Rootkit - ukryta usługa

[wertumnus]

Witam,

 

Od pewnego czasu AVAST monituje o ukrytej usłudze "WinHttpAudoProxySvc". Taka informacja pojawia się dopiero jakiś czas od uruchomienia komputera. Podejrzewam, że każdorazowo jest instalowana na nowo: intensywnie pracuje dysk, pojawiają się procesy instalujące, które później same znikają. Avast nie potrafi usunąć w trybie normalnym ani w uruchomieniowym.

 

Dodaję logi z FRST i Gmera

 

http://wklej.to/GYwJN FRST

 

http://wklej.to/SF73s Addition

 

http://wklej.to/aFgIX Shortcut

 

http://wklej.to/ZcfBW Gmer

[jessica]

HKLM\SYSTEM\CurrentControlSet\services\WinHttpAudoProxySvc

 

Locked "WinHttpAudoProxySvc" service could not be unlocked. <===== ATTENTION

 

No tak, ta usługa jest zablokowana, wiec nie da się jej usunąć.

Pliki tej usługi (Systemowe!) nie są zablokowane,ale ich nie wolno usuwać; zresztą ich usunięcie w niczym by nie pomogło.

 

Gdyby @Picasso była w stanie pomagać (jest chora), to pewnie znalazła by sposób na odblokowanie tej usługi, i potem usunięcie.

Ja nie jestem aż tak zaawansowana.

 

 

jessi

[wertumnus]

Usługa jest zablokowana również w trybie awaryjnym chociaż wtedy windows nie instaluje komponentów (nie wiem jakich) bo dysk nie pracuje i nie ma w procesach wspomnianych wyżej objawów. Jakoś nie mam szczęścia do @Picasso na tym i poprzednim forum.

[Zappa]

W logu Gmer masz nastepujące wpisy rejestru

 

Reg HKLM\SYSTEM\CurrentControlSet\services\WinHttpAudoProxySvc@DisplayName @%SystemRoot%\system32\winhttp.dll,-100
Reg HKLM\SYSTEM\CurrentControlSet\services\WinHttpAudoProxySvc@ImagePath %SystemRoot%\system32\svchost.exe -k LocalService
Reg HKLM\SYSTEM\CurrentControlSet\services\WinHttpAudoProxySvc@Description @%SystemRoot%\system32\winhttp.dll,-101
Reg HKLM\SYSTEM\CurrentControlSet\services\WinHttpAudoProxySvc@ObjectName NT AUTHORITY\LocalService
Reg HKLM\SYSTEM\CurrentControlSet\services\WinHttpAudoProxySvc@RequiredPrivileges SeChangeNotifyPrivilege?SeCreateGlobalPrivilege?SeImpersonatePrivilege?
Reg HKLM\SYSTEM\CurrentControlSet\services\WinHttpAudoProxySvc\Parameters
Reg HKLM\SYSTEM\CurrentControlSet\services\WinHttpAudoProxySvc\Parameters@ServiceDll winhttp.dll
Reg HKLM\SYSTEM\CurrentControlSet\services\WinHttpAudoProxySvc\Parameters@ServiceMain WinHttpAutoProxySvcMain
Reg HKLM\SYSTEM\CurrentControlSet\services\WinHttpAudoProxySvc\Parameters@ServiceDllUnloadOnStop 1
Reg HKLM\SYSTEM\CurrentControlSet\services\WinHttpAudoProxySvc\Parameters@ProxyDllFile %SystemRoot%\system32\jsproxy.dll
Reg HKLM\SYSTEM\CurrentControlSet\services\WinHttpAudoProxySvc\Security
Reg HKLM\SYSTEM\CurrentControlSet\services\WinHttpAudoProxySvc\Security@Security 0x01 0x00 0x14 0x80 ...
Reg HKLM\SYSTEM\CurrentControlSet\services\WinHttpAudoProxySvc

 

 

Oprócz tego na dysku jest plik winhttp.dll  dokładnie w C:\Windows\system32

 

Spróbuj usunąć klucze korzystając z RegAssassin lub MiniRegTool

 

http://traxter-online.net/kasowanie-kluczy-rejestru/

[wertumnus]

Używając RegAssassina pojawia się błąd: Hive returned NULL zaś MiniregTool podaje:

MiniRegTool64 by Farbar Version:09-05-2014
Ran by Pepe (administrator) on 2014-06-29 22:04:40

====================================
"HKLM\SYSTEM\CurrentControlSet\services\WinHttpAudoProxySvc@DisplayName @%SystemRoot%\system32\winhttp.dll,-100" not found.

Sprawdziłem dla kilku linijek ale nie wiem czy ten wpis oznacza, że nie może odnaleźć i nie skasował czy skasował i ponownie nie odszukał.

 

Edycja: Odpaliłem ponownie gmera i nadal pokazuje rzekomo skasowane linijki. 

[Zappa]

To skorzystaj z NTRegEdit zobaczmy co on powie. Strona ta sama.

[wertumnus]

Dziękuję za zaangażowanie ale dzisiaj już nie dam rady bo jutro rano praca. Po południu sprawdzę NTRegEdita i może jeszcze raz MiniRegTool64 bo widzę, że ma jakieś dodatkowe możliwości wyszukiwania NULL albo blokowanych wpisów rejestru. Czy bibliotekę winhttp.dll mogę skasować bez problemów z ponownym uruchomieniem? Akurat teraz mam utrudniony dostęp do dodatkowych kompów z internetem dlatego wolę być ostrożny.

 

1). Winhttp.dll nie daje się ruszyć podczas normalnej pracy systemu (próbowałem spakować i usunąć).

 

2). spisałem dwa procesy instalujące mi każdorazowo przy uruchomieniu jakieś świństwo:

 

C:\Program Files (x86)\Common Files\InstallShield\UpdateService\ISUSPM.exe

 

C:\Users\Pepe\AppData\Local\Temp\{9c0ba3c1-2b67-45eb-bf69-bed9658d28d2}\IDriver.NonElevated.exe  <= po skasowaniu tego katalogu pojawia się on przy ponownym uruchomieniu.

 

3). MiniRegTool nie znalazł w HKLM ani Locked Keys ani Null-embedded

 

4). NTRegEdit działa chyba błędnie bo nie pokazuje zawartości HKLM, HKU i HKCC. Niby jest mozliwosć rozwinięcia ale jak kliknę to nic nie pokazuje. Pozostałe HKCR i HKCU można przeglądać

[Zappa]

Zrób log z OTL

[wertumnus]

Bardzo proszę:

http://wklej.org/id/1405491/

[Zappa]

OTL nie widzi tej usługi. Zanim coś spróbujemy, w sumie dziwne - usługa przynalezy do systemu Windows serwer 2003

 

 

Pobierz SystemLook 64bit. Uruchom Jako administrator z prawokliku w puste okno wklej

 

http://jpshortstuff.247fixes.com/SystemLook.html

 

:reg
HKLM\SYSTEM\CurrentControlSet\services\WinHttpAudoProxySvc\Parameters
HKLM\SYSTEM\CurrentControlSet\services\WinHttpAudoProxySvc\Security

 

Kliknij w Look i przedstaw raport

[wertumnus]

SystemLook 30.07.11 by jpshortstuff

Log created at 11:14 on 30/06/2014 by Pepe

Administrator - Elevation successful



========== reg ==========



[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinHttpAudoProxySvc\Parameters]

(Unable to open key - key not found)



[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinHttpAudoProxySvc\Security]

(Unable to open key - key not found)



-= EOF =-

[Zappa]

Z tego wynika że kluczy nie ma w rejestrze.

 

Wejdź w tryb awaryjny. Uruchom OTL i w okno własne opcje skanowania/skrypt wklej

 

 

:OTL
O4 - HKU\S-1-5-21-775168592-2110109942-388502493-1000..\Run: [iSUSPM Startup] C:\PROGRA~2\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup File not found
O4 - HKU\.DEFAULT..\RunOnce: [sPReview] "C:\Windows\System32\SPReview\SPReview.exe" /sp:1 /errorfwlink:"http://go.microsoft.com/fwlink/?LinkID=122915" /build:7601 File not found
O4 - HKU\S-1-5-18..\RunOnce: [sPReview] "C:\Windows\System32\SPReview\SPReview.exe" /sp:1 /errorfwlink:"http://go.microsoft.com/fwlink/?LinkID=122915" /build:7601 File not found

:Services
WinHttpAudoProxySvc

:Files
C:\Windows\system32\winhttp.dll

:Commands
[emptytemp]

 

Kliknij w Wykonaj skrypt.

 

Po restarcie bedzie log z usuwania - przedstaw go.

[wertumnus]

All processes killed
========== OTL ==========
Registry value HKEY_USERS\S-1-5-21-775168592-2110109942-388502493-1000\Software\Microsoft\Windows\CurrentVersion\Run\\ISUSPM Startup deleted successfully.
Registry value HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce\\SPReview deleted successfully.
Registry value HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce\\SPReview not found.
========== SERVICES/DRIVERS ==========
Error: No service named WinHttpAudoProxySvc was found to stop!
Service\Driver key WinHttpAudoProxySvc not found.
========== FILES ==========
File move failed. C:\Windows\system32\winhttp.dll scheduled to be moved on reboot.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 57311 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Pepe
->Temp folder emptied: 716894805 bytes
->Temporary Internet Files folder emptied: 138141211 bytes
->Java cache emptied: 451 bytes
->Flash cache emptied: 78599 bytes
 
User: Public
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 12288 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 143252711 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 43265774 bytes
RecycleBin emptied: 16533840755 bytes
 
Total Files Cleaned = 16 761,00 mb
 
 
OTL by OldTimer - Version 3.2.69.0 log created on 06302014_114059

Files\Folders moved on Reboot...
File move failed. C:\Windows\system32\winhttp.dll scheduled to be moved on reboot.
C:\Users\Pepe\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
C:\Users\Pepe\AppData\Local\Microsoft\Windows\Temporary Internet Files\counters.dat moved successfully.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

Po restarcie już nie pojawiły się powyższe procesy ale jeszcze sam nie przeglądałem dokładniej raportu.

 

Dziwne że nie odnalazł usługi bo ja przed chwilą miałem ponownie monit od Avasta

Edytowane 30 Czerwca 2014 przez wertumnus

[Zappa]

Wrzuciłem to celowo , ale usługi nie ma.

 

Error: No service named WinHttpAudoProxySvc was found to stop!
Service\Driver key WinHttpAudoProxySvc not found.

 

Reszta usunieta.

 

Uruchom OTL i kliknij Sprzątanie.

 

Mozesz wykonać skan MBAM, ma być pełny, jak coś wykryje to przedstaw raport.

 

Dziwne że nie odnalazł usługi bo ja przed chwilą miałem ponownie monit od Avasta

 

To może przedstaw raport z Avasta, gdzie on to widzi.

[wertumnus]

Sęk w tym, ze Avast nie pokazuje niczego konkretnego i nie wiem jak się dobrać do detali powiadomienia.

http://www.sendspace.pl/file/038071a7ffad54f0ab0a699

 

W międzyczasie odpalam pełny skan MBAMem.

 

Już po skanowaniu i... niczego nie wykrył więc również nie sprzątał - takie było podsumowanie. Sam nie wiem, może spróbować w trybie awaryjnym?

Gmer nadal pokazuje w rejestrze na czerwono wpisy:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinHttpAudoProxySvc

[Zappa]

Avast nie pokazuje niczego konkretnego i nie wiem jak się dobrać do detali powiadomienia.

 

 

A co jest po rozwinieciu opcji Zaawansowane?

[wertumnus]

A co jest po rozwinieciu opcji Zaawansowane?

No właśnie screen jest z rozwiniętymi "zaawansowanymi" informacjami, które ukazują jedynie okienko do zaptaszkowania o nie powiadamianiu w przyszłości o zdarzeniu.

[Zappa]

Sprawdźmy. Pobierz SWReg  https://www.fixitpc.pl/topic/1893-nieusuwalne-klucze-rejestru/?hl=%2Bklucze+%2Bnull

 

plik swreg.exe umieść w C:\Windows\System32

 

uruchom wiersz polecenia i wklej komendę

 

swreg null delete "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinHttpAudoProxySvc\Parameters"\0

[wertumnus]

Error: Key: system\currentcontrolset\services\winhttpaudoproxysvc\parameters does not exist!

 

A gmer widzi to tak:

http://www.sendspace.pl/file/pic/5e1fae8b5422af6c6f4d20f/view

 

btw czy jest jakaś lepsza strona do umieszcznia zdjęć i dodawania bezpośrednio niż sendspace?

[Zappa]

A gmer widzi to tak:

 

i bardzo dobrze ze widzi. Mam taki sam wpis w rejestrze. Oto raport z SystemLook

 

SystemLook 30.07.11 by jpshortstuff

Log created at 13:48 on 30/06/2014 by Zappa

Administrator - Elevation successful

 

========== reg ==========

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinHttpAutoProxySvc]

"DisplayName"="@%SystemRoot%\system32\winhttp.dll,-100"

"ImagePath"="%SystemRoot%\system32\svchost.exe -k LocalService"

"Description"="@%SystemRoot%\system32\winhttp.dll,-101"

"ObjectName"="NT AUTHORITY\LocalService"

"ErrorControl"= 0x0000000001 (1)

"Start"= 0x0000000003 (3)

"Type"= 0x0000000020 (32)

"DependOnService"="Dhcp"

"ServiceSidType"= 0x0000000001 (1)

"RequiredPrivileges"="SeChangeNotifyPrivilege SeCreateGlobalPrivilege SeImpersonatePrivilege"

"FailureActions"=00 5c 26 05 00 00 00 00 00 00 00 00 03 00 00 00 14 00 00 00 01 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 (REG_BINARY)

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinHttpAutoProxySvc\Parameters]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinHttpAutoProxySvc\Security]

 

 

-= EOF =-

 

 

Usunąłeś już OTL?

[wertumnus]

Mam go jeszcze. Jeśli wszystko jest ok to czemu mam zablokowany regedit na podglądanie co jest w środku? 

[Zappa]

Tu nie ma żadnego rootkita. Wejdź do kwarantanyy OTL - C\OTL i przywróć bibliotekę winhttp.dll

[wertumnus]

Tu nie ma żadnego rootkita. Wejdź do kwarantanyy OTL - C\OTL i przywróć bibliotekę winhttp.dll

Z tym OTL chodziło mi o instalkę a po tamtym śladu już nie ma. Porównam dokładniej Twoje wpisy z systemlooka i może na coś wpadnę. Tak czy inaczej obecnie nie mam winhttp.dll w system32.

[Zappa]

Tak czy inaczej obecnie nie mam winhttp.dll w system32.

 

pobierz bibliotekę i wrzuc ja za pomocą Windows7FileReplacer do C:\Windows\System32

 

http://speedy.sh/GGFxM/winhttp.zip

 

 

https://www.fixitpc.pl/topic/514-wymiana-chronionych-plikow-systemowych/

[wertumnus]

WinHttp.dll już dodana.

 

Podglądałem przez gmera w poszukiwaniu różnic:

HKLM ...WinHttpAudoProxySvc - RequiredPrivileges: SeChangeNotifyPrivilege\0SeCreateGlobalPrivilege\0SeImpersonatePrivilege\0  <= czyli posiada maskowanie null a u Ciebie jest:

HKLM ...WinHttpAudoProxySvc - RequiredPrivileges: SeChangeNotifyPrivilege SeCreateGlobalPrivilege SeImpersonatePrivilege

Nie wiem czy to nie to samo bo nieco inny sposób wyświetlania.

Niestety o ile mogłeś processLook przebadać linijki rejestru to u mnie nie pozwala ich otworzyć albo udaje, że ich nie ma.

 

Dodatkowa interesująca sprawa jest w:

HKLM ...WinHttpAudoProxySvc\Parameters - ServiceDllUnloadOnStop: 1  <= może to sprawia problemy bo program zatrzymuje usługę zwiazaną z biblioteką?