velvet Opublikowano 12 Września 2012 Zgłoś Udostępnij Opublikowano 12 Września 2012 Problem rozpocząłem tutaj: http://www.search engines.pl/Zmiana-strony-startowej-polubienie-czegos-na-FB-t146667.html Podsumowanie: Infekcję złapałem prawdopodobnie poprzez lukę maszyny java wchodząc na stronę www. rehabilitacja .pl Gmer wykrywa takie coś: Library c:\windows\system32\y (*** hidden *** ) @ D:\WINDOWS\system32\svchost.exe [692] 0x02110000 Library c:\windows\system32\y (*** hidden *** ) @ D:\WINDOWS\Explorer.EXE [1112] 0x01430000 Firewall pokazuje jak to svchost.exe nawiązuje setki połączeń (to wygląda jak p2p) na porcie 16471 Próbowałem różnorakich narzędzi. Ale nic, absolutnie nic nie widzi tego c:\windows\system32\y Nawet UBCD4Win i konsola odzyskiwania nie widzą tego. Załączam ostatnie logi. OTL2.Txt gmer2.txt Extras2.Txt Odnośnik do komentarza
picasso Opublikowano 12 Września 2012 Zgłoś Udostępnij Opublikowano 12 Września 2012 GMER wykrywa oczywiście ZeroAccess, to jest payload w pamięci i tego się nie usuwa metodami które Ci podano, tego nie ma "na dysku" w normalnym rozumieniu, więc Avenger etc. to nie tu. Rootkit zostanie odładowany poprawnie z pamięci, gdy zostaną usunięte jego punkty ładowania, a one są nie tam gdzie ich szukano. Posiadasz najnowszy wariant ZeroAccess CLSID, który atakuje całkiem inne klasy systemowe i tworzy obiekty w Koszu (zablokowane przez uprawnienia). Wymagane dodatkowe skany: 1. Uruchom SystemLook i w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F} /s :dir D:\RECYCLER /s 2. Dodaj też log z Farbar Service Scanner. . Odnośnik do komentarza
velvet Opublikowano 12 Września 2012 Autor Zgłoś Udostępnij Opublikowano 12 Września 2012 Najpierw opróżniłem kosz, aby zmniejszyć objętość logu. Ja też myślałem, że to jakaś nowa wersja ZeroAccess, ale w google nic nie było. Skąd zdobywasz takie informacje Picasso? edit: coś nie mogę załączyć systemlook edit2: dziwne, w notatniku jest ok, w operze systemlook.txt daje krzaki SystemLook 30.07.11 by jpshortstuff Log created at 21:38 on 12/09/2012 by velvet Administrator - Elevation successful ========== reg ========== [HKEY_CURRENT_USER\Software\Classes\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9}] (No values found) [HKEY_CURRENT_USER\Software\Classes\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InprocServer32] "ThreadingModel"="Both" @="D:\RECYCLER\S-1-5-21-1177238915-1801674531-682003330-1003\$69523063bf0e8facfe6fba5eedd14123\n." [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}] @="Microsoft WBEM _WbemFetchRefresherMgr Proxy Helper" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InprocServer32] @="D:\RECYCLER\S-1-5-18\$69523063bf0e8facfe6fba5eedd14123\n." "ThreadingModel"="Free" ========== dir ========== C:\RECYCLER - Parameters: "/s" ---Files--- None found. C:\RECYCLER\S-1-5-18 d--hs-- [19:22 11/09/2012] desktop.ini ---hs-- 65 bytes [19:22 11/09/2012] [19:22 11/09/2012] INFO2 --ah--- 20 bytes [19:22 11/09/2012] [19:22 11/09/2012] C:\RECYCLER\S-1-5-21-1078081533-527237240-839522115-1004 d--hs-- [20:59 17/06/2008] desktop.ini ---hs-- 65 bytes [20:59 17/06/2008] [20:38 22/12/2010] INFO2 --ah--- 20 bytes [20:59 17/06/2008] [11:36 17/02/2011] C:\RECYCLER\S-1-5-21-1078081533-527237240-839522115-1013 d--hs-- [15:47 24/09/2009] desktop.ini ---hs-- 65 bytes [15:47 24/09/2009] [16:33 09/12/2010] INFO2 --ah--- 20 bytes [15:47 24/09/2009] [20:31 22/04/2011] C:\RECYCLER\S-1-5-21-1177238915-1801674531-682003330-1003 d--hs-- [17:32 23/04/2011] desktop.ini ---hs-- 65 bytes [17:32 23/04/2011] [17:18 25/04/2011] INFO2 --ah--- 12020 bytes [17:32 23/04/2011] [19:23 12/09/2012] C:\RECYCLER\S-1-5-21-1177238915-1801674531-682003330-1004 d--hs-- [19:29 23/04/2011] desktop.ini ---hs-- 65 bytes [19:29 23/04/2011] [19:29 23/04/2011] INFO2 --ah--- 20 bytes [19:29 23/04/2011] [19:30 23/04/2011] C:\RECYCLER\S-1-5-21-1177238915-1801674531-682003330-1005 d--hs-- [03:35 09/07/2011] desktop.ini ---hs-- 65 bytes [03:35 09/07/2011] [05:55 12/07/2012] INFO2 --ah--- 20 bytes [03:35 09/07/2011] [05:55 12/07/2012] -= EOF =- FSS.txt SystemLook.txt Odnośnik do komentarza
picasso Opublikowano 12 Września 2012 Zgłoś Udostępnij Opublikowano 12 Września 2012 Niewątpliwie to ten wariant, o którym mówiłam. Możemy przejść do usuwania: 1. Otwórz Notatnik i wklej w nim: reg delete HKCU\Software\Classes\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9} /f reg add HKLM\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InprocServer32 /ve /t REG_SZ /d D:\WINDOWS\system32\wbem\fastprox.dll /f Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT > uruchom ten plik Zresetuj system. 2. Otwórz Notatnik i wklej w nim: cacls D:\RECYCLER\S-1-5-18 /E /G Wszyscy:F cacls D:\RECYCLER\S-1-5-18\$69523063bf0e8facfe6fba5eedd14123 /E /G Wszyscy:F cacls D:\RECYCLER\S-1-5-21-1177238915-1801674531-682003330-1003\$69523063bf0e8facfe6fba5eedd14123 /E /G Wszyscy:F rd /s /q D:\RECYCLER netsh winsock reset pause Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT > uruchom ten plik Zresetuj system. 3. Zrób nowe logi z OTL, GMER oraz SystemLook na te same warunki co podane wcześniej. Ja też myślałem, że to jakaś nowa wersja ZeroAccess, ale w google nic nie było. Skąd zdobywasz takie informacje Picasso? Jestem specjalistką od infekcji. A próbkę tego wariantu osobiście testowałam, by opracować metodę usuwania. . Odnośnik do komentarza
velvet Opublikowano 13 Września 2012 Autor Zgłoś Udostępnij Opublikowano 13 Września 2012 Jestem specjalistką od infekcji. W to nigdy nie wątpiłem svchost.exe przestał się łączyć przez port 16471. W logu OTL mam takie coś. Czy to niegroźne? @Alternate Data Stream - 116 bytes -> D:\Documents and Settings\All Users\Dane aplikacji\TEMP:5B4BB726 Odnośnie infekcji, teraz sobie przypomniałem. Listing plików RootKitty wskazał pliki w koszu, ale pomyślałem, że to pewnie normalne gmer.txt OTL.Txt SystemLook.txt Odnośnik do komentarza
picasso Opublikowano 13 Września 2012 Zgłoś Udostępnij Opublikowano 13 Września 2012 Infekcja pomyślnie usunięta: punkty ładowania w rejestrze zdjęte, katalog Kosza wygenerowany od zera, Winsock zresetowany. Teraz należy naprawić szkody zrobione przez ZeroAccess, gdyż skasował z rejestru usługi Centrum zabezpieczeń, Zapory i Windows Update. 1. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS] "Type"=dword:00000020 "Start"=dword:00000003 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "DisplayName"="Usługa inteligentnego transferu w tle" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00 "DependOnGroup"=hex(7):00,00 "ObjectName"="LocalSystem" "Description"="Transferuje dane pomiędzy klientami a serwerami w tle. Jeżeli usługa BITS zostanie wyłączona, funkcje takie jak Windows Update nie będą działać poprawnie." "FailureActions"=hex:00,00,00,00,00,00,00,00,00,00,00,00,03,00,00,00,68,e3,0c,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS\Parameters] "ServiceDll"=hex(2):44,00,3a,00,5c,00,57,00,49,00,4e,00,44,00,4f,00,57,00,53,\ 00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,71,00,6d,00,\ 67,00,72,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS\Enum] "0"="Root\\LEGACY_BITS\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc] "Type"=dword:00000020 "Start"=dword:00000002 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "DisplayName"="Centrum zabezpieczeń" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,77,00,69,00,6e,00,\ 6d,00,67,00,6d,00,74,00,00,00,00,00 "ObjectName"="LocalSystem" "Description"="Monitoruje ustawienia zabezpieczeń i konfiguracje systemu." [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Parameters] "ServiceDll"=hex(2):25,00,53,00,59,00,53,00,54,00,45,00,4d,00,52,00,4f,00,4f,\ 00,54,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,73,00,63,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Enum] "0"="Root\\LEGACY_WSCSVC\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess] "Type"=dword:00000020 "Start"=dword:00000002 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "DisplayName"="Zapora systemu Windows/Udostępnianie połączenia internetowego" "DependOnService"=hex(7):4e,00,65,00,74,00,6d,00,61,00,6e,00,00,00,57,00,69,00,\ 6e,00,4d,00,67,00,6d,00,74,00,00,00,00,00 "DependOnGroup"=hex(7):00,00 "ObjectName"="LocalSystem" "Description"="Zapewnia usługi translacji adresów sieciowych, adresowania, rozpoznawania nazw i/lub blokowania dostępu intruzów wszystkim komputerom w sieci domowej lub biurowej." [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch] "Epoch"=dword:0000042e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters] "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 69,00,70,00,6e,00,61,00,74,00,68,00,6c,00,70,00,2e,00,64,00,6c,00,6c,00,00,\ 00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List] "139:TCP"="139:TCP:*:Enabled:@xpsp2res.dll,-22004" "445:TCP"="445:TCP:*:Enabled:@xpsp2res.dll,-22005" "137:UDP"="137:UDP:*:Enabled:@xpsp2res.dll,-22001" "138:UDP"="138:UDP:*:Enabled:@xpsp2res.dll,-22002" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] "EnableFirewall"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] "139:TCP"="139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004" "445:TCP"="445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005" "137:UDP"="137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001" "138:UDP"="138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup] "ServiceUpgrade"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup\InterfacesUnfirewalledAtUpdate] "All"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Enum] "0"="Root\\LEGACY_SHAREDACCESS\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv] "Type"=dword:00000020 "Start"=dword:00000002 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "DisplayName"="Aktualizacje automatyczne" "ObjectName"="LocalSystem" "Description"="Umożliwia pobieranie i instalowanie aktualizacji systemu Windows. Jeśli ta usługa jest wyłączona, ten komputer nie będzie mógł używać funkcji Aktualizacje automatyczne lub witryny Windows Update w sieci Web." [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters] "ServiceDll"=hex(2):44,00,3a,00,5c,00,57,00,49,00,4e,00,44,00,4f,00,57,00,53,\ 00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,77,00,75,00,\ 61,00,75,00,73,00,65,00,72,00,76,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Security] "Security"=hex:01,00,14,80,78,00,00,00,84,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,00,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,48,00,03,00,00,00,00,00,14,00,9d,00,02,00,01,01,00,00,00,00,00,\ 05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,ff,01,0f,00,01,01,00,00,00,00,00,05,12,00,00,00,01,\ 01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Enum] "0"="Root\\LEGACY_WUAUSERV\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 Adnotacja dla innych czytających: import dopasowany do Windows XP i ścieżek na D a nie C. Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik 2. Zresetuj system i zrób nowy log z Farbar Service Scanner. Odnośnie infekcji, teraz sobie przypomniałem. Listing plików RootKitty wskazał pliki w koszu, ale pomyślałem, że to pewnie normalne Jak może zauważyłeś, SystemLook nie pokazywał wcale pełnej zawartości Kosza i tego do czego kierował z kolei rejestr. Tylko jeden z utworzonych przez ZeroAccess folderów (S-1-5-18) był widzialny i to bez podskładników. Cała zawartość ZeroAccess w Koszu była zablokowana przez uprawnienia, dlatego niewidzialna / niedostępna. Gdyby po komendach cacls zrobić dir Kosza, wtedy zawartość zasadnicza ZeroAccess byłaby pokazana. W logu OTL mam takie coś. Czy to niegroźne?@Alternate Data Stream - 116 bytes -> D:\Documents and Settings\All Users\Dane aplikacji\TEMP:5B4BB726 Nie pamiętam już dokładnie co tworzy te strumienie, ale to nie jest szkodliwe. W to nigdy nie wątpiłem Miałam tu na myśli, że muszę być au courant z infekcjami. A niektóre dane idą torami niepublicznymi. . Odnośnik do komentarza
velvet Opublikowano 13 Września 2012 Autor Zgłoś Udostępnij Opublikowano 13 Września 2012 Miałam tu na myśli, że muszę być au courant z infekcjami. Zajmujesz się tym zawodowo? FSS.txt Odnośnik do komentarza
picasso Opublikowano 13 Września 2012 Zgłoś Udostępnij Opublikowano 13 Września 2012 Szkody naprawione. Idziemy dalej: 1. Mini korekta na ten martwy serwis: SRV - File not found [Auto | Stopped] -- D:\Program Files\COMODO\Time Machine\ClientService.exe -- (ClientService) Start > Uruchom > cmd i wpisz komendę sc delete ClientService 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Wykonaj pełne (nie ekspresowe) skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport. Zajmujesz się tym zawodowo? Nie. Jak widać, hobbystycznie na forum. . Odnośnik do komentarza
velvet Opublikowano 13 Września 2012 Autor Zgłoś Udostępnij Opublikowano 13 Września 2012 Większość to fałszywy alarm, ale zostawiłem tylko to czego potrzebuję. Dziękuję za pomoc. Malwarebytes Anti-Malware 1.65.0.1400 www.malwarebytes.org Wersja bazy: v2012.09.07.13 Windows XP Service Pack 3 x86 NTFS Internet Explorer 8.0.6001.18702 velvet :: KOMP1 [administrator] 13-09-2012 17:56:35 mbam-log-2012-09-13 (17-56-35).txt Typ skanowania: Pełne skanowanie (C:\|D:\|) Zaznaczone opcje skanowania: Pamięć | Rozruch | Rejestr | System plików | Heurystyka/Dodatkowe | Heuristyka/Shuriken | PUP | PUM Odznaczone opcje skanowania: P2P Przeskanowano obiektów: 738618 Upłynęło: 2 godzin(y), 42 minut(y), 51 sekund(y) Wykrytych procesów w pamięci: 0 (Nie znaleziono zagrożeń) Wykrytych modułów w pamięci: 0 (Nie znaleziono zagrożeń) Wykrytych kluczy rejestru: 0 (Nie znaleziono zagrożeń) Wykrytych wartości rejestru: 0 (Nie znaleziono zagrożeń) Wykryte wpisy rejestru systemowego: 3 HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Złe: (1) Dobre: (0) -> Nie wykonano akcji. HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Złe: (1) Dobre: (0) -> Nie wykonano akcji. HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Złe: (1) Dobre: (0) -> Nie wykonano akcji. wykrytych folderów: 0 (Nie znaleziono zagrożeń) Wykrytych plików: 27 C:\nlite\xp3\I386\ANTIWPA.DLL (PUP.Wpakill) -> Nie wykonano akcji. D:\Program Files\SnadBoy's Revelation v2\Revelation.exe (HackTool.Snadboy) -> Nie wykonano akcji. D:\Program Files\SnadBoy's Revelation v2\RevelationHelper.dll (PUP.PWSTool.SnadBoy) -> Nie wykonano akcji. D:\UBCD4Win\BartPE\I386\SYSTEM32\PRELOGON.EXE (Trojan.Zbot) -> Nie wykonano akcji. D:\UBCD4Win\oem1\Joshuas-PreShell\PreLogon.exe (Trojan.Zbot) -> Nie wykonano akcji. D:\UBCD4Win\oem1\Joshuas-PreShell\PreLogonConfig.exe (Trojan.Zbot) -> Nie wykonano akcji. D:\UBCD4Win\plugin\!Critical\Config-PreLogon\PreLogon.exe (Trojan.Zbot) -> Nie wykonano akcji. D:\UBCD4Win\plugin\!Critical\Config-PreLogon\PreLogonConfig.exe (Trojan.Zbot) -> Nie wykonano akcji. C:\Nokia\keygen2.exe (Trojan.Downloader) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem. C:\pendrive\Documents\Programy\security\av\nod32+fix\NOD32.FiX.v2.2-nsane.exe (PUP.RiskWareTool.CK) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem. C:\pendrive\PortableApps\MoorHunt\MoorHunt\1000000600002i\svchost.exe (Rootkit.Dropper) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem. C:\pendrive\PortableApps\MoorHunt\MoorHunt\300000003400002i\dwwin.exe (Rootkit.Dropper) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem. C:\pendrive\PortableApps\MoorHunt\MoorHunt\4000001100002i\mscorsvw.exe (Rootkit.Dropper) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem. C:\pendrive\PortableApps\MoorHunt\MoorHunt\40000036a00002i\MoorHunt.exe (Rootkit.Dropper) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem. C:\pendrive\PortableApps\SniffPass\SniffPass.exe (PUP.PswdSniffer) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem. C:\Programy\getpass\getpass.dll (HackTool.PassWords) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem. C:\Programy\getpass\getpass.exe (HackTool.PassWords) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem. C:\DANE\WinMe - przydatne\Moje dokumentyXP\konserwacja\żadko używane\RemoveWGA.exe (PUP.RemoveWGA) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem. C:\DANE\WinMe - przydatne\PulpitXP\getpass\getpass.dll (HackTool.PassWords) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem. C:\DANE\WinMe - przydatne\PulpitXP\getpass\getpass.exe (HackTool.PassWords) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem. C:\DANE\WinXP\Documents and Settings\Jola\Pulpit\getpass\getpass.dll (HackTool.PassWords) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem. C:\DANE\WinXP\Documents and Settings\Jola\Pulpit\getpass\getpass.exe (HackTool.PassWords) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem. C:\Moje dokumenty\Downloads\bos_pass.exe (PUP.PSWTool.GetPass) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem. D:\Documents and Settings\Karol\Dane aplikacji\Sun\Java\Deployment\cache\6.0\44\3ff351ac-536f9519 (Rootkit.0Access) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem. <-- winowajca D:\Documents and Settings\Karol\Pulpit\STARY PULPIT\rpc412_setup.exe (PAssword.Tool) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem. D:\Program Files\THQ\Company of Heroes\ModernCombat\cohra\cohra.exe (Trojan.Agent) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem. D:\Program Files\Microsoft Games\Age of Empires II\age2_x1\age2_x1.exe (Trojan.FakeMS) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem. (zakończone) Odnośnik do komentarza
picasso Opublikowano 13 Września 2012 Zgłoś Udostępnij Opublikowano 13 Września 2012 Na zakończenie: 1. Nie zauważyłam, że adware v9 czyszczono u Ciebie na pół gwizdka. Na Twojej liście zainstalowanych nadal jest pozycja Deinstalator Strony V9. Odinstaluj. 2. Aktualizacje (KLIK) poniżej wymienionych: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216030FF}" = Java 6 Update 30"{26A24AE4-039D-4CA4-87B4-2F83217005FF}" = Java 7 Update 5"{90110415-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003 ----> doinstaluj SP3"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox/Opera)"Adobe Shockwave Player" = Adobe Shockwave Player 11.5"Mozilla Firefox 9.0.1 (x86 pl)" = Mozilla Firefox 9.0.1 (x86 pl)"Mozilla Thunderbird (2.0.0.24)" = Mozilla Thunderbird (2.0.0.24) 3. Prewencyjna wymiana haseł logowania w serwisach. . Odnośnik do komentarza
velvet Opublikowano 6 Października 2012 Autor Zgłoś Udostępnij Opublikowano 6 Października 2012 Zauważyłem, że pozycja ikon na pulpicie nie jest zapamiętywana i myślę, że może to mieć związek z tą infekcją. Proszę o pomoc. Odnośnik do komentarza
picasso Opublikowano 8 Października 2012 Zgłoś Udostępnij Opublikowano 8 Października 2012 W Twoim skanie SystemLook pobieranym na innym forum nie było w ogóle takiej modyfikacji ZeroAccess. Stało tam: [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] (Unable to open key - key not found) Czyli klucza powodującego ten efekt nie było. Jeśli teraz masz problem za zapamiętywaniem pozycji ikon, albo albo: nabawiłeś się nowej infekcji ZeroAccess, efekt nie jest pochodną infekcji (jest mnóstwo innych rzeczy, które mogą tym skutkować). Na wszelki wypadek pobierz najnowszy OTL (ma nowy system sprawdzania obiektów ZeroAccess) i podaj logi. . Odnośnik do komentarza
velvet Opublikowano 13 Października 2012 Autor Zgłoś Udostępnij Opublikowano 13 Października 2012 Podaję. Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 13 Października 2012 Zgłoś Udostępnij Opublikowano 13 Października 2012 Efekt nie jest pochodną tej infekcji, w międzyczasie coś było kombinowane, skutki wyglądają tak jakby nieumiejętnie próbowano naprawiać modyfikacje ZeroAccess (nieistniejące modyfikacje). Te dane wyglądają inaczej niż w skanie SystemLook pobranym na tamtym forum (wtedy te klucze były prawidłowe), a ja ich w ogóle nie ruszałam, bo nie było tu tego wariantu: [HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]"" = \system32\shdocvw.dll -- [2011-02-17 15:51:59 | 001,510,400 | ---- | M] (Microsoft Corporation) [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]"" = %SystemRoot%\system32\shdocvw.dll -- [2011-02-17 15:51:59 | 001,510,400 | ---- | M] (Microsoft Corporation)"ThreadingModel" = Apartment Aktualnie w jakiś sposób do systemu się wślizgnął klucz w HKEY_CURRENT_USER. Jedyny prawidłowy klucz to ten w HKEY_LOCAL_MACHINE. Klucza w HKEY_CURRENT_USER nie powinno być w ogóle w systemie. [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]"" = C:\WINDOWS\system32\wbem\wbemess.dll"ThreadingModel" = Both Dodatkowo, w tej ścieżce jest oczywiście błąd, system masz na D a nie C. Konsekwencje złej ścieżki to błędy WMI w Dzienniku zdarzeń: Error - 13-10-2012 05:47:39 | Computer Name = KOMP1 | Source = WinMgmt | ID = 28Description = Moduł WinMgmt nie może zainicjować części podstawowych. Powodem mogą być: źle zainstalowana wersja modułu WinMgmt, awaria uaktualnienia repozytorium modułu WinMgmt, za mało miejsca na dysku lub za mało pamięci. Error - 13-10-2012 05:47:39 | Computer Name = KOMP1 | Source = SecurityCenter | ID = 1802Description = Usługa Centrum zabezpieczeń systemu Windows nie może ustanowić kwerend zdarzeń z WMI, aby monitorować zaporę i program antywirusowy innej firmy. 1. Korekta wyżej wymienionych. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [-HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] @="D:\\WINDOWS\\system32\\wbem\\wbemess.dll" Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik Po restarcie pamiętanie ikon i widoków folderów zacznie funkcjonować prawidłowo, podobnie jak aparat WMI. 2. Zaplątał się jeden plik po ZeroAccess (jest nieczynny, to odpadek, ciekawe że MBAM go nie wykrył wcześniej). Zmieć go skryptem do OTL: :Files D:\WINDOWS\assembly\GAC\Desktop.ini . Odnośnik do komentarza
velvet Opublikowano 14 Października 2012 Autor Zgłoś Udostępnij Opublikowano 14 Października 2012 Dzięki. Te wpisy się pojawiły po samodzielnej próbie naprawy zapamiętywania pozycji ikon. Teraz już wszystko działa. Temat można zamknąć. Odnośnik do komentarza
Rekomendowane odpowiedzi