Brak ikon na pulpicie / infekcja Win32/Patched HN

[metis]

Witam,

 

Problem polega na braku ikon i paska menu na pulpicie. Można otworzyć Menadżer zadań Windows poprzez znaną kombinację klawiszy oraz rejestr. Nie można natomiast otworzyc pliku Explorer.exe (Komunikat o treści: "System Windows nie może uzyskać dostępu do określonego urządzenia, ścieżki lub pliku. Możesz nie mieć odpowiednich uprawnień, aby uzyskać dostęp do elementu" ). W rejestrze wszystko się zgadza.

Poza tym komputer się nie wyłącza, trzeba to robić przez przytrzymanie włącznika. Po pojawieniu się komunikatu na pulpicie o zamykaniu systemu, gaśnie monitor, a komputer cały czas pracuje.

 

Skanowanie programem ESET Online Scanner wykazało 3 wirusy, których program nie potrafi usunąć (błąd podczas leczenia), a ściślej 1 wirus w 3 lokalizacjach. Nazwa wirusa jak w temacie. Lokalizacje:

- C:\Documents and Settings\All Users\Dane aplikacji\Datacard.service\HWDeviceService.exe

- C:\Program Files\Java\ire6\bin\iqs.exe

- C:\Program Files\Sony Ericsson\SEPC Suite\SupServ.exe

Ponowne skanowanie tym programem niemożliwe ze względu na wyskakujący błąd

 

Próby skanowania programem Malwarebytes i ComboFix spełzły na niczym. Po zainstalowaniu programów i wypakowaniu zawartości programy uruchamiają się na chwilkę po czym samoczynnie wyłączają. Ponowne próby otwarcia są niemożliwe (brak komunikatów, po prostu się nie otwierają).

 

Załączam logi z DDS i OTL, ponieważ GMER wyłącza się po chwili.

 

Mam nadzieję, że obejdzie się bez formatu...

 

Z góry dzękuję za wszelką pomoc.

 

http://www.wklej.org/id/577617/

http://www.wklej.org/id/577622/

[picasso]

Ślady pośrednie w logu z OTL, czyli "not found" w Winsock, odświeżenie + ukrycie katalogu Assembly oraz strumień NTFS:

 

O10 - Protocol_Catalog9\Catalog_Entries\000000000001 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000003 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000004 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000005 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000006 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000007 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000008 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000009 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000010 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000011 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000012 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000013 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000014 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000015 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000016 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000017 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000018 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000019 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000020 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000021 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000022 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000023 -  File not found
 
PRC - File not found -- C:\WINDOWS\2281950491:3828546679.exe
@Alternate Data Stream - 816 bytes -> C:\WINDOWS\2281950491:3828546679.exe
MOD - [2008-06-20 18:04:23 | 000,246,784 | ---- | M] () -- \\?\globalroot\systemroot\system32\mswsock.dll
 
[2011-08-14 22:08:22 | 000,000,000 | -HSD | C] -- C:\WINDOWS\assembly
[2011-08-14 22:03:34 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\eB13602IhBjH13602

... sugerują rootkita ZeroAccess. Rootkit ten również powoduje nokaut programów (po uruchomieniu natychmiast zamykane, a po próbie ponownego startu już są zablokowane), co by się zgadzało z tym:

 

 

Próby skanowania programem Malwarebytes i ComboFix spełzły na niczym. Po zainstalowaniu programów i wypakowaniu zawartości programy uruchamiają się na chwilkę po czym samoczynnie wyłączają. Ponowne próby otwarcia są niemożliwe (brak komunikatów, po prostu się nie otwierają).

 

 

Wstępnie spróbuj użyć narzędzia Webroot AntiZeroAccess i zaprezentuj wynikowy log AntiZeroAccess_Log.txt.

 

 

 

.

[metis]

Zrobione, log załączam, komputer zamyka się już poprawnie, reszta bez zmian.

 

http://www.wklej.org/id/577719/

[picasso]

Oceniając raporty z AntiZeroAccess, wygląda iż główne komponenty rootkita zostały usunięte. Ale to nie jest koniec czyszczenia tej infekcji (jak widać: strumień NTFS nie usunięty, Winsock nie zresetowany, konfig rootkita z Assembly nie zlikwidowany). Teraz pobierz na nowo ComboFix, uruchom i przedstaw z niego log. ComboFix prawdopodobnie przy uruchamianiu zgłosi komunikat o wykryciu ZeroAccess oraz o potencjalnym tymczasowym odcięciu sieci (reset Winsock jest na uwadze).

[metis]

Pobrałam na nowo ComboFix, ale nie mogę go uruchomić, ponieważ wyskakuje błąd: "Nie można uruchomić aplikacji", czyli tu też bez zmian...

[picasso]

1. Gdzie został zapisany ComboFix i skąd jest uruchamiany? Proszę pobierz go raz jeszcze w inne miejsce niż poprzednio, a przed zapisem na dysk wskaż, by się zapisał pod całkiem inną nazwą niż "ComboFix.exe" = wprowadź svchost.exe. I taki podrobiony "svchost.exe" spróbuj uruchomić z poziomu Trybu awaryjnego Windows.

 

2. Ponownie sprawdź co mówi AntiZeroAccess, czy przypadkiem nie widzi czegoś czynnego.

 

 

 

.

[metis]

ComboFix został pierwotnie zainstalowany na C:\Program Files, następnie na pulpicie. Po przeczytaniu posta zainstalowałam program na D:\ pod zasugerowaną nazwą. Każdorazowo uruchamiany był przez Menadżer zadań Windows bądź bezpośrednio po zakończeniu pobierania w oknie z transferami. Włącza się na chwilę tylko za pierwszym razem po ściągnięciu, przy nastepnych próbach otworzenia wyświetla się komunikat o błędzie. Niestety zmiana nazwy pliku nic nie dała...

 

Załączam wszystkie logi z AntiZeroAcces

 

http://www.wklej.org/id/577877/

[picasso]

Infekcja części rootkit powraca, dlatego ComboFix nie można uruchomić.

 

1. Wstępnie w OTL spróbuję usunąć niektóre składniki (ale daję małe szanse temu, jeśli rootkit znów się uaktywni). Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
@C:\WINDOWS\2281950491:3828546679.exe
C:\WINDOWS\2281950491
C:\Documents and Settings\All Users\Dane aplikacji\eB13602IhBjH13602
netsh winsock reset /C

Klik w Wykonaj skrypt. Z tego powstanie log.

 

2. Uruchom ponownie AntiZeroAcces. Jeśli coś zostanie wykryte usuń, ale zamiast resetować komputer wyłącz go i odczekaj dłuższą chwilę, by pamięć się odładowała.

 

3. Uruchom komputer, pobierz od nowa ComboFix i spróbuj uruchomić. I dołącz log z usuwania z punktu 1 oraz nowy log z OTL zrobiony na samym końcu opcją Skanuj.

 

 

 

 

.

[metis]

Jest chyba coraz gorzej... Skopiowałam dany fragment, wkleiłam, wykonałam skrypt, po chwili program się wyłączył. Sprawdziłam, ale żaden log nie powstał. Ponownie już nie mogę uruchomić OTLa!

 

Zaraz po wykonaniu skryptu uruchomiłam AntiZeroAcces nie znalazło nic. Wyłączyłam komputer, a po odczekaniu dłuższej chwili i uruchomieniu go ponownie, AntiZeroAcces już coś wykrył. OTLa nadal nie można uruchomić, tak jak ComboFixa i Malwarebytes Anti-Malware; ESET Online Scanner i GMERa można otworzyc, ale nie można ukończyć procesu skanowania.

 

Czy bezpieczne byłoby przeskanowanie Combofixem zainfekowanego komputera za pośrednictwem laptopa?

[picasso]

Jest chyba coraz gorzej... Skopiowałam dany fragment, wkleiłam, wykonałam skrypt, po chwili program się wyłączył. Sprawdziłam, ale żaden log nie powstał. Ponownie już nie mogę uruchomić OTLa!

 

Jest bez zmian a nie "gorzej". Tu się uaktywnia samoobrona tej infekcji, rootkit w bieżącej wersji powoduje uziemienie narzędzi próbujących coś konkretnego wykonać / odczytać określony komponent rootkita, ich nie uruchomisz już z tych kopii które są na dysku (dopóki nie zostałyby zresetowane uprawnienia, co jest bezsensowne przy czynnym rootkicie). Dlatego tu w kółko mówiłam o pobieraniu od nowa ComboFix, zamiast tracić czas na reset ACL (bo nowa kopia pliku nie ma jeszcze zepsutych uprawnień). I dopóki rootkit jest aktywny, będzie się to działo za każdym razem.

 

Ostatnia próba spod Windows, jeśli zawiedzie, otrzymasz instrukcje leczenia z poziomu płyty startowej. Pobierz na dysk ComboFix i nie uruchamiaj go. Uruchom AntiZeroAcces raz jeszcze i pozwól mu wyleczyć infekcję, ale nie resetuj systemu tylko go wyłącz i odczekaj dłuższą chwilę dla odładowania pamięci. Uruchom komputer, sprawdź co mówi AntiZeroAcces i próbuj uruchomić ComboFix ....

 

 

 

Czy bezpieczne byłoby przeskanowanie Combofixem zainfekowanego komputera za pośrednictwem laptopa?

 

Odpada. ComboFix to nie jest "skaner" gdzie wskazujesz określony dysk i zawsze działa na system spod którego jest uruchomiony. Czyli będzie "naprawiał" laptopa.

 

 

 

 

.

[metis]

Próbowałam kilkukrotnie, bezskutecznie. Za każdym razem, gdy ponownie uruchamiam komputer AntiZeroAcces znów coś znajduje.

[picasso]

Pobierz płytę Kaspersky Rescue Disk i przeskanuj z niej system. Zapisz raport do oceny.

[metis]

Przeskanowałam wszystkie dyski sugerowanym programem. Kilka pozycji pojawiło mi się jako 'nie odnaleziono', pozostałe zostały wyleczone i usunięte. Zapisałam raport, ale nie wiem gdzie go szukać. Po uruchomieniu systemu nadal nie ma ikon i paska menu, natomiast przeskanowanie AntiZeroAcces już nie pokazuje zagrożenia.

[picasso]

Zapisałam raport, ale nie wiem gdzie go szukać.

 

W jaki sposób był zapisywany raport, do jakiego pliku? Czy na pewno na dysku C (może w katalogu utworzonym przez płytę Kasperskiego) nie ma owego raportu?

 

 

Po uruchomieniu systemu nadal nie ma ikon i paska menu, natomiast przeskanowanie AntiZeroAcces już nie pokazuje zagrożenia.

 

Teraz, gdy ZeroAccess wygląda na uleczony, uruchom z nowo pobranej kopii ComboFix i przedstaw wyniki jego pracy.

 

 

 

 

.

[metis]

Przeszukałam folder utworzony przez Kaspersky i nie znalazłam tego raportu. Domyślnie program zapisywał raporty w root/, tak mi się bynajmniej zdaje. Zapisałam go dodatkowo w drugiej oferowanej przez Kaspersky lokalizacji, 'Komputer' (?). Wszystkie foldery przeszukuję ręcznie. Jest możliwość wyszukać wszystkie pliki *.txt w mojej sytuacji?

 

Załączam log wygenerowany przez ComboFix

http://www.wklej.org/id/583120/

[picasso]

Domyślnie program zapisywał raporty w root/, tak mi się bynajmniej zdaje. Zapisałam go dodatkowo w drugiej oferowanej przez Kaspersky lokalizacji, 'Komputer' (?). Wszystkie foldery przeszukuję ręcznie. Jest możliwość wyszukać wszystkie pliki *.txt w mojej sytuacji?

 

Nie wygląda na to, że zapisałaś raport w sposób rzeczywisty na dysku twardym. Z opisu wynika, że raport był zapisywany w nietrwałej pamięci.

 

 

---

Infekcja nadal nie jest wyleczona w 100%. ComboFix widzi to:

 

 

Po uruchomieniu systemu nadal nie ma ikon i paska menu

 

... w postaci zablokowania pliku explorer.exe:

 

------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[-] 2008-04-15 12:00 . !HASH: COULD NOT OPEN FILE !!!!! . 1035264 . . [------] . . c:\windows\explorer.exe
[7] 2008-04-15 . C791ED9EAC5E76D9525E157B1D7A599A . 1035264 . . [6.00.2900.5512] . . c:\windows\system32\dllcache\explorer.exe

I nadal jest komponent ukryty:

 

skanowanie ukrytych plików ...  
.
.
c:\windows\2281950491:3828546679.exe 816 bytes executable
.
skanowanie pomyślnie ukończone
ukryte pliki: 1

Zaczniemy od usunięcia tego ukrytego strumienia i zobaczymy jak to wpłynie na explorer.exe.

 

(((((((((((((((((((((((((((((((((((((((   Usunięto   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\IsUn0415.exe
 
 
- - - - USUNIĘTO PUSTE WPISY - - - -
.
AddRemove-Wielki multimedialny słownik Władysława Kopalińskiego - c:\windows\IsUn0415.exe

To natomiast wygląda na omyłkowe usunięcie.

 

 

1. Pobierz brakujący plik wuauclt.exe (ekstraktowany z pakietu SP3): KLIK. Umieść go w folderze C:\Pliki.

 

2. Otwórz Notatnik i wklej w nim:

 

ADS::
c:\windows\2281950491
 
File::
c:\windows\2281950491
c:\windows\system32\c_32144.nl_
c:\program files\chostsv.exe
 
Folder::
c:\documents and settings\All Users\Dane aplikacji\eB13602IhBjH13602
 
FCopy::
C:\Pliki\wuauclt.exe | c:\windows\system32\dllcache\wuauclt.exe
C:\Pliki\wuauclt.exe | c:\windows\system32\wuauclt.exe

Plik zapisz pod nazwą CFScript.txt. Przeciągnij go i upuść na ikonę ComboFixa.

 

 

3. Przedstaw log wygenerowany przez ComboFix.

 

 

 

 

.

[metis]

Log wygenerowany przez ComboFix:

http://www.wklej.org/id/583322/

[picasso]

Zadanie wprawdzie wykonane, ale plik explorer.exe jest niezmiennie zablokowany. Spróbujmy go podmienić.

 

1. Plik do pobrania: KLIK. Wypakuj do C:\Pliki.

 

2. Montuj nowy CFScript.txt o następującej zawartości:

 

FCopy::
C:\Pliki\explorer.exe | c:\windows\system32\dllcache\explorer.exe
C:\Pliki\explorer.exe | c:\windows\explorer.exe

Uruchom w taki sam sposób jak poprzednio.

 

3. Przedstaw raport utworzony przez ComboFix.

 

 

 

.

[metis]

Zrobione, raport: http://www.wklej.org/id/583640/

 

Pasek menu i ikony wróciły na pulpit Czy to znaczy, że wszytsko jest już w porządku?

[picasso]

Wygląda na to, że udało się wyczyścić wszystkie widoczne ślady infekcji. Możemy się zająć mniejszymi wagowo elementami.

 

1. Przez SHIFT+DEL skasuj z dysku te foldery:

 

2011-08-23 21:17 . 2011-08-24 11:41	--------	d-----w-	C:\Pliki
2011-08-21 17:20 . 2011-08-21 22:00	--------	d---a-w-	C:\Kaspersky Rescue Disk 10.0
2011-08-16 22:53 . 2011-08-16 22:53	--------	d-----w-	C:\_OTL
2011-08-15 17:38 . 2011-08-15 17:38	--------	d-----w-	c:\documents and settings\Paweł\DoctorWeb

2. Przejdź do Dodaj / Usuń programy i odinstaluj Winamp Toolbar.

 

3. Odinstaluj ComboFix, w Start > Uruchom > wklejając komendę C:\ComboFix.exe /uninstall

 

4. Dostarcz nie pokazywany tu drugi log OTL, czyli Extras (by go wygenerować, opcja "Rejestr - skan dodatkowy" ma być ustawiona na "Użyj filtrowania").

 

Mam też pytanie: czy aktualnie zainstalowane programy antywirusowe / skanery działają, nie zwracają aby błędów?

 

 

.

[metis]

Punkt 1 wykonany, dodatkowo odinstalowałam Malwarebytes i GMER w kilku lokalizacjach, które były uszkodzone (?) przez wirusa i się nie otwierały.

 

Punkt 2 wykonany.

 

Punkt 3 wykonany, ale mogłam odinstalować tylko ostatnio ściągniętego ComboFixa, który działał poprawnie. Pozostałych, które się wyłączały podczas bytowania infekcji na komputerze, nie mogę usunąć. Znajdują się na E:\ ComboFix i C:\Documents and Settings\Paweł\Pulpit\ComboFix

 

Punkt 4 wykonany: http://www.wklej.org/id/584391/

 

Jesli chodzi o antywirusa: nie mogłam wyłączyć działania ESETa podczas uruchomienia ComboFix, więć go odinstalowałam. Podczas tej operacji wyskoczył błąd i komunikat, że nie można usunąć wszystkich plików. Nie potrafię ich usunąć ręcznie (komunikat o odmowie dostepu). Innych antywirusów nie posiadam. Mam zamiar po tym wszystkim zainstalować testową wersję najnowszego Kaspersky'ego.

[picasso]

Punkt 3 wykonany, ale mogłam odinstalować tylko ostatnio ściągniętego ComboFixa, który działał poprawnie. Pozostałych, które się wyłączały podczas bytowania infekcji na komputerze, nie mogę usunąć. Znajdują się na E:\ ComboFix i C:\Documents and Settings\Paweł\Pulpit\ComboFix

 

Tak, wiem, że komenda deinstalacji tyczyła tylko ostatniego sprawnego ComboFix. Poprzednie kopie zablokowane przez infekcję nie zostaną usunięte tym mechanizmem. Na początek spróbuj aplikacji Inherit, na ikonkę tego pobranego programu przeciągnij oba wadliwe foldery i sprawdź czy po tej operacji uda się je skasować ręcznie.

 

 

Jesli chodzi o antywirusa: nie mogłam wyłączyć działania ESETa podczas uruchomienia ComboFix, więć go odinstalowałam. Podczas tej operacji wyskoczył błąd i komunikat, że nie można usunąć wszystkich plików. Nie potrafię ich usunąć ręcznie (komunikat o odmowie dostepu). Innych antywirusów nie posiadam. Mam zamiar po tym wszystkim zainstalować testową wersję najnowszego Kaspersky'ego.

 

Rozpocznij od użycia ESET Uninstaller. Nie jestem jednak pewna czy program zaradzi na zdefektowane uprawnienia.

 

 

 

.

[metis]

Za pomocą aplikacji Inherit usunęłam tylko część wadliwych programów, jeden oporny ComboFix mi pozostał na pulpicie.

 

Resztki ESETa usunęłam w trybie awaryjnym.

[picasso]

Za pomocą aplikacji Inherit usunęłam tylko część wadliwych programów, jeden oporny ComboFix mi pozostał na pulpicie.

 

To co jest na Pulpicie to folder? Jeśli tak, to po kolei przeciągaj pojedynczo wszystkie obiekty, które są w folderze, na aplikację Inherit, próbując po tej operacji na bieżąco kasować składowe folderu.

 

---

Zostały nam do wykonania czynności końcowe:

 

1. Na Twojej liście zainstalowanych widzę:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216013FF}" = Java™ 6 Update 15
"{AC76BA86-7AD7-1045-7B44-A91000000001}" = Adobe Reader 9.1 - Polish
"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.2
"{D2D3D146-67BC-43D0-9015-2E7BAC2E032B}" = OpenOffice.org 3.1
"{E1BBBAC5-2857-4155-82A6-54492CE88620}" = Opera 9.64
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Mozilla Firefox (3.6.18)" = Mozilla Firefox (3.6.18)
"Nowe Gadu-Gadu" = Nowe Gadu-Gadu

- Niezbędna aktualizacja przeglądarek, Java, Adobe Flash i Skype: INSTRUKCJE.

- (Opcjonalnie) rozważ też wymianę Nowego Gadu lżejszym odpowiednikiem. W temacie Darmowe komunikatory do wglądu opisy programów: AQQ, Kadu, WTW i Miranda. osobiście polecam WTW.

 

2. Po wykonaniu powyższych czynności opróżnij sobie na koniec lokalizacje tymczasowe posługując się programem TFC - Temp Cleaner.

 

3. Dla własnego bezpieczeństwa zmień wszystkie hasła logowań w serwisach.

 

Podsumuj także czy coś jeszcze wymaga korekty w systemie.

 

 

 

 

 

.

[metis]

Wykonałam czynności końcowe, włącznie ze zmianą haseł na co ważniejszych serwisach.

 

Jesli chodzi o ComboFix - jest to aplikacja, która z racji uszkodzenia nie ma tradycyjnej dla tego programu ikonki tylko taki biało niebieski prostokącik.

 

Nie wiem jak sprawdzic czy coś jeszcze wymaga korekty w systemie. Przeskanowałam cały komputer Kaspersky'im i nie wykazało mi większych zagrożeń oprócz kilku luk w programach.