Skocz do zawartości

Rootkit Zeroaccess


Rekomendowane odpowiedzi

Witam wszystkich forumowiczów

 

Wczoraj po restarcie kompa nastały następujące objawy:

 

Komunikat: "Wystąpił problem z aplikacją xjdvyauk.exe i zostanie ona zamknięta. Przepraszamy za kłopoty."

 

KIS 11 GB nie uruchamia się (nie pomaga repair or remove)

 

Nie mogę wejść na popularne strony z zabespieczeniami antywirusami (Kaspersky,Norton,Gmer itp) .

 

Zaczołem z grubej rury czyli ComboFix i wykrył RootKit zeroaccess z loga wynika że zrobił to za pomocą serwera gmer.Po całym zabiegu objawy nie ustąpiły natomiast z loga wynika że w rejestrze widnieje klucz z zapisem o wyłączonym Kasperskym "disabled".

 

Następnie użyłem TDSSKiller (nic nie wykrył) i zrobiłem logi OTL / GMER.

 

Dodam że ten system żyje ok czterech lat i wchodzi w gre format partycji C systemowej ale wolałbym go usunąć gdyż mam drugiego kompa z Win7 i mam zamiar częć danych tam przetransferować z partycji D.

 

Wstawiam Logi proszę o zapoznanie się i o wskazówki

 

Pozdrawiam.

ComboFix.txt

OTL.Txt

Gmer.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Zabrakło drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Wykonaj tak następnym razem i załącz ten log w kolejnym poście.

 

Co do ZeroAccess to tutaj był tylko w szczątkowym stanie a więc to jakieś pozostałości.

 

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
SRV - File not found [Auto | Stopped] -- C:\Program Files\Common Files\supportsoft\bin\ssrc.exe -- (SupportSoft RemoteAssist)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\NVNET.dll -- (avgclean)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\rt2870.sys -- (rt2870)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\CT_QUALCOMM_U_drv.sys -- (CT_QUALCOMM_U_drv)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Joker_PC\USTAWI~1\Temp\catchme.sys -- (catchme)
IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678"
[2011-07-23 16:01:23 | 000,000,000 | ---D | M] (uTorrentBar Community Toolbar) -- C:\Documents and Settings\Joker_PC\Dane aplikacji\Mozilla\Firefox\Profiles\b415q0ki.default\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}
[2011-07-23 16:01:25 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Documents and Settings\Joker_PC\Dane aplikacji\Mozilla\Firefox\Profiles\b415q0ki.default\extensions\engine@conduit.com
O4 - HKCU..\Run: [GefBwxse] C:\Documents and Settings\Joker_PC\Ustawienia lokalne\Dane aplikacji\xxnomxmn\gefbwxse.exe File not found
O20 - HKLM Winlogon: UserInit - (C:\Documents and Settings\Joker_PC\Ustawienia lokalne\Dane aplikacji\xxnomxmn\gefbwxse.exe) - C:\Documents and Settings\Joker_PC\Ustawienia lokalne\Dane aplikacji\xxnomxmn\gefbwxse.exe File not found
 
:Files
C:\Documents and Settings\Joker_PC\Ustawienia lokalne\Dane aplikacji\xxnomxmn
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

2. Uruchom AdwCleaner z opcji Delete

 

3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL

Odnośnik do komentarza

OTL sobie nie poradził ze wszystkim. Wykonaj skrypt poprawkowy o takiej treści:

 

:Files
C:\Documents and Settings\Joker_PC\Ustawienia lokalne\Dane aplikacji\xxnomxmn
 
:Reg
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"GefBwxse"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
 
:Commands
[reboot]

 

Do oceny nowy log.

Odnośnik do komentarza

Kaspersky sypie błędami co widać w logu OTL w dzienniku zdarzeń, ale dlaczego? trudno powiedzieć. Spróbuj go odinstalować dokładnie za pomocą firmowego narzędzia Kaspersky Remover. Zwykła deinstalacja często jest niekompletna i mogą zostawać sterowniki.

 

W kwestii skryptu OTL niestety to się nie wykonało, nadal widzę w rejestrze te puste co prawda odnośniki do infekcji. Spróbuj może to zrobić zwykłym plikiem rejestru.

 

Wklej do notatnika systemowego:

 

Windows Registry Editor Version 5.00
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"GefBwxse"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

 

Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG >>> uruchom ten plik

 

Do kontroli nowy log z OTL.

Odnośnik do komentarza

Jest bez zmian:

 

O4 - HKCU..\Run: [GefBwxse] C:\Documents and Settings\Joker_PC\Ustawienia lokalne\Dane aplikacji\xxnomxmn\gefbwxse.exe File not found

O20 - HKLM Winlogon: UserInit - (C:\Documents and Settings\Joker_PC\Ustawienia lokalne\Dane aplikacji\xxnomxmn\gefbwxse.exe) - C:\Documents and Settings\Joker_PC\Ustawienia lokalne\Dane aplikacji\xxnomxmn\gefbwxse.exe File not found

 

To jest prawdopodobnie infekcja w plikach wykonywalnych (typu Ramnit), a "not found" w OTL to pozory. ComboFix usuwał już wpis startowy i plik infekcji:

 

(((((((((((((((((((((((((((((((((((((((   Usunięto   )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\documents and settings\Joker_PC\Ustawienia lokalne\Dane aplikacji\xxnomxmn\gefbwxse.exe

 

.

- - - - USUNIĘTO PUSTE WPISY - - - -

.

HKCU-Run-GefBwxse - c:\documents and settings\Joker_PC\Ustawienia lokalne\Dane aplikacji\xxnomxmn\gefbwxse.exe

 

Wszystko jednak się zrekonstruowało. Później, już po ComboFix, wykonany skan z GMER wyraźnie twierdził, że pliki są na dysku ukryte techniką rootkit (to co w Qoobox to kopie w kwarantannie, widać że od nowa powstały pliki w Danych aplikacji):

 

---- Files - GMER 1.0.15 ----

 

File C:\Documents and Settings\Joker_PC\Moje dokumenty\Menu Start\Programy\Autostart\gefbwxse.exe 94456 bytes executable

File C:\Documents and Settings\Joker_PC\Ustawienia lokalne\Dane aplikacji\xxnomxmn 0 bytes

File C:\Documents and Settings\Joker_PC\Ustawienia lokalne\Dane aplikacji\xxnomxmn\gefbwxse.exe 94456 bytes executable

File C:\Qoobox\Quarantine\C\Documents and Settings\Joker_PC\Ustawienia lokalne\Dane aplikacji\xxnomxmn 0 bytes

File C:\Qoobox\Quarantine\C\Documents and Settings\Joker_PC\Ustawienia lokalne\Dane aplikacji\xxnomxmn\gefbwxse.exe.vir 94456 bytes executable

File C:\Qoobox\Quarantine\C\Documents and Settings\Joker_PC\Ustawienia lokalne\Dane aplikacji\xxnomxmn\_gefbwxse_.exe.zip 159844 bytes

 

GMER widzi folder na dysku, OTL nie jest jednak zdolny go zobaczyć, rzekomo folder "not found":

 

========== FILES ==========

File\Folder C:\Documents and Settings\Joker_PC\Ustawienia lokalne\Dane aplikacji\xxnomxmn not found.

 

 

Z poziomu dowolnego niezainfekowanego komputera zrób płytę Kaspersky Rescue Disk i przeskanuj chory system. Przedstaw co widzi skaner. Jeśli to infekcja w plikach wykonywalnych, format na widoku, bo nie ma sensu się męczyć.

 

 

.

Odnośnik do komentarza

Odpaliłem Kaspera Rescue Disk z USB i znalazł trojany w tych plikach :

C:\Documents and Settings\Joker_PC\Moje dokumenty\Menu Start\Programy\Autostart\gefbwxse.exe

i w kilku innych w folderze dane aplikacji tam gdzie są te buble z przeglądarek i od neta ciasteczka itp.

 

Wszystko kazałem mu usunąć.Uruchomiłem kompa ponownie i wszystkie objawy ustały Kasper się odpalił przeskanuje dyski z poziomu windowsa kasperem i dam logi.Niestety nie mam loga z Rescue Disk nie zapisał go nigdzie powinien niby na C ale nie ma go tam, po skanowaniu odrazu urochomiłem ponownie kompa może trzeba było manualnie zapisać log niestety niezrobiłem tego byłem pewien że odbędzie się to automatycznie.

Pamiętam że w nazwie trojana było Trojan Win 32 Hack

 

KIS wykrył jeszcze te:

 

Backdoor.Win32.Azbreg.cuy

 

Trojan-Ransom.Win32.Cidox.vja

 

i wszystkie wykasował.

 

Dzięki kolego za pomoc i twój poświęcony czas.Może ten post komuś też pomoże/podpowie jakich narzędzi używać przy podobnych objawach, Pozdrawiam.

KIS11.txt

Odnośnik do komentarza

Skan z GMER zrobiłeś w złych warunkach, przy czynnym Alcoholu i jego sterowniku SPTD. Ale zostaw już ten wątek. Infekcja wygląda na usuniętą w obszarze czynnym, ale nadal jest jej folder na dysku:

 

[2012-08-11 16:19:52 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Joker_PC\Ustawienia lokalne\Dane aplikacji\xxnomxmn

 

Czyli końcowe usuwanie szczątków:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
[2012-08-11 16:19:52 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Joker_PC\Ustawienia lokalne\Dane aplikacji\xxnomxmn
FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.3.3.2
FF - prefs.js..extensions.enabledItems: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}:3.5.0.12
O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Documents and Settings\All Users\Dane aplikacji\Gadu-Gadu 10\_userdata\ggbho.2.dll File not found
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://java.sun.com/update/1.7.0/jinstall-1_7_0_05-windows-i586.cab" (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0017-0000-0005-ABCDEFFEDCBA} "http://java.sun.com/update/1.7.0/jinstall-1_7_0_05-windows-i586.cab" (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "http://java.sun.com/update/1.7.0/jinstall-1_7_0_05-windows-i586.cab" (Reg Error: Key error.)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i otworzy się log z wynikami usuwania.

 

2. W Dzienniku zdarzeń jest nagrany błąd zawieszającej się usługi Hewlett-Packard:

 

Error - 2012-08-19 05:26:31 | Computer Name = JOKER | Source = Service Control Manager | ID = 7022

Description = Usługa Usługa HP CUE DeviceDiscovery zawiesiła się podczas uruchamiania.

 

Start > Uruchom > services.msc, na liście wyszukaj tę usługę, z dwukliku wejdź do Właściwości i Typ uruchomienia ustaw na Wyłączony.

 

3. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1.

 

 

 

.

Odnośnik do komentarza

Zadanie skryptowe wykonane. Niestety nie kończymy jeszcze. W międzyczasie znów zabrudziłeś komputer. Pojawiło się adware Babylon / YourFile Downloader (wg OTL instalacja wiązana, elementy powstawały w tym samym czasie).

 

1. Przez Panel sterowania odinstaluj YourFile Downloader, o ile tam jest widzialny.

 

2. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

3. Zrób nowy log OTL z opcji Skanuj (bez Extras). Dołącz log z usuwania AdwCleaner.

 

 

 

.

Odnośnik do komentarza

Przyczyną zaśmiecania jest to że jestem w trakcie zdobywania bardzo nietypowego oprogramowania do pewnego urządzenia.Oprogramowanie to leży na niepewnych serwerach krajów trzeciego świata, ograniczenia językowe powodują że podczas pobierania mogę zaśmiecać kompa tego typu programami jak Babylon, YourFile Downloader, itp.

Po ukończeniu pracy z tym urządzeniem przeczyszcze system jeszcze raz.W tym temacie wiem jak to opanować.Dziękuję bardzo za udzieloną pomoc kilka dni temu dokonałem dotacji(ile mogłem) z innego maila.

 

Załączam Logi:

AdwCleanerS2.txt

OTL.Txt

Odnośnik do komentarza

1. Mała poprawka. Zamknij Firefox. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)"
FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"
FF - prefs.js..browser.search.selectedEngine: "Search the web (Babylon)"
O4 - HKCU..\Run: [General Downloader] C:\Program Files\General Downloader\GD.exe File not found
[2012-08-28 14:53:22 | 000,000,316 | ---- | M] () -- C:\WINDOWS\tasks\YourFile Update.job
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"

 

Klik w Wykonaj skrypt.

 

2. Odinstaluj ComboFix, co wyczyści też foldery Przywracania systemu. Start > Uruchom > wklej komendę:

 

"C:\Documents and settings\Joker_PC\Moje dokumenty\Pobieranie\ComboFix_www.INSTALKI.pl.exe" /uninstall

 

Na przyszłość: jedyne autoryzowane linki narzędzia, gwarantujące poprawną i maksymalnie zaktualizowaną wersję, są w przyklejonym (KLIK). Instalki nie mają pozwolenia na hosting, a przez przehostowanie pliku nie nadążają z nowościami. ComboFix wygasa po kilku dniach. Już tu były przypadki, że tego samego dnia plik z Instalek zwracał błąd wygasłej kopii, podczas gdy prawidłowe serwery udostępniały uruchamiającą się nowszą kopię.

 

3. Odinstaluj także pozostałe narzędzia poprzez ich opcje: w AdwCleaner Uninstall, w OTL Sprzątanie. Przez SHIFT+DEL skasuj folder C:\WINDOWS\erdnt.

 

4. Zaktualizuj co należy: KLIK. Konkrety z Twojej listy zainstalowanych:

 

Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F83217005FF}" = Java™ 7 Update 5

"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight

"{AC76BA86-7AD7-1045-7B44-A81000000003}" = Adobe Reader 8.1.0 - Polish

"{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.8

"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE)

"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin (wtyczka dla Firefox)

"ENTERPRISE" = Microsoft Office Enterprise 2007 ----> brak pakietu SP3

"Mozilla Firefox 10.0.2 (x86 pl)" = Mozilla Firefox 10.0.2 (x86 pl)

 

Dodatkowo polecam wymianę ciężarnego Gadu-Gadu 10. W artykule Darmowe komunikatory są opisane alternatywy z obsługą sieci Gadu: WTW, Miranda, Kadu, AQQ.

 

 

 

Dziękuję bardzo za udzieloną pomoc kilka dni temu dokonałem dotacji(ile mogłem) z innego maila.

 

Jestem bardzo wdzięczna. Dziękuję.

 

 

.

Odnośnik do komentarza

Skryp wykonany, nie pisałem o tym ale wcześniej zresetowałem wtyczki w firefox.

 

Combo, ADW, OTL wyinstalowane, erdnt skasowany.

 

Programy z listy będą zakualizowane wkrótce.Windows-a niestety nie chcę aktalizować gdyż mam słaby sprzęt, jest to laptop z prockiem AMD Turion 2.20 GHz i 896 MB RAM .Kiedyś już zaktualizowałem do SP3 i strasznie zamuliło, zdaję sobie sprawę że to niezbyt biezpieczne, ale ten komp to przeznaczony głównie do pracy różnymi urządzeniami.Na drugim z win 7 dokonuję płatności i używam do celów osobistych.

 

Mirandę zainstalowałem, ale odrazu wyinstalowałem strasznie mi nie przypasowała i od początku stwarzała problemy.Później sprawdzę WTW bo to GG to faktoza że poraszka.

 

Dzięki

 

Załączam log otl z wykonanego skryptu:

09032012_121927.txt

Odnośnik do komentarza
Windows-a niestety nie chcę aktalizować gdyż mam słaby sprzęt, jest to laptop z prockiem AMD Turion 2.20 GHz i 896 MB RAM .Kiedyś już zaktualizowałem do SP3 i strasznie zamuliło, zdaję sobie sprawę że to niezbyt biezpieczne, ale ten komp to przeznaczony głównie do pracy różnymi urządzeniami.

 

Mimo wszystko naciskam na aktualizację. Nie wiem dlaczego wtedy nastąpiło "zamulenie" (i trudno to zdiagnozować nie mając żadnych danych z tamtego okresu), ale SP3 podmienia pliki w systemie, te które już są, nie dodaje nowych obiektów.

Status SP2 nie może po prostu pozostać, i to na komputerze który już był zainfekowany.

 

 

 

.

Odnośnik do komentarza

Też mnie to zadziwiało, gdyż oryginalnie laptop był z vistą.Mam go od nowości i mam orgynalny nośnik visty i licencje.

Co do zamulenia przex SP3 doświadczyłem tego nie raz i bywało tak że, prosto po formacie postawieniu sysytemu, sterowników (nic więcej nie było instalowane nawed kodeki) tylko jak zaktualizowałem do SP3, to starsznie zamulał.Już myślałem, że problem tkwi w aktualizacji online, że może warto zainwestować w gotowy krążek xp-SP3.A może to problem sprzętowy, laptop Fujitsu Simens Amilo La 1703, zostawiłem to i pozostałem z SP2.Może zabiezpieczę najpotrzebniejsze dane i dokonam aktualizacji do SP3, a jak zamuli to będziemy w stanie cos pokombinować??Co proponujesz??

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...