Skocz do zawartości

Ransomware po fińsku 2


Rekomendowane odpowiedzi

Cześć,

 

od paru dni próbował mi się aktualizowac (wyskakujące powiadomienie) Adobe Flash Player, ale go odsyłałem na świętego nigdy z braku czasu, aż zaktualizował się na siłę. Ściągnął, co tam miał ściągnąć, po czym zaczął się instalować. Pod koniec instalacji Trend Micro Office Scan zaczął protestowac wywalając kolejne wirusy dołączone do instalki, ale widać nie ze wszystkim sobie poradził, bo po jakimś czasie pojawił się znany skąd inąd (czyli z tego wątku już zamkniętego) ransomware, czyli "blokada komputera przez fińską policję celem wyciągnięcia od użytkownika paru euro".

 

Proszę ponownie o pomoc i o radę, jak się tego ustrzec, gdy nie mogę zainstalować innych antywirusów, niż Trend Micro Office, a na żadne podejrzane strony nie wchodzę, podejrzanych treści nie ściągam, załączników też nie otwieram nieznanych. Ponoć jakieś świństwo mogło się we Flashu przemycić.

Extras.Txt

OTL.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Tu jest także infekcja ZeroAccess.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
 
:Files
D:\userdata\WRO01692\Application Data\skype.dat
D:\userdata\WRO01692\Application Data\skype.ini
C:\Program Files\Enigma Software Group
 
:OTL
O7 - HKU\S-1-5-21-1593251271-2640304127-1825641215-96630\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1
DRV:64bit: - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys -- (esgiguard)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart. Blokada powinna zniknąć.

 

2. Otwórz Notatnik i wklej w nim:

 

reg delete HKCU\Software\Classes\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9} /f

reg add HKLM\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InprocServer32 /ve /t REG_EXPAND_SZ /d %%systemroot%%\system32\wbem\fastprox.dll /f

pause

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT

 

Kliknij prawym na plik i wybierz opcję Uruchom jako Administrator. Zresetuj system.

 

3. Otwórz Notatnik i wklej w nim:

 

TAKEOWN /F C:\$Recycle.Bin\S-1-5-18 /R /A /D Y

icacls C:\$Recycle.Bin /grant Everyone:F /T

rd /s /q C:\$Recycle.Bin

netsh winsock reset

pause

 

Kliknij prawym na plik i wybierz opcję Uruchom jako Administrator. Zresetuj system.

 

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras) i Farbar Service Scanner. Uruchom SystemLook x64 i do skanu wklej:

 

:dir

C:\$Recycle.Bin /s

 

:reg

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects /s

 

Klik w Look. Dołącz też log z wynikami usuwania OTL z punktu 1.

 

 

 

.

Odnośnik do komentarza

Mam problem - nie wiem, czy to wykonanie skryptu, czy update'y Windowsa sprawily, ale po restarcie po 1 kroku nie odpala mi sie desktop - komp dziala, da sie odpalic task managera i create new task - tak otworzylem Internet Explorera, ale sam explorer, mimo ze proces odpalony, desktopu nie pokazuje, dysku eksplorowac nie pozwala (mozliwe za pomoca total commandera).

Odnośnik do komentarza

Drugi krok wykonalem bez desktopa, ale musialem go wykonac recznie w regedicie - z jakiegos powodu klucz do usuniecia nie zostal znaleziony, a do dodania byl access denied. Pierwszy usunalem, a drugi zamiast stworzyc, zmienilem Default na sciezke "C:WINDOWS\system32\wbem\fastprox.dll". (Default) byl REG_SZ, a nie REG_EXPAND_SZ, ale tego sie nie dalo zmienic. Po restarcie desktop sie odpalil i pojawil sie log:

 

 

All processes killed

========== REGISTRY ==========

Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell deleted successfully.

========== FILES ==========

D:\userdata\WRO01692\Application Data\skype.dat moved successfully.

D:\userdata\WRO01692\Application Data\skype.ini moved successfully.

C:\Program Files\Enigma Software Group\SpyHunter\Log folder moved successfully.

C:\Program Files\Enigma Software Group\SpyHunter folder moved successfully.

C:\Program Files\Enigma Software Group folder moved successfully.

========== OTL ==========

Registry value HKEY_USERS\S-1-5-21-1593251271-2640304127-1825641215-96630\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\HideSCAHealth deleted successfully.

Service esgiguard stopped successfully!

Service esgiguard deleted successfully!

File C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys not found.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: All Users

 

User: CLEARC_SVC003_PL

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: Default

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: Public

 

User: wro01692

->Temp folder emptied: 139178345 bytes

->Temporary Internet Files folder emptied: 85421175 bytes

->Java cache emptied: 1525607 bytes

->Opera cache emptied: 89076221 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32 (64bit) .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 2309332 bytes

%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 104389 bytes

RecycleBin emptied: 9914 bytes

 

Total Files Cleaned = 303,00 mb

 

 

OTL by OldTimer - Version 3.2.69.0 log created on 04252013_095351

Files\Folders moved on Reboot...

File\Folder C:\Users\wro01692\AppData\Local\Temp\hsperfdata_wro01692\11188 not found!

C:\Users\wro01692\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

C:\Users\wro01692\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\RU9D2YW6\17213-ransomware-po-fińsku[1].htm moved successfully.

C:\Users\wro01692\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\RU9D2YW6\fastbutton[1].htm moved successfully.

C:\Users\wro01692\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\P1DAEVOE\search[2].htm moved successfully.

C:\Users\wro01692\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\L72XDCL3\xd_arbiter[1].htm moved successfully.

C:\Users\wro01692\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\L72XDCL3\xd_arbiter[2].htm moved successfully.

C:\Users\wro01692\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\K73K9L1T\fastbutton[3].htm moved successfully.

C:\Users\wro01692\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\K73K9L1T\like[2].htm moved successfully.

C:\Users\wro01692\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\K73K9L1T\xd_arbiter[3].htm moved successfully.

C:\Users\wro01692\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\MSIMGSIZ.DAT moved successfully.

C:\Users\wro01692\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\BK1T5EIE\calendar[1].htm moved successfully.

C:\Users\wro01692\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\36U91LL5\blank[4].htm moved successfully.

File move failed. C:\WINDOWS\temp\tm_icrcL_A606D985_38CA_41ab_BCD9_60F771CF800D scheduled to be moved on reboot.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

 

ale jednoczesnie pojawil sie znow update Adobe Flash Player, od ktorego sie wszystko zaczelo i nie wiem, czy to Adobowy, czy fake'owy updater:

 

z89Gh.jpg

 

Jak to sprawdzic i ewentualnie sie tego pozbyc, jesli to fake'owy?

 

Procz tego nie odpala mi sie Cisco Anyconnect, co sie wczesniej nie zdarzalo:

TZ0MV.jpg

 

Jade z krokami w miedzyczasie dalej.

Log z drugiego uruchomienia OTL zalaczony.

 

Log z Farbar Service Scanner:

 

Farbar Service Scanner Version: 14-04-2013

Ran by wro01692 (administrator) on 25-04-2013 at 11:30:05

Running from "C:\Users\wro01692\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\GNOMFQLM"

Windows 7 Professional Service Pack 1 (X64)

Boot Mode: Normal

****************************************************************

Internet Services:

============

Connection Status:

==============

Localhost is accessible.

LAN connected.

Attempt to access Google IP returned error. Google IP is offline

Attempt to access Google.com returned error: Google.com is offline

Attempt to access Yahoo IP returned error. Yahoo IP is offline

Attempt to access Yahoo.com returned error: Yahoo.com is offline

 

Windows Firewall:

=============

mpsdrv Service is not running. Checking service configuration:

The start type of mpsdrv service is OK.

The ImagePath of mpsdrv service is OK.

MpsSvc Service is not running. Checking service configuration:

Checking Start type: ATTENTION!=====> Unable to open MpsSvc registry key. The service key does not exist.

Checking ImagePath: ATTENTION!=====> Unable to open MpsSvc registry key. The service key does not exist.

Checking ServiceDll: ATTENTION!=====> Unable to open MpsSvc registry key. The service key does not exist.

bfe Service is not running. Checking service configuration:

Checking Start type: ATTENTION!=====> Unable to open bfe registry key. The service key does not exist.

Checking ImagePath: ATTENTION!=====> Unable to open bfe registry key. The service key does not exist.

Checking ServiceDll: ATTENTION!=====> Unable to open bfe registry key. The service key does not exist.

 

Firewall Disabled Policy:

==================

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]

"EnableFirewall"=DWORD:0

 

System Restore:

============

System Restore Disabled Policy:

========================

 

Action Center:

============

wscsvc Service is not running. Checking service configuration:

The start type of wscsvc service is OK.

The ImagePath of wscsvc: "C:\WINDOWS\System32\svchost.exe -k LocalServiceNetworkRestricted".

The ServiceDll of wscsvc service is OK.

 

Windows Update:

============

Windows Autoupdate Disabled Policy:

============================

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]

"NoAutoUpdate"=DWORD:1

 

Windows Defender:

==============

WinDefend Service is not running. Checking service configuration:

Checking Start type: ATTENTION!=====> Unable to open WinDefend registry key. The service key does not exist.

Checking ImagePath: ATTENTION!=====> Unable to open WinDefend registry key. The service key does not exist.

Checking ServiceDll: ATTENTION!=====> Unable to open WinDefend registry key. The service key does not exist.

 

Other Services:

==============

Checking Start type of SharedAccess: ATTENTION!=====> Unable to retrieve start type of SharedAccess. The value does not exist.

Checking ImagePath of SharedAccess: ATTENTION!=====> Unable to retrieve ImagePath of SharedAccess. The value does not exist.

Checking ServiceDll of SharedAccess: ATTENTION!=====> Unable to open SharedAccess registry key. The service key does not exist.

Checking Start type of iphlpsvc: ATTENTION!=====> Unable to open iphlpsvc registry key. The service key does not exist.

Checking ImagePath of iphlpsvc: ATTENTION!=====> Unable to open iphlpsvc registry key. The service key does not exist.

Checking ServiceDll of iphlpsvc: ATTENTION!=====> Unable to open iphlpsvc registry key. The service key does not exist.

 

File Check:

========

C:\Windows\System32\nsisvc.dll => MD5 is legit

C:\Windows\System32\drivers\nsiproxy.sys => MD5 is legit

C:\Windows\System32\dhcpcore.dll => MD5 is legit

C:\Windows\System32\drivers\afd.sys => MD5 is legit

C:\Windows\System32\drivers\tdx.sys => MD5 is legit

C:\Windows\System32\Drivers\tcpip.sys => MD5 is legit

C:\Windows\System32\dnsrslvr.dll => MD5 is legit

C:\Windows\System32\mpssvc.dll => MD5 is legit

C:\Windows\System32\bfe.dll => MD5 is legit

C:\Windows\System32\drivers\mpsdrv.sys => MD5 is legit

C:\Windows\System32\SDRSVC.dll => MD5 is legit

C:\Windows\System32\vssvc.exe => MD5 is legit

C:\Windows\System32\wscsvc.dll => MD5 is legit

C:\Windows\System32\wbem\WMIsvc.dll => MD5 is legit

C:\Windows\System32\wuaueng.dll => MD5 is legit

C:\Windows\System32\qmgr.dll => MD5 is legit

C:\Windows\System32\es.dll => MD5 is legit

C:\Windows\System32\cryptsvc.dll => MD5 is legit

C:\Program Files\Windows Defender\MpSvc.dll => MD5 is legit

C:\Windows\System32\ipnathlp.dll => MD5 is legit

C:\Windows\System32\iphlpsvc.dll => MD5 is legit

C:\Windows\System32\svchost.exe => MD5 is legit

C:\Windows\System32\rpcss.dll => MD5 is legit

 

**** End of log ****

 

Ciekawy, bo wg niego dostep do sieci jest niemozliwy, a net jest, wiec moze chodzi o to, ze nie potrafi sie przedostac przez Proxy.

 

Log z System Looka:

 

SystemLook 30.07.11 by jpshortstuff

Log created at 11:33 on 25/04/2013 by wro01692

(Limited User)

========== dir ==========

C:\$Recycle.Bin - Parameters: "/s"

---Files---

None found.

C:\$Recycle.Bin\S-1-5-21-1593251271-2640304127-1825641215-96630 d--hs-- [09:03 25/04/2013]

desktop.ini --ahs-- 129 bytes [09:03 25/04/2013] [09:03 25/04/2013]

========== reg ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects]

(No values found)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{003e0278-eca8-4bb8-a256-3689ca1c2600}]

"AutoStart"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{3BF043EF-A974-49B3-8322-B853CF1E5EC5}]

"AutoStart"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{566296fe-e0e8-475f-ba9c-a31ad31620b1}]

"AutoStart"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{68ddbb56-9d1d-4fd9-89c5-c0da2a625392}]

"AutoStart"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{7007ACCF-3202-11D1-AAD2-00805FC1270E}]

"AutoStart"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{7849596a-48ea-486e-8937-a2a3009f31a9}]

"AutoStart"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{900c0763-5cad-4a34-bc1f-40cd513679d5}]

(No values found)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{A1607060-5D4C-467a-B711-2B59A6F25957}]

"AutoStart"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{AAA288BA-9A4C-45B0-95D7-94D524869DB5}]

"AutoStart"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{C2796011-81BA-4148-8FCA-C6643245113F}]

"AutoStart"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{C51F0A6B-2A63-4cf4-8938-24404EAEF422}]

"AutoStart"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{DA67B8AD-E81B-4c70-9B91-B417B5E33527}]

"AutoStart"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{EF4D1E1A-1C87-4AA8-8934-E68E4367468D}]

"AutoStart"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{F08C5AC2-E722-4116-ADB7-CE41B527994B}]

@="Bluetooth Authentication Agent SSO"

"AutoStart"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{F20487CC-FC04-4B1E-863F-D9801796130B}]

"AutoStart"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{fbeb8a05-beee-4442-804e-409d6c4515e9}]

"AutoStart"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{ff363bfe-4941-4179-a81c-f3f1ca72d820}]

@="HomeGroup SSO"

"AutoStart"=""

 

-= EOF =-

 

Prosze rowniez o porade, jak sie ustrzec przed powrotem tego policyjnego wirusa (procz nieotwierania zalacznikow, odwiedzania podejrzanych stron itd.). Jakas latka? Soft blokujacy? Trend Micro Office niestety przed niczym nie chroni.

OTL.Txt

Odnośnik do komentarza

Prosze rowniez o porade, jak sie ustrzec przed powrotem tego policyjnego wirusa (procz nieotwierania zalacznikow, odwiedzania podejrzanych stron itd.). Jakas latka? Soft blokujacy? Trend Micro Office niestety przed niczym nie chroni.

 

Po pierwsze: infekcja wchodzi zwłaszcza przez luki Java, i to Java musi być aktualizowana. Po drugie: infekcji tu były dwa typy i wbrew pozorom to ZeroAccess jest gorszy niż blokada. Po trzecie: ogólną skuteczność ma prewencja innego typu, czyli piaskownice / wirtualne środowiska np. SandBoxie, GeSWall Freeware. Obie aplikacje kompatybilne z x64.

 

 

ale jednoczesnie pojawil sie znow update Adobe Flash Player, od ktorego sie wszystko zaczelo i nie wiem, czy to Adobowy, czy fake'owy updater:

W raporcie OTL jest plik, który jako taki zdaje się być poprawny (oryginalny Flash Player tworzy takie zadanie w Harmonogramie):

 

[2013-04-25 11:18:01 | 000,000,830 | ---- | M] () -- C:\WINDOWS\tasks\Adobe Flash Player Updater.job

 

Uruchom Autoruns, wejdź do karty Scheduled Tasks i sprawdź do czego kieruje to zadanie Adobe Flash, do jakiego pliku. Zadanie można też skasować od ręki w Autoruns.

 

 

Pierwszy usunalem, a drugi zamiast stworzyc, zmienilem Default na sciezke "C:WINDOWS\system32\wbem\fastprox.dll". (Default) byl REG_SZ, a nie REG_EXPAND_SZ, ale tego sie nie dalo zmienic.

 

To jest nieprawidłowe, na systemach Vista i Windows 7 musi być typ wartości REG_EXPAND_SZ a nie REG_SZ. Jeśli ta wartość jest błędna, WMI nie działa poprawnie. Powinieneś mieć w Dzienniku zdarzeń teraz błędy WMI. Trzeba to skorygować, poniżej adresuję to w pliku FIX.REG.

 

 

Procz tego nie odpala mi sie Cisco Anyconnect, co sie wczesniej nie zdarzalo

 

Zapewne skutki ingerencji ZeroAccess. Tu jeszcze nie skończone naprawy.

 

 

 

1. Rekonstrukcja usług skasowanych przez ZeroAccess. Uruchom ServicesRepair. Zresetuj system. Po restarcie zrób nowy log z Farbar Service Scanner.

 

2. Rekonstrukcja skasowanej ikony Centrum Akcji oraz poprawka na klucz klasy WMI. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InprocServer32]
@=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,74,00,25,\
00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,77,00,62,00,\
65,00,6d,00,5c,00,66,00,61,00,73,00,74,00,70,00,72,00,6f,00,78,00,2e,00,64,\
00,6c,00,6c,00,00,00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{F56F6FDD-AA9D-4618-A949-C1B91AF43B1A}]
"AutoStart"=""

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. Po imporcie wejdź do klucza {5839FCA9-774D-42A1-ACDA-D6A79037F57F} i sprawdź czy wartość Domyślna jest typu REG_EXPAND_SZ.

 

 

.

Odnośnik do komentarza

Flasha odinstalowalem i zainstalowalem na nowo najnowsza wersje, wiec teraz juz w scheduled taskach go nie mam.

Rejestr naprawiony, services odzyskane (mam nadzieje, ze nie mialem powylaczanych niektorych serwisow przez korpo-IT), log z FSS w zalaczniku.

 

I pytanie: ZeroAccess to rootkit, a ja mam kompa szyfrowanego PointSeciem. Raz juz byla walka z upierdliwym rootkitem i latwo nie bylo. Czy to moze sie powtorzyc?

I w zwiazku z tym pytanie pochodne - czy na takim korpo-laptopie szyfrowanym nie ma problemow z Sandboxie, jakbym chcial Opere w nim odpalac?

FSS.txt

Odnośnik do komentarza

Rejestr naprawiony, services odzyskane (mam nadzieje, ze nie mialem powylaczanych niektorych serwisow przez korpo-IT), log z FSS w zalaczniku.

 

Niestety log z Farbar Service Scanner nie wykazuje pożądanych zmian. Nadal widać skasowane wszystkie usługi: BFE (Podstawowy aparat filtrowania), iphlpsvc (Pomoc IP), MpsSvc (Zapora systemu Windows), SharedAccess (Udostępnianie połączenia internetowego) i Windows Defender. Powtórka: ServicesRepair + reset i pokaż kolejny log z Farbar Service Scanner. Jeśli nadal będzie bez zmian, podam instrukcje żmudnej ręcznej rekonstrukcji usług.

 

Co do wątku "korpo-IT": Widzę na pierwszy rzut oka, że to system "firmowy" (są charakterystyczne elementy) i jedyne co naruszyłam z konieczności to wpięcia w Winsock. ZeroAccess majstruje przy Winsock i go przekierowuje. Zastana tu sytuacja pokazywała uszkodzenia (wpisy "not found"):

 

O10:64bit: - NameSpace_Catalog5\Catalog_Entries64\000000000008 [] - C:\WINDOWS\SysNative\pcapwsp.dll (Proxy Labs)

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000001 - ppcapwsp.dll File not found

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000002 - ppcapwsp.dll File not found

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000003 - ppcapwsp.dll File not found

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000004 - ppcapwsp.dll File not found

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000016 - ppcapwsp.dll File not found

O10 - NameSpace_Catalog5\Catalog_Entries\000000000008 [] - C:\WINDOWS\SysWow64\pcapwsp.dll (Proxy Labs)

O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - pcapwsp.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - pcapwsp.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - pcapwsp.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - pcapwsp.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000016 - pcapwsp.dll File not found

 

... dlatego Winsock był resetowany w pliku BAT komendą netsh winsock reset. To naruszyło niestety wpisy  pcapwsp.dll w Protocol. Trzeba będzie aplikację ProxyCap przeinstalować, by przywrócić integrację w Protocol.

 

 

I pytanie: ZeroAccess to rootkit, a ja mam kompa szyfrowanego PointSeciem. Raz juz byla walka z upierdliwym rootkitem i latwo nie bylo. Czy to moze sie powtorzyc?

 

Tamten Twój temat pamiętam. Problemem był zupełnie inny typ rootkita, czyli Rloader infekujący sterownik systemowy, rootkit typu kernel. Tu ZeroAccess w lekkim wariancie rootkita user mode. Sytuacje nieporównywalne na korzyść ZeroAccess (kilka drobnych modyfikacji z poziomu załadowanego Windows, brak konieczności wejścia w środowisko zewnętrzne). Nawiasem mówiąc: nie zgłosiłeś się wtedy w tamtym temacie i nie wiem jak to wtedy udało Ci się rozwiązać, Recovery CD z PointSec?

 

Co masz na myśli z "powtórzyć"? Zawsze jest teoretyczna możliwość nabycia jakiegoś świństwa, które wymagać będzie szczególnych działań (dostęp z zewnątrz), a wtedy szyfrowanie PointSec to morowa zaraza i wymagana bootowalna płyta Recovery z firmowym szyfrowaniem, by móc w ogóle odczytać system plików w takim środowisku.

 

 

I w zwiazku z tym pytanie pochodne - czy na takim korpo-laptopie szyfrowanym nie ma problemow z Sandboxie, jakbym chcial Opere w nim odpalac?

 

Nie sądzę, by był problem.

 

 

 

.

Odnośnik do komentarza

ProxyCapem nie ma co sie przejmowac, bo instalowalem to na potrzeby BlueStacksa, ale nie dziala, wiec przed chwila usunalem. Wklejam log z FSSa - zdaje sie, ze wciaz jest problem. Sprawdze tez na innych sluzbowych kompach, czy to przypadkiem nie jest jakas regula.

 

Problem z tamtym rootkitem zostal "rozwiazany" przez format C: niestety. Polityka firmy nie uwzglednia czegos takiego, jak grzebanie w systemie - za duze koszty, za male oszczednosci, wiec recovery z pointseciem jest niedostepny.

 

Jednak to tylko u mnie jest problem. W ogole ostatnio firma poinstalowala nam mnostwo smieci - citrixa, trzeci juz korporacyjny komunikator, cisco anyconnecty i takie tam - efekt jest taki, ze system swiezo zrestartowany mocno przymula. Moze jeszcze raz puscic OTLa?

FSS.txt

Odnośnik do komentarza

ProxyCapem nie ma co sie przejmowac, bo instalowalem to na potrzeby BlueStacksa, ale nie dziala, wiec przed chwila usunalem.

 

W związku z tym musisz wykonać jeszcze jeden reset Winsock. ProxyCap modyfikował wpisy Protocol i NameSpace. Protocol zostało już zresetowane przez netsh winsock reset, ale NameSpace nie. Reset NameSpace wymaga importu pliku REG: KLIK.

 

 

Wklejam log z FSSa - zdaje sie, ze wciaz jest problem. Sprawdze tez na innych sluzbowych kompach, czy to przypadkiem nie jest jakas regula.

 

Nie, na 100% to nie jest "wada fabryczna". Te usługi usuwa ZeroAccess. Co najwyżej na firmowym kompie możesz mieć wyłączone niektóre drobniejsze usługi (np. Centrum zabezpieczeń czy Windows Defender), ale w żadnym wypadku nie całkowity brak usług, zwłaszcza takich które są istotne. Usługi takie jak BFE czy SharedAccess są niezbędne do prawidłowego funkcjonowania systemu, sieci i aplikacji trzecich (bez BFE antywirusy z funkcją zapory padają i aktualnie ten TrendMicro powinien zgłaszać poważne problemy naruszenia komponentów).

 

Odtwarzamy ręcznie:

 

1. Rekonstrukcja usług Zapory systemu Windows: KLIK. Tym razem masz wykonać ręczną rekonstrukcję usług BFE, MpsSvc, SharedAccess (import plików REG + uprawnień przez SetACL).

 

2. Rekonstrukcja usług Pomoc IP i Windows Defender (ustawiam go na Manual a nie Auto, bo jest TrendMicro). Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\iphlpsvc]
"DisplayName"="@%SystemRoot%\\system32\\iphlpsvc.dll,-500"
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,4e,00,65,00,74,00,53,00,76,00,63,00,73,00,00,00
"Description"="@%SystemRoot%\\system32\\iphlpsvc.dll,-501"
"ObjectName"="LocalSystem"
"ErrorControl"=dword:00000001
"Start"=dword:00000002
"Type"=dword:00000020
"DependOnService"=hex(7):52,00,70,00,63,00,53,00,53,00,00,00,54,00,64,00,78,00,\
00,00,77,00,69,00,6e,00,6d,00,67,00,6d,00,74,00,00,00,74,00,63,00,70,00,69,\
00,70,00,00,00,6e,00,73,00,69,00,00,00,00,00
"ServiceSidType"=dword:00000001
"RequiredPrivileges"=hex(7):53,00,65,00,43,00,72,00,65,00,61,00,74,00,65,00,47,\
00,6c,00,6f,00,62,00,61,00,6c,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,\
67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,6e,\
00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\
00,00,53,00,65,00,4c,00,6f,00,61,00,64,00,44,00,72,00,69,00,76,00,65,00,72,\
00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,00,00
"FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\
00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\iphlpsvc\config]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\iphlpsvc\Interfaces]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\iphlpsvc\Parameters]
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
69,00,70,00,68,00,6c,00,70,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,\
00
"ServiceDllUnloadOnStop"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\iphlpsvc\Parameters\IPHTTPS]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\iphlpsvc\Parameters\Isatap]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\iphlpsvc\Parameters\Teredo]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\iphlpsvc\Teredo]
"SP1Installed"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\iphlpsvc\Teredo\PreviousState]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend]
"DisplayName"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-103"
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,73,00,65,00,63,00,73,00,76,00,63,00,73,00,00,00
"Start"=dword:00000003
"Type"=dword:00000020
"Description"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-1176"
"DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00
"ObjectName"="LocalSystem"
"ServiceSidType"=dword:00000001
"RequiredPrivileges"=hex(7):53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,\
00,6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,\
65,00,00,00,53,00,65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,\
00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,\
74,00,6f,00,72,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\
00,00,00,53,00,65,00,44,00,65,00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,\
69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,68,00,61,00,6e,00,67,\
00,65,00,4e,00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,\
6c,00,65,00,67,00,65,00,00,00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,\
00,74,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\
53,00,65,00,53,00,68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,50,00,72,00,69,\
00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6e,00,63,00,\
72,00,65,00,61,00,73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,72,00,69,\
00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,41,00,73,00,73,00,\
69,00,67,00,6e,00,50,00,72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,\
00,65,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\
00,00
"DelayedAutoStart"=dword:00000001
"FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\
00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Parameters]
"ServiceDllUnloadOnStop"=dword:00000001
"ServiceDll"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,69,\
00,6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,\
20,00,44,00,65,00,66,00,65,00,6e,00,64,00,65,00,72,00,5c,00,6d,00,70,00,73,\
00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Security]
"Security"=hex:01,00,14,80,dc,00,00,00,e8,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,ac,00,06,00,00,00,00,00,28,00,ff,01,0f,00,01,06,00,00,00,00,00,\
05,50,00,00,00,b5,89,fb,38,19,84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,\
00,0b,28,00,00,00,00,10,01,06,00,00,00,00,00,05,50,00,00,00,b5,89,fb,38,19,\
84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,00,00,14,00,fd,01,02,00,01,01,\
00,00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,\
05,20,00,00,00,20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,\
04,00,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,01,\
01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo\0]
"Type"=dword:00000005
"Action"=dword:00000001
"GUID"=hex:e6,ca,9f,65,db,5b,a9,4d,b1,ff,ca,2a,17,8d,46,e0

 

Adnotacja dla innych czytających: import dopasowany do Windows 7.

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku na plik Scal

 

Dodatkowo, usługa Pomoc IP wymaga nałożenia specjalnych uprawnień. Po punkcie 1 będziesz już mieć SetACL, toteż podaję tu zestaw do tego programu, który masz załadować. Ootwórz Notatnik i wklej w nim:

 

"machine\SYSTEM\CurrentControlSet\Services\iphlpsvc",4,"O:BAD:AI"

"machine\SYSTEM\CurrentControlSet\Services\iphlpsvc\config",4,"O:BAD:PAI(A;;KA;;;BA)(A;CIIO;GA;;;BA)(A;;KR;;;BU)(A;CIIO;GR;;;BU)(A;;KA;;;SY)(A;CIIO;GA;;;SY)(A;;CCDCLCSWRPSDRC;;;S-1-5-80-62724632-2456781206-3863850748-1496050881-1042387526)"

"machine\SYSTEM\CurrentControlSet\Services\iphlpsvc\Interfaces",4,"O:BAD:PAI(A;;KA;;;BA)(A;CIIO;GA;;;BA)(A;;KR;;;BU)(A;CIIO;GR;;;BU)(A;;KA;;;SY)(A;CIIO;GA;;;SY)(A;;CCDCLCSWRPSDRC;;;S-1-5-80-62724632-2456781206-3863850748-1496050881-1042387526)"

"machine\SYSTEM\CurrentControlSet\Services\iphlpsvc\Parameters",4,"O:BAD:PAI(A;;KA;;;BA)(A;CIIO;GA;;;BA)(A;;KR;;;BU)(A;CIIO;GR;;;BU)(A;;KA;;;SY)(A;CIIO;GA;;;SY)(A;;CCDCLCSWRPSDRC;;;S-1-5-80-62724632-2456781206-3863850748-1496050881-1042387526)"

"machine\SYSTEM\CurrentControlSet\Services\iphlpsvc\Parameters\IPHTTPS",4,"O:BAD:PAI(A;;KA;;;BA)(A;CIIO;GA;;;BA)(A;;KR;;;BU)(A;CIIO;GR;;;BU)(A;;KA;;;SY)(A;CIIO;GA;;;SY)(A;;CCDCLCSWRPSDRC;;;S-1-5-80-62724632-2456781206-3863850748-1496050881-1042387526)"

"machine\SYSTEM\CurrentControlSet\Services\iphlpsvc\Parameters\Isatap",4,"O:SYD:AI"

"machine\SYSTEM\CurrentControlSet\Services\iphlpsvc\Parameters\Teredo",4,"O:SYD:AI"

"machine\SYSTEM\CurrentControlSet\Services\iphlpsvc\Teredo",4,"O:BAD:PAI(A;;KA;;;BA)(A;CIIO;GA;;;BA)(A;;KR;;;BU)(A;CIIO;GR;;;BU)(A;;KA;;;SY)(A;CIIO;GA;;;SY)(A;;CCDCLCSWRPSDRC;;;S-1-5-80-62724632-2456781206-3863850748-1496050881-1042387526)"

"machine\SYSTEM\CurrentControlSet\Services\iphlpsvc\Teredo\PreviousState",4,"O:SYD:AI"

 

Plik zapisz pod nazwą fix.txt i przenieś na C:\. W cmd wklej komendę:

 

SetACL -on "HKLM\SYSTEM\CurrentControlSet\Services\iphlpsvc" -ot "reg" -actn restore -bckp C:\fix.txt

 

3. Po wszystkim zresetuj system i wygeneruj nowy log z Farbar Service Scanner.

 

 

 

.

Odnośnik do komentarza

Przepraszam, uzywam na codzien Opery, ale akurat fixitpc.pl otwieralem na MSIE.

 

Wykonalem kroki, jak zalecalas. NameSpace na wszelki wypadek zrobilem export klucza, zanim zaimportowalem nowy, bo widzialem, ze jest tam NameSpace dla bluetootha. W zalaczniku log z FSS.

 

Swoja droga pare lat pracowalem na emergency (ale dla aplikacji i to na zupelnie innych platformach) i jestem pod wrazeniem wiedzy i doswiadczenia.

FSS.txt

Odnośnik do komentarza

Co moze byc przyczyna, ze od czasu do czasu Opera nagle traci polaczenie z siecia (wszystkie inne programy maja net w dalszym ciagu) i pomaga tylko jej restart?

 

Czy to na pewno ma miejsce po wykonaniu całego resetu Winsock? Czy problem ten występował przed infekcją?

 

1. Ostatecznie można się zastanawiać czy TrendMicro tu nie miesza.

 

2. Odinstaluj też zbędny downloader Akamai NetSession Interface. Przykładowe sztuki, które wyprawiał: KLIK.

 

 

 

.

Odnośnik do komentarza

Nie, reset Winsock już wykonany, część Protocol poszła w pliku BAT, a NameSpace troszkę później via plik REG.

 

Na razie ten efekt w Operze nie kojarzy mi się z niczym konkretnym. Danych o Operze nie ma tu żadnych, bo OTL w ogóle nie skanuje preferencji Opery. Sprawdź może jeszcze ustawienia tej przeglądarki, czy w konfiguracji nie ma zdefiniowanego jakiegoś proxy, albo w dodatkach / wtyczkach zainstalowanego czegoś co wślizgnęło się. Jak sprawy wyglądają w innych przeglądarkach?

 

 

 

.

Odnośnik do komentarza
  • 2 tygodnie później...

Jeszcze na to pytanie mi nie odpowiedziałeś:

 

Widać tam tylko blokady funkcji (dostęp do Zapory systemowej, Przywracania systemu i Windows Update). Na wszelki wypadek potwierdź mi czy te polityki blokujące funkcje są celowym zagraniem na firmowym systemie.

 

W Farbar Service Scanner stoją polisy:

 

Firewall Disabled Policy:
==================
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]
"EnableFirewall"=DWORD:0


============

System Restore Disabled Policy:
========================
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]
"DisableSR"=DWORD:1
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]
"DisableConfig"=DWORD:1


============

Windows Autoupdate Disabled Policy:
============================
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
"NoAutoUpdate"=DWORD:1

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...