Rootkit; Blokada Avast i usług; Windows 7

[Modig]

Witam serdecznie,

 

Mam nadzieję, że znajdziecie chwilę czasu żeby mi pomóc z infekcją. Niestety przerosła ona moje siły.

 

1) Objawy i podjęte kroki:

 

Windows ładował się normalnie ale po zalogowaniu na konto użytkownika pojawiał się czarny ekran i tylko kursor. Można było wejść w menedżer zadań i czasem wyświetlał się pasek startu, restartowanie explorera nic nie dawało. Uruchomiłem w trybie awaryjnym, myśląc że może coś nie tak z kontem, ale założenie nowego konta dawało ten sam rezultat. Wszystko działało w trybie diagnostyczny więc metodą prób i błędów odkryłem że można się zalogować gdy wyłączę usługę Avast! w msconfig.

 

Niestety po zalogowaniu Avast był nieaktywny i nie dało się go uruchomić z "services.msc" ani uaktywnić przy starcie w "msconfig". Po ręcznym uruchomieniu programu i próbie skanowania pojawia się błąd "Nie można uruchomić procesu skanowania. Nie ma więcej dostępnych punktów końcowych z programu mapowania punktów końcowych." Ustawienie skanowania przy starcie systemu nie udaje się.

 

Próba przeinstalowania Avast! kończy się błędem po uruchomieniu instalki: "Nie jest uruchomiona usługa Podstwawowy aparat filtrowania (BFE)."

 

Próba uruchomienia w/w usługi bądź usługi Avast! kończy się okienkiem "Odmowa dostępu". Próba uruchomienia skanera online (Eset) skończyła się BSOD-em.

 

Udało mi się uruchomić skaner w trybie awaryjnym ale przez 8 godzin przeskanował mniej niż 1% plików więc zrezygnowałem. Udało się jednak znaleźć 50 zarażonych plików, wszystkie w katalogu system32. Avast zalecił restart systemu żeby zrobic z tym porządek i uruchomić skaner przy starcie, ale windows uruchomił się bez żadnego skanowania. Zamieszczam print screen fragmentu raportu Avast! (nie umiem znaleźć loga...)

 

 

 

2) LOGI:

 

Jak w załączniku. Miałem pewien problem z gmerem. Przy pierwszym skanowaniu dostałem błąd z windows że program pzrestał działać i zostanie zakończony. Uruchomiłem ponownie i pokazał dużo rzeczy ale nic na czerwono. Niestety, zamknąłem bez kopiowania (facepalm) a przy kolejnej próbie dostawałem błędy że nie można uzyskać dostępu do plików bo są używane przez inną aplikację. Koniec końców uruchomiłem w trybie awaryjnym ale wynik jest zupełnie inny niż wcześniej.

 

Pozdrawiam!

 

OTL.Txt

Extras.Txt

FRST.txt

Addition.txt

Shortcut.txt

gmer.txt

[picasso]

Nie widzę tu żadnych oznak infekcji, poza drobnymi (na razie nieistotne) szczątkami adware. Klaruje się całkiem inny problem wskazywany błędami w Dzienniku zdarzeń:

 

Application errors:

==================

Error: (07/05/2014 09:25:27 PM) (Source: Application Error) (EventID: 1005) (User: )

Description: System Windows nie może uzyskać dostępu do pliku C:\Users\Malagorzala\AppData\Local\Microsoft\Windows\Explorer\thumbcache_256.db z jednej z następujących przyczyn:

problem z połączeniem sieciowym; problem z dyskiem, na którym jest przechowywany plik; problem ze sterownikami magazynu zainstalowanymi na tym komputerze; brak dysku.

System Windows zamknął program Eksplorator Windows z powodu tego błędu.
 

Program: Eksplorator Windows

Plik: C:\Users\Malagorzala\AppData\Local\Microsoft\Windows\Explorer\thumbcache_256.db
 

Wartość błędu jest wyświetlona w sekcji Dodatkowe dane.

Akcja użytkownika

1. Otwórz plik ponownie.

Ta sytuacja może być przejściowym problemem, który sam się rozwiąże po ponownym uruchomieniu programu.

2. Jeśli nadal nie można uzyskać dostępu do pliku i

- jest w sieci,

administrator sieci powinien sprawdzić, czy nie ma problemu z siecią i czy można skontaktować się z serwerem.

- jest na dysku wymiennym, na przykład dyskietce lub dysku CD-ROM, sprawdź, czy cały dysk jest włożony do komputera.

3. Sprawdź i napraw system plików, uruchamiając program CHKDSK. Aby uruchomić program CHKDSK, kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie CMD, a następnie kliknij przycisk OK. W wierszu polecenia wpisz polecenie CHKDSK /F, a następnie naciśnij klawisz ENTER.

4. Jeżeli problem nie ustąpi, przywróć plik z kopii zapasowej.

5. Ustal, czy można otworzyć inne pliki na tym samym dysku. Jeśli nie, dysk może być uszkodzony. Jeśli jest to dysk twardy, skontaktuj się z administratorem komputera lub dostawcą sprzętu

komputerowego, aby uzyskać dalszą pomoc.
 

Dodatkowe dane

Wartość błędu: C00000B5

Typ dysku: 3
 

Error: (07/05/2014 09:25:26 PM) (Source: Application Error) (EventID: 1000) (User: )

Description: Nazwa aplikacji powodującej błąd: Explorer.EXE, wersja: 6.1.7601.17567, sygnatura czasowa: 0x4d672ee4

Nazwa modułu powodującego błąd: thumbcache.dll, wersja: 6.1.7601.17514, sygnatura czasowa: 0x4ce7c9d0

Kod wyjątku: 0xc0000006

Przesunięcie błędu: 0x000000000000732d

Identyfikator procesu powodującego błąd: 0x8c4

Godzina uruchomienia aplikacji powodującej błąd: 0xExplorer.EXE0

Ścieżka aplikacji powodującej błąd: Explorer.EXE1

Ścieżka modułu powodującego błąd: Explorer.EXE2

Identyfikator raportu: Explorer.EXE3

 

Wstępnie wykonaj te działania: KLIK.

 

Próba przeinstalowania Avast! kończy się błędem po uruchomieniu instalki: "Nie jest uruchomiona usługa Podstwawowy aparat filtrowania (BFE)."

Proponuję ponownie odinstalować Avast i poprawić Avast Uninstall Utility, a programu na razie nie instalować do czasu zdiagnozowania innych problemów. Dodatkowo, dodaj też raport z Farbar Service Scanner.

 

 

 

 

.

[Modig]

Dzięki za szybką odpowiedź.

W pierwszym poście zapomniałem napisać że zrobiłem już chckdsk /f ale bez parametru /r. Powtórzyłem teraz zgodnie z instrukcją. Czekając na odpowiedź zrobiłem dodatkowy skan MBAM, załączam log.

-SFC /scannow wykonany.
-bufor miniatur zresetowany. Miałem problem z usunięciem plików (używane przez inną aplikację) ale zmieniłem nazwy przez "F2" i usunąłem ręcznie nowe które się pojawiły w miejsce zamienionych. Po restarcie usunąłem te ze zmienioną nazwą.
-skanuję dysk przez HD Tune, ale nie wiem czy to jest tu wymagane? jak co na razie wszystko ok.

Tak na marginesie: w wątku https://www.fixitpc.pl/topic/60-diagnostyka-infekcje-typu-rootkit/?p=318 jest napisane, że najnowsza wersja GMER to 2.1.19163. Wersja którą ściągnąłem to 2.1.19357.
 

EDIT: zapomniałem dodać że odinstalowałem Avasta.

EDIT2: Załącza nowy log z gmera zrobiony w trybie normalnym, rózni się od początkowego.

 

GMER 2.1.19357 - http://www.gmer.net
Rootkit scan 2014-07-08 20:44:38
Windows 6.1.7601 Service Pack 1 x64 \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1  rev. 0,00MB
Running: 9wkjgsx6.exe; Driver: C:\Users\MALAGO~1\AppData\Local\Temp\pwrirkog.sys


---- User code sections - GMER 2.1 ----

.text   C:\Program Files (x86)\Malwarebytes Anti-Malware\mbamscheduler.exe[2188] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69   0000000076381465 2 bytes [38, 76]
.text   C:\Program Files (x86)\Malwarebytes Anti-Malware\mbamscheduler.exe[2188] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155  00000000763814bb 2 bytes [38, 76]
.text   ...                                                                                                                                * 2
.text   C:\Program Files (x86)\HP SimplePass 2011\TouchControl.exe[2620] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69           0000000076381465 2 bytes [38, 76]
.text   C:\Program Files (x86)\HP SimplePass 2011\TouchControl.exe[2620] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155          00000000763814bb 2 bytes [38, 76]
.text   ...                                                                                                                                * 2
.text   C:\Program Files (x86)\Malwarebytes Anti-Malware\mbam.exe[3032] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69            0000000076381465 2 bytes [38, 76]
.text   C:\Program Files (x86)\Malwarebytes Anti-Malware\mbam.exe[3032] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155           00000000763814bb 2 bytes [38, 76]
.text   ...                                                                                                                                * 2
.text   C:\Program Files (x86)\Intel\Bluetooth\mediasrv.exe[1068] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69                  0000000076381465 2 bytes [38, 76]
.text   C:\Program Files (x86)\Intel\Bluetooth\mediasrv.exe[1068] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155                 00000000763814bb 2 bytes [38, 76]
.text   ...                                                                                                                                * 2

---- Devices - GMER 2.1 ----

Device  \FileSystem\MBAMSwissArmy \Device\MBAMSwissArmy                                                                                    fffff8800b770104

---- Threads - GMER 2.1 ----

Thread  C:\Windows\system32\svchost.exe [476:3952]                                                                                         000007fef5b50ea8
Thread  C:\Windows\system32\svchost.exe [476:3960]                                                                                         000007fef5b49db0
Thread  C:\Windows\system32\svchost.exe [476:3416]                                                                                         000007fef5b4aa10
Thread  C:\Windows\system32\svchost.exe [476:3452]                                                                                         000007fef5b51c94
Thread  C:\Windows\system32\svchost.exe [476:4908]                                                                                         000007fef4a8d3c8
Thread  C:\Windows\system32\svchost.exe [476:3648]                                                                                         000007fef4a8d3c8
Thread  C:\Windows\system32\svchost.exe [476:4844]                                                                                         000007fef4a8d3c8
Thread  C:\Windows\system32\svchost.exe [476:4116]                                                                                         000007fef4a8d3c8
Thread  C:\Program Files\Windows Media Player\wmpnetwk.exe [3392:4900]                                                                     000007fefb862bf8
Thread  C:\Program Files\Windows Media Player\wmpnetwk.exe [3392:4936]                                                                     000007feeeea4830
Thread  C:\Windows\System32\svchost.exe [6020:5940]                                                                                        000007feea169688

---- Registry - GMER 2.1 ----

Reg     HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\ac7289f65562                                                        
Reg     HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\ac7289f65562 (not active ControlSet)                                    

---- Disk sectors - GMER 2.1 ----

Disk    \Device\Harddisk0\DR0                                                                                                              sector 0: rootkit-like behavior

---- EOF - GMER 2.1 ----
 

mbm.txt

sfc.txt

FSS.txt

[picasso]

Próba przeinstalowania Avast! kończy się błędem po uruchomieniu instalki: "Nie jest uruchomiona usługa Podstwawowy aparat filtrowania (BFE)."

Skan z FSS to obrazuje. Usługa jest, ale ma status wyłączony. Należy więc ją włączyć.

 

1. Otwórz Notatnik i wklej w nim:

 

Reg: reg add HKLM\SYSTEM\CurrentControlSet\Services\BFE /v Start /t REG_DWORD /d 0x2 /f
Reboot:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany.

 

2. Przedstaw wynikowy plik fixlog.txt.

 

 

 

 

.

[Modig]

Witam, operacja się udała. Zauważyłem że włączyła się też zapora Windows, z czym wcześniej były problemy.

 

EDIT: fixlog

Fixlog.txt

[picasso]

OK, to jest więc rozwiązane i ponowna instalacja Avast powinna być bezproblemowa. Ale na razie zostaw to. Zajmijmy się wspominanymi wcześniej "szczątkami adware". Logi są mocno stare. Zrób nowy zestaw raportów z FRST (główny i Addition, bez Shortcut). Po czyszczeniu zainstalujesz sobie Avast.

 

 

 

.

[Modig]

Proszę bardzo.

Addition.txt

FRST.txt

[picasso]

Jest różnica między logami, już coś usuwałeś. Toteż tylko miniaturowe poprawki na inne szczątkowe wpisy:

 

1. Otwórz Notatnik i wklej w nim:

 

HKLM-x32\...\Run: [] => [X]
HKLM-x32\...\Run: [Adobe Reader Speed Launcher] => "C:\Program Files (x86)\Adobe\Reader 10.0\Reader\Reader_sl.exe"
HKU\S-1-5-21-3332081184-1491823389-1171079222-1001\...\Run: [AdobeBridge] => [X]
ShellIconOverlayIdentifiers: 00avast -> {472083B0-C522-11CF-8763-00608CC02F24} => No File
StartMenuInternet: IEXPLORE.EXE - iexplore.exe
SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKCU - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File
FF Plugin-x32: @adobe.com/ShockwavePlayer -> C:\Windows\system32\Adobe\Director\np32dsw.dll No File
FF HKLM-x32\...\Firefox\Extensions: [wrc@avast.com] - C:\Program Files\AVAST Software\Avast\WebRep\FF
CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChrome.crx [2011-02-11]
S2 HP Health Check Service; "C:\Program Files (x86)\Hewlett-Packard\HP Health Check\hphc_service.exe" [X]
S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X]
AlternateDataStreams: C:\Program Files\Common Files\Microsoft Shared:5T9QSftildH8rEOZVIjkXZ59IG
AlternateDataStreams: C:\ProgramData\Microsoft:41GKtg5GC6tfauKbe759vjs
AlternateDataStreams: C:\ProgramData\Microsoft:PzzGmSquxSi2uzzhMEg6Yz7QdC
AlternateDataStreams: C:\Users\Malagorzala\Ustawienia lokalne:qd7yvJKumDIQ1cBNbuWQZu5Rjf
AlternateDataStreams: C:\Users\Malagorzala\AppData\Local:qd7yvJKumDIQ1cBNbuWQZu5Rjf
AlternateDataStreams: C:\Users\Malagorzala\AppData\Local\Dane aplikacji:qd7yvJKumDIQ1cBNbuWQZu5Rjf
AlternateDataStreams: C:\Users\Malagorzala\AppData\Local\Temp:90zT4pcNgCfxKdN67
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /f
EmptyTemp:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Po restarcie zaprezentuj kolejny wynikowy fixlog.txt.

 

2. W Google Chrome:

- Ustawienia > karta Rozszerzenia > odinstaluj avast! Online Security.

- Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

 

3. Zainstaluj Avast i potwierdź, że wszystko działa poprawnie.

 

 

.

[Modig]

1. Zrobione.

2. Na tym kompie nie ma Google Chrome, chyba że się gdzieś dobrze ukrywa. Na wszelki wypadek przeszukałem dysk C i nic nie znalazło.

3. Avast! zainstalowany i śmiga.

Fixlog.txt

[picasso]

2. Na tym kompie nie ma Google Chrome, chyba że się gdzieś dobrze ukrywa. Na wszelki wypadek przeszukałem dysk C i nic nie znalazło.

Nieuważna byłam, Google Chrome rzeczywiście nie występuje na liście zainstalowanych. W logu wykryta bogata konfiguracja odpadkowa Google:

 

Chrome:

=======

CHR RestoreOnStartup: "hxxp://www.google.com/"

CHR DefaultSuggestURL: {google:baseSuggestURL}search?{google:searchFieldtrialParameter}client={google:suggestClient}&q={searchTerms}&{google:cursorPosition}{google:zeroPrefixUrl}{google:pageClassification}sugkey={google:suggestAPIKeyParameter}

CHR Extension: (Website Logon) - C:\Users\Malagorzala\AppData\Local\Google\Chrome\User Data\Default\Extensions\aepeildmfnnehghlknddebgjghlompfe [2014-01-06]

CHR Extension: (Dokumenty Google) - C:\Users\Malagorzala\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2014-01-06]

CHR Extension: (Dysk Google) - C:\Users\Malagorzala\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2014-01-06]

CHR Extension: (YouTube) - C:\Users\Malagorzala\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2014-01-06]

CHR Extension: (Szukaj w Google) - C:\Users\Malagorzala\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2014-01-06]

CHR Extension: (avast! Online Security) - C:\Users\Malagorzala\AppData\Local\Google\Chrome\User Data\Default\Extensions\gomekmidlodglbbmalcneegieacbdmki [2014-01-06]

CHR Extension: (Google Wallet) - C:\Users\Malagorzala\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2014-01-06]

CHR Extension: (Gmail) - C:\Users\Malagorzala\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2014-01-06]

CHR HKLM-x32\...\Chrome\Extension: [aepeildmfnnehghlknddebgjghlompfe] - C:\Program Files (x86)\HP SimplePass 2011\tschrome.crx [2011-02-11]

CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChrome.crx [2011-02-11]

 

Dokończ to. Otwórz Notatnik i wklej w nim:

 

Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f
RemoveDirectory: C:\Users\Malagorzala\AppData\Local\Google

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

 

 

 

.

[Modig]

Zrobione

Fixlog.txt

[picasso]

Wykonane. Zastosuj DelFix. To tyle z mojej strony.

[Modig]

Zrobione, wielkie dzięki za pomoc!