Rootkit Zeroaccess i Sirefef

[Luxorrr]

Od pewnego czasu mam coś takiego w kompie i ciągłe komunikaty z avg i , że svchost.exe został wyłączony są dręczące. Jakieś propozycje jak to usunąć?

[picasso]

Temat założony w złym dziale. Przenoszę z Windows do działu Diagnostyki Malware. Proszę się dostosować do zasad i podać obowiązkowe logi: KLIK.

[Luxorrr]

Windows Vista 64 bity.

OTL.Txt

Extras.Txt

[picasso]

1. Otwórz Notatnik i wklej w nim:

 

reg delete HKCU\Software\Classes\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9} /f
reg add HKLM\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InprocServer32 /ve /t REG_EXPAND_SZ /d %%systemroot%%\system32\wbem\fastprox.dll /f
reg delete "HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows" /v Load /f
reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}" /f
reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{06A9B65F-227D-4D96-AAB9-66F95427BF62}" /f
reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}" /f
reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{06A9B65F-227D-4D96-AAB9-66F95427BF62}" /f
reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}" /f
reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}" /f
reg delete "HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser" /v {043C5167-00BB-4324-AF7E-62013FAEDACF} /f
reg delete "HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser" /v {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} /f
reg delete "HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser" /v {D4027C7F-154A-4066-A1AD-4243D8127440} /f
reg add "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f
reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f
reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f
reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main" /v "Start Page" /t REG_SZ /d about:blank /f
del /q C:\Users\Felek\AppData\Roaming\mozilla\firefox\profiles\sw8r6by4.default\searchplugins\askcomsearch.xml
del /q C:\Users\Felek\AppData\Roaming\mozilla\firefox\profiles\sw8r6by4.default\searchplugins\SearchResults.xml
del /q C:\Users\Felek\AppData\Roaming\mozilla\firefox\profiles\sw8r6by4.default\searchplugins\startsear.xml
del /q "C:\Program Files (x86)\mozilla firefox\plugins\npvsharetvplg.dll"
del /q "C:\Program Files (x86)\mozilla firefox\searchplugins\SearchResults.xml"
rd /s /q C:\Users\Felek\AppData\Roaming\OpenCandy
pause

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT

 

Kliknij prawym na plik i wybierz opcję Uruchom jako Administrator. Konieczny restart komputera, by odładować z pamięci ZeroAccess.

 

2. Otwórz Notatnik i wklej w nim:

 

icacls C:\$Recycle.Bin\S-1-5-18 /grant Wszyscy:F /T

icacls C:\$Recycle.Bin\S-1-5-21-3368501981-3584690263-3984942771-1000\$12f32972cfc8bf4988719cd13a120f3f /grant Wszyscy:F /T
rd /s /q C:\$Recycle.Bin
del /q C:\Windows\assembly\GAC_32\Desktop.ini
del /q C:\Windows\assembly\GAC_64\Desktop.ini
netsh winsock reset
pause

 

Uwaga: masz ustawione niemieckie locale w Vista. W skrypcie jest nazwa polska grupy Wszyscy. To słowo musisz zamienić nazwą niemiecką tej grupy.

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT

 

Kliknij prawym na plik i wybierz opcję Uruchom jako Administrator. Konieczny restart komputera, by dokończyć reset Winsock naruszony przez ZeroAccess.

 

3. Zrób nowe logi: OTL z opcji Skanuj (już bez Extras), AdwCleaner z opcji Search, Farbar Service Scanner. Dodatkowo uruchom SystemLook x64 i do okna wklej:

 

:dir

C:\$Recycle.Bin /s
 
:filefind
services.exe

 

Klik w Look

 

 

 

.

[Luxorrr]

Niemieckie locale są ponieważ system jest niemiecki. Zaraz zrobię i napiszę czy działa. Ale i tak z góry dziękuje pomimo tak późnej pory!

[picasso]

Oczywiście, dlatego mówię, że masz podstawić niemiecką nazwę grupy (nie znam niemieckiego, więc podałam tylko polski ekwiwalent, który samodzielnie musisz dopasować). Nazwy grup w uprawnieniach są przetłumaczone i zgodne z natywnym językiem systemu (Everyone, Wszyscy i tak dalej...).

[Luxorrr]

A gdzie mogę szukać tej nazwy grupy ?

[picasso]

Pierwsza z brzegu metoda poboru tej nazwy to Start > w polu szukania wpisz regedit > kliknij prawym na HKEY_LOCAL_MACHINE, z prawokliku pobierz Uprawnienia. Pojawi się lista kont, na której powinna być grupa Wszyscy pod niemiecką nazwą (podaj mi tę nazwę na wszelki wypadek, bo być może będę musiała z tego ponownie skorzystać). Ta nazwa musi zastąpić dwa wystąpienia słowa "Wszyscy" w moim pliku FIX.BAT.

 

 

.

[Luxorrr]

Nazwa grupy : Jeder .

[picasso]

Heh, Google Translator prawdę mi opowiadał. Czyli w drugim pliku FIX.BAT te dwie linie mają mieć postać:

 

icacls C:\$Recycle.Bin\S-1-5-18 /grant Jeder:F /T
icacls C:\$Recycle.Bin\S-1-5-21-3368501981-3584690263-3984942771-1000\$12f32972cfc8bf4988719cd13a120f3f /grant Jeder:F /T

 

 

.

[Luxorrr]

Ok teraz logi:

 

SystemLook 30.07.11 by jpshortstuff

Log created at 02:06 on 13/10/2012 by Felek

Administrator - Elevation successful

 

========== dir ==========

 

C:\$Recycle.Bin - Parameters: "/s"

 

---Files---

None found.

 

C:\$Recycle.Bin\S-1-5-18 d--hs-- [11:53 11/01/2012]

 

========== filefind ==========

 

Searching for "services.exe"

C:\Windows\System32\services.exe --a---- 384512 bytes [09:07 03/03/2011] [07:10 11/04/2009] 934E0B7D77FF78C18D9F8891221B6DE3

C:\Windows\SysWOW64\services.exe --a---- 279552 bytes [09:07 03/03/2011] [06:27 11/04/2009] D4E6D91C1349B7BFB3599A6ADA56851B

C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6001.18000_none_2b7e5beb85a67240\services.exe --a---- 384512 bytes [02:48 21/01/2008] [02:48 21/01/2008] DFAC660F0F139276CC9299812DE42719

C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6002.18005_none_2d69d4f782c83d8c\services.exe --a---- 384512 bytes [09:07 03/03/2011] [07:10 11/04/2009] 934E0B7D77FF78C18D9F8891221B6DE3

C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6001.18000_none_cf5fc067cd49010a\services.exe --a---- 279040 bytes [02:49 21/01/2008] [02:49 21/01/2008] 2B336AB6286D6C81FA02CBAB914E3C6C

C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6002.18005_none_d14b3973ca6acc56\services.exe --a---- 279552 bytes [09:07 03/03/2011] [06:27 11/04/2009] D4E6D91C1349B7BFB3599A6ADA56851B

 

-= EOF =-

OTL.Txt

AdwCleanerR1.txt

FSS.txt

[picasso]

Infekcja odładowana pomyślnie, ale nie wszystkie jej elementy zostały usunięte. W Koszu systemowym nadal jest zablokowany przez uprawnienia folder S-1-5-18 i ostały się pliki desktop.ini tej infekcji. Poza tym konieczne i reperacje, ponieważ trojan skasował z systemu usługi Centrum zabezpieczeń, Windows Defender, Windows Update i Zapora systemu Windows. Kolejne akcje:

 

1. Otwórz Notatnik i wklej w nim:

 

TAKEOWN /F C:\$Recycle.Bin\S-1-5-18 /R /A
icacls C:\$Recycle.Bin\S-1-5-18 /grant Jeder:F /T
rd /s /q C:\$Recycle.Bin
pause

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT

 

Kliknij prawym na plik i wybierz opcję Uruchom jako Administrator.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL

O3:64bit: - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
F3:64bit: - HKU\S-1-5-21-3368501981-3584690263-3984942771-1000 WinNT: Load - (C:\Users\Felek\LOCALS~1\Temp\msaoua.com) -  File not found
F3 - HKU\S-1-5-21-3368501981-3584690263-3984942771-1000 WinNT: Load - (C:\Users\Felek\LOCALS~1\Temp\msaoua.com) -  File not found
[2012.10.12 21:27:26 | 000,005,120 | -HS- | M] () -- C:\Windows\assembly\GAC_32\Desktop.ini
[2012.10.12 21:27:26 | 000,006,144 | -HS- | M] () -- C:\Windows\assembly\GAC_64\Desktop.ini
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany.

 

3. Uruchom AdwCleaner i zastosuj Delete. Skutkiem ubocznym tego będzie uszkodzenie wyszukiwarki Bing w Internet Explorer. Po akcji uruchom Opcje Internetowe > Programy > Menedżer dodatków > Dostawcy wyszukiwania > doinstaluj z galerii wybraną wyszukiwarkę.

 

4. Odbuduj usunięte przez trojana usługi za pomocą automatu ServicesRepair.

 

5. Na koniec zresetuj system i podaj nowe logi: OTL z opcji Skanuj (bez Extras), Farbar Service Scanner oraz SystemLook na poniższy warunek.

 

:dir

C:\$Recycle.Bin /s

 

 

.

Edytowane 12 Listopada 2012 przez picasso
12.11.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso