Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Problem z działaniem programów zabezpieczających

pXp

Przez pXp
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

pXp

pXp

Opublikowano
Opublikowano

Na wstępie witam wszystkich.

 

Mój problem dotyczy niewłaściwego działania programów antywirusowych, które blokuje jakis intruz, albo pozostałości po nim.

Nie jestem w stanie stwierdzić kiedy dokładnie problem się zaczął, ale zaniepokoiło mnie kiedy chciałem zainstalować nowe oprogramowanie antywirusowe.

 

Wszystko zaczęło się od McAffe, który po instalacji i restarcie systemu wywalał bład "Failed to Create IDispatch" i pracy odmawiała zapora oraz harmonogram skanowania.

 

Po Mcaffe przyszedł czas na testowanie GDaty IS, gdzie także skończyło się niepowodzeniem. Otrzymywałem informacje: "Firewall nie działa", oraz "kod błedu 0x800401f3", oraz "nie mozna uruchomic programu G Data antivirus ponieważ jeden z jego składników nie jest zaistalowany".

 

Po czym zainstalowałem pakiet testowy pakiet Bitdefendera, który także po restarcie odmawiał współpracy - nie działał skaner rezydentny.

 

Z dotychczasowych prób bezproblemowo działa na razie MS Essential oraz systemowa zapora (tak przynajmniej mi sie wydaje).

 

Po lekturze forum i analizie problemów innych userów moje podejrzenia nakierowałem na infekcję trojanem ZeroAcces.

 

System skanowałem róznymi pakietami i skanerami na żądanie ale żaden z nich nic nie odnalazł.

 

Jednak niepoki mnie to że w katalogu $RECYCLE.BIN mam jeden z katalogów którego nie potrafię fizycznie usunąc i tam sobie siedzi ZeroAccess w wariancie CLSID.

 

W załączeniu logi, bardzo proszę o sprawdzenie.

OTL.Txt

Extras.Txt

FSS.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Raporty nie wskazują, by w systemie była jakakolwiek infekcja. Natomiast obecność tego procentowego katalogu sugeruje całkiem co innego (uszkodzone wpisy folderów powłoki):

 

[2012-10-02 15:49:06 | 000,000,000 | -HSD | C] -- C:\Users\user\Desktop\%APPDATA%

 

Poproszę o dodatkowy skan. Uruchom SystemLook x64 i w oknie wklej do skanu:

 

:reg
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders

 

Klik w Look.

 

 

Po lekturze forum i analizie problemów innych userów moje podejrzenia nakierowałem na infekcję trojanem ZeroAcces.

 

Wg OTL: wszystkie klucze CLSID w postaci domyślnej, brak detekcji plików ZeroAccess na dysku, brak przekierowania Winsock. Dodatkowo wg Farbar: brak uszkodzeń w usługach.

 

 

Jednak niepoki mnie to że w katalogu $RECYCLE.BIN mam jeden z katalogów którego nie potrafię fizycznie usunąc i tam sobie siedzi ZeroAccess w wariancie CLSID.

 

Pokaż o co Ci chodzi, o jakim katalogu mowa, bo tu nie ma na razie żadnych oznak działania ZeroAccess.

 

 

Z dotychczasowych prób bezproblemowo działa na razie MS Essential oraz systemowa zapora (tak przynajmniej mi sie wydaje).

 

Gdyby w systemie był ZeroAccess, to pierwsze co by padło to właśnie te dwa.

 

 

 

.

Odnośnik do komentarza
pXp

pXp

Opublikowano
  • Autor
Opublikowano

Dziękuję za sprawdzenie logów. Ponizej załączam log z SystemLook x64.

Odnosnie katalogu o którym pisałem to wygląda to tak że w katalogu C:\$RECYCLE.BIN siedzi sobie katalog "S-1-5-18" którego nie potrafię usunąć, gdzie wszystkie inne można.

 

Ale najbardziej nurtuje mnie to że nie wiem co może być przyczyną braku prawidłowego działania aplikacji zabezpieczających? Może powinienem jeszcze wykonać jakieś inne logi?

 

Będę zobowiązany za pomoc.

SystemLook.txt

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Skan na foldery powłoki nie przedstawia żadnej usterki.

 

 

Odnosnie katalogu o którym pisałem to wygląda to tak że w katalogu C:\$RECYCLE.BIN siedzi sobie katalog "S-1-5-18" którego nie potrafię usunąć, gdzie wszystkie inne można.

 

Owszem, ten katalog tworzy ZeroAccess, tylko że tu w raportach brak jakichkolwiek oznak tej infekcji, klucze CLSID są czyste, żadnych modyfikacji od wariantu ZeroAccess atakującego Kosz systemowy:

 

 

 

========== ZeroAccess Check ==========

 

[2009-07-14 06:55:00 | 000,000,227 | ---- | M] () -- C:\Windows\assembly\Desktop.ini

 

[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64

 

[HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]

 

[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32] /64

 

[HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]

 

[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64

"" = C:\Windows\SysNative\shell32.dll -- [2012-06-09 07:43:10 | 014,172,672 | ---- | M] (Microsoft Corporation)

"ThreadingModel" = Apartment

 

[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]

"" = %SystemRoot%\system32\shell32.dll -- [2012-06-09 06:41:00 | 012,873,728 | ---- | M] (Microsoft Corporation)

"ThreadingModel" = Apartment

 

[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32] /64

"" = C:\Windows\SysNative\wbem\fastprox.dll -- [2009-07-14 03:40:51 | 000,909,312 | ---- | M] (Microsoft Corporation)

"ThreadingModel" = Free

 

[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]

"" = %systemroot%\system32\wbem\fastprox.dll -- [2010-11-20 14:19:02 | 000,606,208 | ---- | M] (Microsoft Corporation)

"ThreadingModel" = Free

 

[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32] /64

"" = C:\Windows\SysNative\wbem\wbemess.dll -- [2009-07-14 03:41:56 | 000,505,856 | ---- | M] (Microsoft Corporation)

"ThreadingModel" = Both

 

[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]

 

 

 

Pokaż co jest w Koszu:

 

1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę:

 

icacls C:\$Recycle.Bin /grant Wszyscy:F /T

 

2. Uruchom SystemLook i w oknie wklej:

 

:dir
C:\$Recycle.Bin /s

 

Klik w Look. Przedstaw wynikowy raport.

 

 

Ale najbardziej nurtuje mnie to że nie wiem co może być przyczyną braku prawidłowego działania aplikacji zabezpieczających? Może powinienem jeszcze wykonać jakieś inne logi?

 

Na razie tu nie ma żadnych podstaw, by twierdzić, że infekcja za to odpowiada. Pula logów prawie wyczerpana. System x64, to niektóre narzędzia odpadają. Sprawdź jeszcze czy coś widzi Kaspersky TDSSKiller (z wyjątkiem sterownika SPTD od emulatorów).

 

 

 

.

Odnośnik do komentarza
pXp

pXp

Opublikowano
  • Autor
Opublikowano

A więc co zrobiłem:

  1. Wykonałem komende z CMD zgodnie z zaleceniem
  2. Nie wiem czy dobrze, ale uruchomiłem cccleanera, po to żeby oczyścić log z niepotrzebych zapisów. CCleaner poinformował mnie że kosz na C jest uszkodzony, ale potem już działał normalnie.
  3. Wykonałem log SystemLook który załączam.

ps. nie wiem czy sie nie pospieszyłem z tym ccleaner i nie zawaliłem przez to sprawy w celu analizy zagrożenia, bo mogłem to zrobic przed pkt 1, a nie po nim :(

SystemLook.txt

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Czy sprawdziłeś co widzi TDSSKiller? Akcja CCleaner nie miała znaczenia, mam całą nietkniętą listę obiektów w Koszu. Ten podfolder S-1-5-18 nie jest od ZeroAccess, coś innego musiało to utworzyć, a jego zawartość to usunięte obiekty AMD Fuel. S-1-5-18 to SID Lokalnego konta systemowego. Skoro ten folder jest w Koszu, to wygląda na to, że na pewnym etapie to konto było zalogowane, ale nie jest wiadome co odpaliło to konto (mogła to być pochodna prawidłowych procesów). To, podobnie jak wspominany przeze mnie procentowy katalog %APPDATA%, wspólnie mogłoby sugerować problem przekierowań powłoki, ale skan w rejestrze nie wykazał tej usterki. Na teraz nie mam więcej uwag na ten temat i jak mówię nie ma tu oznak działania infekcji.

 

1. Odblokowałam już Kosz komendą icacls. Teraz go po prostu skasuj. W cmd uruchomionym jako Administrator wpisz:

 

rd /s /q C:\$Recycle.Bin

 

Przy pierwszej podjętej próbie usunięcia czegoś do Kosza katalog się zregeneruje.

 

2. Przez SHIFT+DEL skasuj także ukryty katalog na Pulpicie:

 

C:\Users\user\Desktop\%APPDATA%

 

 

 

.

Odnośnik do komentarza
pXp

pXp

Opublikowano
  • Autor
Opublikowano

Bardzo dziękuje za pomoc.

TDSSKiller zaraz uruchomię, w przypadku niepojących treści pozwolę sobie jeszcze napisać.

 

Ponieważ pomoc na niniejszym forum jest bardzo profesjonalna i udzielana w tempie ekspresowym, warto wspomóc Panią Administartor zakupując cegiełkę co niniejszym czynię i zachęcam również innych forumowiczów, szczególnie tych mocno zainfekowanych ;)

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...