Ślady ZeroAccess'a

[Grillowany]

Witam.

 

Od razu przejdę do rzeczy, otóż, dzisiaj złapałem wirusa zwanego UKASH. Zwróciłem się na forum PClab, gdzie udzielono mi pomocy - udostępniłem tam swoje logi i dowiedziałem się, że na komputerze są ślady bądź gdzieś tam urzęduje wirus ZeroAccess. Poradzono mi abym zwrócił się z tym problemem do Was, więc przybyłem. Poniżej zostawiam logi skanu OTLa po skryptowym usuwaniu pozostałości po Ukashu (zapomniałem dodać, że Ukash został usunięty bezproblemowo). Z góry dziękuję za wszelaką pomoc.

 

Raport z usuwania skryptem:

http://wklej.to/cXJgW

 

Skan OTL:

http://wklej.to/Dcaw2

[picasso]

Pokaż link do oryginalnego tematu. Log z OTL niepełny, brakuje pliku Extras (opcja "Rejestr - skan dodatkowy" nie została ustawiona na "Użyj filtrowania"). Tu jeszcze z Firefoxa należy usunąć rozszerzenie malware "z", ale to potem. A ingerencje ZeroAccess tu owszem widać. Wymagane dodatkowe skany:

 

1. Na początek odblokuj Kosz. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę:

 

icacls C:\$Recycle.Bin /grant Wszyscy:F /T

 

Następnie zrób dir Kosza. Uruchom SystemLook x64 i w oknie wklej:

 

:dir
C:\$Recycle.Bin /s

 

Klik w Look. Przedstaw raport.

 

2. Zrób log z Farbar Service Scanner.

 

 

.

 

[Grillowany]

Link do oryginalnego tematu. Post napisany o godzinie 16:24 i od tego momentu ciągnie się krótka wymiana postów.

http://forum.pclab.pl/topic/804703-Wirus-Ukash-jak-usun%C4%85%C4%87/page__st__1680

 

Pełny skan OTL i Extras:

http://wklej.to/b0ZNN - otl

http://wklej.to/zwuNt - extras

 

Raport SystemLook:

http://wklej.to/Jhp2f

 

FSS:

http://wklej.to/Gd5QO

 

mam nadzieję, że wszystko dobrze powklejałem.

[picasso]

ZeroAccess w ogóle nie wygląda na ruszony. Co do instrukcji na tamtym forum: nie chodzi o bity kluczy, tylko o nieprawidłowe usuwanie (bez odładowania ZA z pamięci, Kosz w ogóle nie został odblokowany = zła komenda + zapis pliku jako FIX.REG a nie FIX.BAT, pliki desktop.ini od ZeroAccess nie zaadresowane). I nie zostało odinstalowane w prawidłowy sposób adware (w skrypcie tylko pliki uwzględniano, co nie załatwia sprawy).

 

1. Start > w polu szukania wpisz regedit > z prawokliku skasuj klucz:

 

HKEY_CURRENT_USER\Software\Classes\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9}

 

Zresetuj system, by odładować ZeroAccess z pamięci.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Program Files (x86)\mozilla firefox\extensions\{32eed359-e1f6-7149-5434-32995f9dd58b}
C:\Windows\assembly\GAC_32\Desktop.ini
C:\Windows\assembly\GAC_64\Desktop.ini
rd /s /q C:\$Recycle.Bin /C
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany.

 

3. Przez Panel sterowania odinstaluj Browsers Protector + Contextual Tool Extrafind.

 

4. Zrób nowy log z SystemLook na warunki:

 

:reg

HKEY_CURRENT_USER\Software\Classes\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9} /s
 
:dir
C:\$Recycle.Bin /s

 

 

 

.

[Grillowany]

Log po skanie po skasowaniu klucza i zmianie skryptu:

http://wklej.to/Mpnpp

 

Log z SystemLook na podanych warunkach:

http://wklej.to/ewGbv

 

znów mam nadzieję, że nic nie spieprzyłem.

[picasso]

ZeroAccess pomyślnie usunięty. Kolejna porcja czynności:

 

1. Odbudowa usług Windows Update skasowanych przez ZeroAccess. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS]
"DisplayName"="@%SystemRoot%\\system32\\qmgr.dll,-1000"
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"Description"="@%SystemRoot%\\system32\\qmgr.dll,-1001"
"ObjectName"="LocalSystem"
"ErrorControl"=dword:00000001
"Start"=dword:00000002
"DelayedAutoStart"=dword:00000001
"Type"=dword:00000020
"DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,45,00,76,00,65,00,\
  6e,00,74,00,53,00,79,00,73,00,74,00,65,00,6d,00,00,00,00,00
"ServiceSidType"=dword:00000001
"RequiredPrivileges"=hex(7):53,00,65,00,43,00,72,00,65,00,61,00,74,00,65,00,47,\
  00,6c,00,6f,00,62,00,61,00,6c,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,\
  67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,6e,\
  00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\
  00,00,53,00,65,00,54,00,63,00,62,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,\
  00,67,00,65,00,00,00,53,00,65,00,41,00,73,00,73,00,69,00,67,00,6e,00,50,00,\
  72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,00,65,00,6e,00,50,00,72,\
  00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6e,00,\
  63,00,72,00,65,00,61,00,73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,72,\
  00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,00,00
"FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\
  00,01,00,00,00,60,ea,00,00,01,00,00,00,c0,d4,01,00,00,00,00,00,00,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\Parameters]
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
  00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
  71,00,6d,00,67,00,72,00,2e,00,64,00,6c,00,6c,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\Performance]
"Library"="bitsperf.dll"
"Open"="PerfMon_Open"
"Collect"="PerfMon_Collect"
"Close"="PerfMon_Close"
"InstallType"=dword:00000001
"PerfIniFile"="bitsctrs.ini"
"First Counter"=dword:000007d2
"Last Counter"=dword:000007e2
"First Help"=dword:000007d3
"Last Help"=dword:000007e3
"Object List"="2002"
"PerfMMFileName"="Global\\MMF_BITS_s"
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\Security]
"Security"=hex:01,00,14,80,90,00,00,00,a0,00,00,00,14,00,00,00,34,00,00,00,02,\
  00,20,00,01,00,00,00,02,c0,18,00,00,00,0c,00,01,02,00,00,00,00,00,05,20,00,\
  00,00,20,02,00,00,02,00,5c,00,04,00,00,00,00,02,14,00,ff,01,0f,00,01,01,00,\
  00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,\
  20,00,00,00,20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,04,\
  00,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,01,02,\
  00,00,00,00,00,05,20,00,00,00,20,02,00,00,01,02,00,00,00,00,00,05,20,00,00,\
  00,20,02,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wuauserv]
"PreshutdownTimeout"=dword:036ee800
"DisplayName"="Windows Update"
"ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\
  74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"Description"="@%systemroot%\\system32\\wuaueng.dll,-106"
"ObjectName"="LocalSystem"
"ErrorControl"=dword:00000001
"Start"=dword:00000002
"DelayedAutoStart"=dword:00000001
"Type"=dword:00000020
"DependOnService"=hex(7):72,00,70,00,63,00,73,00,73,00,00,00,00,00
"ServiceSidType"=dword:00000001
"RequiredPrivileges"=hex(7):53,00,65,00,41,00,75,00,64,00,69,00,74,00,50,00,72,\
  00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,72,00,\
  65,00,61,00,74,00,65,00,47,00,6c,00,6f,00,62,00,61,00,6c,00,50,00,72,00,69,\
  00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,72,00,65,00,\
  61,00,74,00,65,00,50,00,61,00,67,00,65,00,46,00,69,00,6c,00,65,00,50,00,72,\
  00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,54,00,63,00,\
  62,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,\
  00,41,00,73,00,73,00,69,00,67,00,6e,00,50,00,72,00,69,00,6d,00,61,00,72,00,\
  79,00,54,00,6f,00,6b,00,65,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,\
  00,67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,\
  6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\
  00,00,00,53,00,65,00,49,00,6e,00,63,00,72,00,65,00,61,00,73,00,65,00,51,00,\
  75,00,6f,00,74,00,61,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\
  00,00,00,53,00,65,00,53,00,68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,50,00,\
  72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,00,00
"FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\
  00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wuauserv\Parameters]
"ServiceDll"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,\
  00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
  77,00,75,00,61,00,75,00,65,00,6e,00,67,00,2e,00,64,00,6c,00,6c,00,00,00
"ServiceMain"="WUServiceMain"
"ServiceDllUnloadOnStop"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wuauserv\Security]
"Security"=hex:01,00,14,80,78,00,00,00,84,00,00,00,14,00,00,00,30,00,00,00,02,\
  00,1c,00,01,00,00,00,02,80,14,00,ff,00,0f,00,01,01,00,00,00,00,00,01,00,00,\
  00,00,02,00,48,00,03,00,00,00,00,00,14,00,9d,00,02,00,01,01,00,00,00,00,00,\
  05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
  20,02,00,00,00,00,14,00,ff,01,0f,00,01,01,00,00,00,00,00,05,12,00,00,00,01,\
  01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

 

Adnotacja dla innych czytających: import dopasowany do Windows 7.

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku na plik Scal

 

2. Zresetuj system i wygeneruj nowy log z Farbar Service Scanner.

 

 

 

.

 

 

[Grillowany]

Proszę, log z FSSa:

http://wklej.to/3H2KI

 

 

tak zupełnie z innej beczki - system co chwile informuje mnie o możliwości zainstalowania updateu javy oraz adobe readera. Instalować to ze spokojną głową, że nie są to żadne wirusy (bo słyszałem, że java i Ukash miało jakieś powiązanie) czy wstrzymać się z tym?

 

o nazwie jucheck - ta aktualizacja czy program, coś co się tam wyświetla.

[picasso]

Usługi odbudowane. Należy teraz prawidłowo wykończyć temat:

 

1. Wyczyść po narzędziach: w AdwCleaner (stosowany na innym forum) użyj Uninstall, w OTL uruchom Sprzątanie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Wykonaj pełne skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport. Jeśli nic, przejdź do:

 

4. Zaktualizuj wyliczone poniżej oprogramowanie: KLIK. W systemie widać brak aktualizacji Windows (pakiet SP1+IE9) oraz wersje:

 

64bit- Professional  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F86417006FF}" = Java 7 Update 6 (64-bit)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83217004FF}" = Java™ 7 Update 4
"{AC76BA86-7AD7-1033-7B44-AA1000000001}" = Adobe Reader X (10.1.2)
"{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.8
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE) ----> niewiadoma wersja
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox) ----> już jest najnowsza
"ENTERPRISE" = Microsoft Office Enterprise 2007 ----> doinstaluj pakiet SP3
"Mozilla Firefox 13.0.1 (x86 pl)" = Mozilla Firefox 13.0.1 (x86 pl)

 

W skrócie postępowanie na temat aplikacji, które Cię "niepokoją" poniżej: wszystkie wystąpienia Java i Adobe odinstaluj, po tym doinstaluj najnowsze wersje.

 

 

tak zupełnie z innej beczki - system co chwile informuje mnie o możliwości zainstalowania updateu javy oraz adobe readera. Instalować to ze spokojną głową, że nie są to żadne wirusy (bo słyszałem, że java i Ukash miało jakieś powiązanie) czy wstrzymać się z tym?

 

UKASH i podobne wchodząc przez luki w przestarzałym oprogramowaniu, dlatego tu na forum jest silny nacisk na aktualizacje (podane wyżej). Natomiast same komunikaty o aktualizacji: Java tu nie jest najnowsza i to już adresuję w punkcie 4 powyżej, ale wg OTL w Firefox już jest zamontowany najnowszy Adobe Flash.

 

FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_4_402_278.dll ()

 

Nie jest znana jednak wersja wtyczki w Internet Explorer. Sfałszowana "aktualizacja" Adobe Flash jest charakterystyczna właśnie dla ZeroAccess. Testowałam ten wariant osobiście, zaraz po uruchomieniu droppera infekcji startował interfejs Adobe Flash gadający o "aktualizacji". Tu już ZeroAccess pomyślnie usunięty, więc trudno stwierdzić co to za komunikat (może być prawdziwy). Czy na pewno ten komunikat teraz też widzisz?

 

 

PS. I jeszcze widzę u Ciebie "hardcore" zasobów Gadu-Gadu 10. Sugeruję obejrzenie lżejszych alternatyw z obsługą sieci Gadu: WTW, Kadu, Miranda, AQQ. Opisy: KLIK.

 

 

.

[Grillowany]

No wykrył ten Malware trochę syfu na tym komputerze, proszę, oto log:

http://wklej.to/quHdg

 

10 wirusów, w tym kilka trojanów. Radzimy coś na to?

[picasso]

Do usunięcia Trojan.Agent z sekcji "Wykrytych kluczy rejestru", cracki / aktywatory oraz obiekty z System Volume Information (Przywracanie systemu). Natomiast to wygląda na fałszywe alarmy:

 

C:\Users\Mateusz\AppData\Local\ALLPlayer\Plugins\Scripter's Spectrum.svp (Trojan.Downloader) -> Nie wykonano akcji.
D:\Gry\Phx_data\Res\EmuCfg.exe (Trojan.Agent) -> Nie wykonano akcji.
D:\Gry\Phx_data\Res\GCFMgr.exe (Trojan.Agent) -> Nie wykonano akcji.
D:\Gry\Phx_data\Res\RICO.exe (Backdoor.Bot) -> Nie wykonano akcji.
D:\Gry\Phx_data\Res\ss.exe (Backdoor.Bot) -> Nie wykonano akcji.

 

 

.