonyxyxy]

Zrobione

08212012_112523.txt

OTL.Txt

[picasso]

Zadanie skryptowe wykonane. Niestety nie kończymy jeszcze. W międzyczasie znów zabrudziłeś komputer. Pojawiło się adware Babylon / YourFile Downloader (wg OTL instalacja wiązana, elementy powstawały w tym samym czasie).

 

1. Przez Panel sterowania odinstaluj YourFile Downloader, o ile tam jest widzialny.

 

2. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

3. Zrób nowy log OTL z opcji Skanuj (bez Extras). Dołącz log z usuwania AdwCleaner.

 

 

 

.

[Anonyxyxy]

Przyczyną zaśmiecania jest to że jestem w trakcie zdobywania bardzo nietypowego oprogramowania do pewnego urządzenia.Oprogramowanie to leży na niepewnych serwerach krajów trzeciego świata, ograniczenia językowe powodują że podczas pobierania mogę zaśmiecać kompa tego typu programami jak Babylon, YourFile Downloader, itp.

Po ukończeniu pracy z tym urządzeniem przeczyszcze system jeszcze raz.W tym temacie wiem jak to opanować.Dziękuję bardzo za udzieloną pomoc kilka dni temu dokonałem dotacji(ile mogłem) z innego maila.

 

Załączam Logi:

AdwCleanerS2.txt

OTL.Txt

[picasso]

1. Mała poprawka. Zamknij Firefox. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)"
FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"
FF - prefs.js..browser.search.selectedEngine: "Search the web (Babylon)"
O4 - HKCU..\Run: [General Downloader] C:\Program Files\General Downloader\GD.exe File not found
[2012-08-28 14:53:22 | 000,000,316 | ---- | M] () -- C:\WINDOWS\tasks\YourFile Update.job
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"

 

Klik w Wykonaj skrypt.

 

2. Odinstaluj ComboFix, co wyczyści też foldery Przywracania systemu. Start > Uruchom > wklej komendę:

 

"C:\Documents and settings\Joker_PC\Moje dokumenty\Pobieranie\ComboFix_www.INSTALKI.pl.exe" /uninstall

 

Na przyszłość: jedyne autoryzowane linki narzędzia, gwarantujące poprawną i maksymalnie zaktualizowaną wersję, są w przyklejonym (KLIK). Instalki nie mają pozwolenia na hosting, a przez przehostowanie pliku nie nadążają z nowościami. ComboFix wygasa po kilku dniach. Już tu były przypadki, że tego samego dnia plik z Instalek zwracał błąd wygasłej kopii, podczas gdy prawidłowe serwery udostępniały uruchamiającą się nowszą kopię.

 

3. Odinstaluj także pozostałe narzędzia poprzez ich opcje: w AdwCleaner Uninstall, w OTL Sprzątanie. Przez SHIFT+DEL skasuj folder C:\WINDOWS\erdnt.

 

4. Zaktualizuj co należy: KLIK. Konkrety z Twojej listy zainstalowanych:

 

Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83217005FF}" = Java™ 7 Update 5
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{AC76BA86-7AD7-1045-7B44-A81000000003}" = Adobe Reader 8.1.0 - Polish
"{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.8
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin (wtyczka dla Firefox)
"ENTERPRISE" = Microsoft Office Enterprise 2007 ----> brak pakietu SP3
"Mozilla Firefox 10.0.2 (x86 pl)" = Mozilla Firefox 10.0.2 (x86 pl)

 

Dodatkowo polecam wymianę ciężarnego Gadu-Gadu 10. W artykule Darmowe komunikatory są opisane alternatywy z obsługą sieci Gadu: WTW, Miranda, Kadu, AQQ.

 

 

 

Dziękuję bardzo za udzieloną pomoc kilka dni temu dokonałem dotacji(ile mogłem) z innego maila.

 

Jestem bardzo wdzięczna. Dziękuję.

 

 

.

[Anonyxyxy]

Skryp wykonany, nie pisałem o tym ale wcześniej zresetowałem wtyczki w firefox.

 

Combo, ADW, OTL wyinstalowane, erdnt skasowany.

 

Programy z listy będą zakualizowane wkrótce.Windows-a niestety nie chcę aktalizować gdyż mam słaby sprzęt, jest to laptop z prockiem AMD Turion 2.20 GHz i 896 MB RAM .Kiedyś już zaktualizowałem do SP3 i strasznie zamuliło, zdaję sobie sprawę że to niezbyt biezpieczne, ale ten komp to przeznaczony głównie do pracy różnymi urządzeniami.Na drugim z win 7 dokonuję płatności i używam do celów osobistych.

 

Mirandę zainstalowałem, ale odrazu wyinstalowałem strasznie mi nie przypasowała i od początku stwarzała problemy.Później sprawdzę WTW bo to GG to faktoza że poraszka.

 

Dzięki

 

Załączam log otl z wykonanego skryptu:

09032012_121927.txt

[picasso]

Windows-a niestety nie chcę aktalizować gdyż mam słaby sprzęt, jest to laptop z prockiem AMD Turion 2.20 GHz i 896 MB RAM .Kiedyś już zaktualizowałem do SP3 i strasznie zamuliło, zdaję sobie sprawę że to niezbyt biezpieczne, ale ten komp to przeznaczony głównie do pracy różnymi urządzeniami.

 

Mimo wszystko naciskam na aktualizację. Nie wiem dlaczego wtedy nastąpiło "zamulenie" (i trudno to zdiagnozować nie mając żadnych danych z tamtego okresu), ale SP3 podmienia pliki w systemie, te które już są, nie dodaje nowych obiektów.

Status SP2 nie może po prostu pozostać, i to na komputerze który już był zainfekowany.

 

 

 

.

[Anonyxyxy]

Też mnie to zadziwiało, gdyż oryginalnie laptop był z vistą.Mam go od nowości i mam orgynalny nośnik visty i licencje.

Co do zamulenia przex SP3 doświadczyłem tego nie raz i bywało tak że, prosto po formacie postawieniu sysytemu, sterowników (nic więcej nie było instalowane nawed kodeki) tylko jak zaktualizowałem do SP3, to starsznie zamulał.Już myślałem, że problem tkwi w aktualizacji online, że może warto zainwestować w gotowy krążek xp-SP3.A może to problem sprzętowy, laptop Fujitsu Simens Amilo La 1703, zostawiłem to i pozostałem z SP2.Może zabiezpieczę najpotrzebniejsze dane i dokonam aktualizacji do SP3, a jak zamuli to będziemy w stanie cos pokombinować??Co proponujesz??

[picasso]

Może zabiezpieczę najpotrzebniejsze dane i dokonam aktualizacji do SP3, a jak zamuli to będziemy w stanie cos pokombinować??Co proponujesz??

 

Dobra, spróbuj to zrobić. Jeśli wystąpi problem, podejmę się próby zdiagnozowania tego.

 

 

.

[Anonyxyxy]

Dobra, spróbuj to zrobić. Jeśli wystąpi problem, podejmę się próby zdiagnozowania tego.

 

Super, dzięki będę potrzebować na to kilku dni, a może nawet około tygodnia.Odezwę się tu gdy wszystko będzie gotowe, może tak być?

[picasso]

Odezwę się tu gdy wszystko będzie gotowe, może tak być?

 

No to czekam.

Edytowane 4 Października 2012 przez picasso
4.10.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. W razie czego poproś o otworzenie na PW. //picasso