Skocz do zawartości

Rootkit ZeroAccess


Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Wszystko zostało wyleczone. Żeby zaoszczędzić jakieś 3 godziny, na tą chwilę przeskanowałem jeszcze raz tylko te foldery, w których coś się pojawiło.

 

Raport po leczeniu

Raport po leczeniu.txt

 

Zauważyłem np. że pliki .exe w folderze C:\Program Files\Dell\OpenManage\Client, które były na liście, straciły swoje ikonki, a pojawia się tylko standardowa dla aplikacji post-2770-0-56093700-1314282013_thumb.gif. Poza tym miałem wrażenie, że zawsze były włączone w Menedżerze zadań, a teraz nie są. Czy to ma jakieś znaczenie?

 

Jak odinstalować tego Kasperskiego (wersja 11.0.0.1245 - nie pyta o deinstalację przy wyłączaniu), którego od pierwszego uruchomienia uruchamiałem z jakiegoś tymczasowego folderu, w którym go znalazłem (...Ustawienia lokalne\temp\9120318)? Mam po prostu ręcznie skasować dwa tymczasowe foldery, które utworzył?

 

Przy niektórych plikach pojawił się status Deleted, jeden plik trafił do kwarantanny. Powinienem zrobić kopie tych plików, zanim zostaną usunięte? Gdzie ich szukać?

Odnośnik do komentarza
Zauważyłem np. że pliki .exe w folderze C:\Program Files\Dell\OpenManage\Client, które były na liście, straciły swoje ikonki, a pojawia się tylko standardowa dla aplikacji

 

Wygląda na to, że w tym przypadku leczenie zainfekowanych plików równało się uszkodzeniu tych plików. Należy przeinstalować te aplikacje (z wyciągu skanera: Dell, Atheros Wireless, LightScribe, Java). Podaj jaki model Della posiadasz, to poszukamy na stronie producenta reinstalatorów.

 

 

Jak odinstalować tego Kasperskiego (wersja 11.0.0.1245 - nie pyta o deinstalację przy wyłączaniu), którego od pierwszego uruchomienia uruchamiałem z jakiegoś tymczasowego folderu, w którym go znalazłem (...Ustawienia lokalne\temp\9120318)? Mam po prostu ręcznie skasować dwa tymczasowe foldery, które utworzył?

 

Deinstalator Kasperskiego powinien być w jego folderze, ale jeśli niefortunnie zainstalowałeś Kasperskiego w folderze tymczasowym, to jest możliwe że nie ma niestety deinstalatora (sprzątnięty w momencie wyegzekwowania instrukcji czyszczenia folderów tymczasowych). Przyjrzyj się uważnie skąd uruchamia się skaner Kasperskiego i wejdź do tego folderu.

 

 

Przy niektórych plikach pojawił się status Deleted, jeden plik trafił do kwarantanny. Powinienem zrobić kopie tych plików, zanim zostaną usunięte? Gdzie ich szukać?

 

Nie rób żadnych kopii zapasowych plików określonych jako zainfekowane.

 

 

.

Odnośnik do komentarza

Podaj jaki model Della posiadasz

Dell Latitude C400

 

Deinstalator Kasperskiego powinien być w jego folderze, ale jeśli niefortunnie zainstalowałeś Kasperskiego w folderze tymczasowym, to jest możliwe że nie ma niestety deinstalatora (sprzątnięty w momencie wyegzekwowania instrukcji czyszczenia folderów tymczasowych). Przyjrzyj się uważnie skąd uruchamia się skaner Kasperskiego i wejdź do tego folderu.

Z folderu na pulpicie uruchomiłem instalatora, który nie pytał gdzie zainstalować program, tylko od razu uruchomił skanera. Po pierwszym restarcie nie chcąc od nowa włączać instalatora i czekać aż program się uruchomi, poszukałem plików utworzonych tego dnia i tam znalazłem w folderze "temp" tego właśnie Kasperskiego. Stamtąd go od tej pory uruchamiam.

 

Od czasu gdy użyłem Kasperskiego komputer strasznie wolno się uruchamia. Trudno mi powiedzieć, czy jest tak od czasu "zainstalowania" go, czy od momentu "wyleczenia" znalezionych infekcji. Czasami przy włączaniu komputera pojawia się niebieski ekran z błędem "BAD POOL CALLER" i muszę włączać od nowa.

Zauważyłem, że w Autostarcie pojawił się wpis _uninst_39291988, obrazek:

post-2770-0-16540700-1314615670_thumb.jpg

"Plik wsadowy MS-DOS" _uninst_39291988.bat jest w folderze tymczasowym w którym są pozostałe pliki Kasperskiego, ma też datę, która wskazuje, że pojawił się tam razem z nimi.

 

Nie widać żadnego innego pliku, który miałby w nazwie coś z deinstalacji. Nie chciałem też jeszcze odinstalowywać zanim nie będę pewny, że wszystko z "wyleczonymi" plikami jest OK.

Odnośnik do komentarza

Zabieramy się za reinstalacje i inne czynności końcowe:

 

1. Aplikacje naruszone leczeniem:

 

2011-08-25 14:45:10	Disinfected	Trojan program Trojan.Win32.Patched.mf	C:\dmi\win32\bin\Win32sl.exe	High	

2011-08-25 14:45:10 Disinfected Trojan program Trojan.Win32.Patched.mf c:\program files\Dell\openmanage\Client\EventAgt.exe High

2011-08-25 14:45:10 Disinfected Trojan program Trojan.Win32.Patched.mf c:\program files\Dell\openmanage\Client\DLT.exe High

2011-08-25 14:45:10 Disinfected Trojan program Trojan.Win32.Patched.mf c:\program files\Dell\openmanage\Client\Iap.exe High

2011-08-25 14:18:44 Not found Trojan program Trojan.Win32.Patched.mf c:\Program Files\Dell\OpenManage\Client\ActionAgent.exe High

 

2011-08-24 19:14:29 Deleted Trojan program Trojan.Win32.Patched.mf C:\DMI\WIN32\bin\Win32sl.exe High

2011-08-25 14:44:57 Deleted Trojan program Trojan.Win32.Patched.mf c:\Program Files\Dell\OpenManage\Client\EventAgt.exe High

2011-08-25 14:44:57 Deleted Trojan program Trojan.Win32.Patched.mf c:\Program Files\Dell\OpenManage\Client\Iap.exe High

2011-08-25 14:44:57 Deleted Trojan program Trojan.Win32.Patched.mf c:\Program Files\Dell\OpenManage\Client\DLT.exe High

2011-08-25 14:44:57 Deleted Trojan program Trojan.Win32.Patched.mf C:\DMI\WIN32\bin\DellDmi.exe High

 

Poszkodowany infekcją Dell OpenManage Client Instrumentation odinstaluj. Wejdź na stronę Dell ze sterownikami do Twojego modelu: KLIK. W sekcji Systems Management jest instalator tej aplikacji.

 

2011-08-25 14:45:10	Disinfected	Trojan program Trojan.Win32.Patched.mf	C:\WINDOWS\system32\acs.exe	High

2011-08-25 14:44:58 Deleted Trojan program Trojan.Win32.Patched.mf C:\WINDOWS\system32\acs.exe High

 

Skasowany acs.exe powinien stanowić składnik TP-LINK Wireless Client Utility, oceniając po widocznych wcześniej datach w logu:

 

PRC - [2010-05-21 14:56:04 | 000,503,808 | ---- | M] (Atheros) -- C:\WINDOWS\system32\acs.exe

PRC - [2010-05-21 14:55:40 | 000,561,263 | ---- | M] () -- C:\Program Files\TP-LINK\TP-LINK Wireless Client Utility\TWCU.exe

 

Szukaj pasującego instalatora na swoich płytach instalacyjnych (o ile posiadasz) lub na stronie TP-Link: KLIK.

 

2011-08-25 14:45:10	Disinfected	Trojan program Trojan.Win32.Patched.mf	C:\Program Files\Common Files\LightScribe\LSSrvc.exe	High

2011-08-25 14:44:58 Deleted Trojan program Trojan.Win32.Patched.mf c:\Program Files\Common Files\LightScribe\LSSrvc.exe High

 

Poszkodowany LightScribe, jeśli nie masz reinstalatora, szukaj na stronie domowej KLIK.

 

2. Aktualizacje pod kątem łatania luk / uszczelniania systemu:

 

Windows XP Home Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 6.0.2900.2180)

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F83216010FF}" = Java™ 6 Update 11

"{AC76BA86-7AD7-1033-7B44-A81200000003}" = Adobe Reader 8.1.2

"7-Zip" = 7-Zip 4.58 beta

"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX

"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin

"Gadu-Gadu 10" = Gadu-Gadu 10

"Mozilla Firefox (3.6.18)" = Mozilla Firefox (3.6.18)

"Xvid_is1" = Xvid 1.2.1 final uninstall

 

========== HKEY_USERS Uninstall List ==========

 

[HKEY_USERS\S-1-5-21-2052111302-746137067-854245398-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"Google Chrome" = Google Chrome

 

- Aktualizacja przeglądarek, do deinstalacji stara Java (to był kolejny program zaprawiony infekcją) i wszystkie produkty Adobe. Szczegóły aktualizacyjne: INSTRUKCJE.

- Można jeszcze zaktualizować przechodzony 7-zip, stary XviD i rozważyć wymianę okropnego GG10 alternatywą (o tym pogadamy potem).

 

3. Czeka nas tu także znacznie grubsza aktualizacja całego systemu, gdyż masz tragiczny poziom zabezpieczeń. To niedopuszczalne aktualnie, by XP zatrzymał się na stanie SP2 (to jest rok ... 2004!), jest konieczna aktualizacja do SP3 (rok 2008) i uzupełnienie wszystkich łat wydanych po tym czasie, by zabezpieczyć jako tako system. Tylko jest tu problem relatywny do rozmowy na PW: instalacja SP3 nadpisze plik winlogon, aktualnie spatchowany wiadomo do czego .... Na razie muszę się z tym powstrzymać.

 

4. Dla własnego bezpieczeństwa zmień wszystkie hasła logowań w serwisach.

 

 

Zauważyłem, że w Autostarcie pojawił się wpis _uninst_39291988 (...) "Plik wsadowy MS-DOS" _uninst_39291988.bat jest w folderze tymczasowym w którym są pozostałe pliki Kasperskiego, ma też datę, która wskazuje, że pojawił się tam razem z nimi.

 

Owszem, wygląda to na deinstalator. Wyszukaj ten plik *.BAT, otwórz w Notatniku i przeklej co w nim jest.

 

 

Od czasu gdy użyłem Kasperskiego komputer strasznie wolno się uruchamia. Trudno mi powiedzieć, czy jest tak od czasu "zainstalowania" go, czy od momentu "wyleczenia" znalezionych infekcji. Czasami przy włączaniu komputera pojawia się niebieski ekran z błędem "BAD POOL CALLER" i muszę włączać od nowa.

 

Gdy ukończysz wszystkie reinstalacje, wygeneruj nowy log z OTL (włącznie z Extras).

 

 

 

.

Odnośnik do komentarza

Aktualizacje już zainstalowane albo w trakcie instalowania. Stwierdziłem też, że program Lightscribe jest mi kompletnie niepotrzebny, a że nie widzę nigdzie opcji odinstalowania, zostawię go jak jest. Na razie mam dramatycznie mało miejsca na dysku (ok. 400 MB) - to zawsze był główny powód nie instalowania aktualizacji. Nowsze wersje też długo się ładują i zajmują więcej pamięci, a komputer ma już swoje lata. Usunięcie Kasperskiego powinno zwolnić trochę miejsca, tutaj treść pliku _uninst_39291988.bak - jakby ucięta:

_uninst_39291988.txt

(plik 1304963.exe uruchamia tego Kasperskiego)

 

4. Dla własnego bezpieczeństwa zmień wszystkie hasła logowań w serwisach.

Czy to możliwe, że te wirusy, które miałem, podebrały mi hasła?

 

Kilka dni po infekcji nie mogłem się zalogować na swoje konto na Gmailu, musiałem zmieniać hasło (na pewno było dobrze wpisywane, a z logowaniem na inne konto na Gmailu nie było problemu) - to mogło być efektem infekcji? Jednocześnie "ostatnia wizyta" wskazywała na moje logowanie, więc nie wiem czy hasło zostało w jakiś sposób zmienione, czy to były tylko chwilowe problemy Google'a.

Odnośnik do komentarza

Ten plik BAT wygląda na niekompletny. Kasperskiego usuń więc ręcznie. Skoro jest w katalogu tymczasowym, to główny katalog zlikwiduje punkt pierwszy z poniższej instrukcji (TFC - Temp Cleaner). Natomiast sterowniki Kasperskiego wytnę ręcznie na podstawie finałowego loga z OTL, o który Cię prosiłam.

 

 

Na razie mam dramatycznie mało miejsca na dysku (ok. 400 MB) - to zawsze był główny powód nie instalowania aktualizacji.

 

Na chwilę obecną można założyć, że to tak okropnie niski poziom dostępnego wolnego miejsca na dysku jest powodem spowolnienia systemu. Cytuję z innego tematu co można wstępnie zrobić:

 

  • Wyczyść pliki tymczasowe za pomocą TFC - Temp Cleaner
  • Wyczyść foldery Przywracania systemu: KLIK
  • Przez SHIFT+DEL opróżnij cały folder C:\Windows\SoftwareDistribution\Download
  • Do dalszej analizy miejsca skorzystaj z programu SpaceSniffer. Korespondująco także wzorcowy temat: KLIK.

Jak już coś osiągniesz w kwestii wolnego miejsca, wykonaj defragmentację dysku. Polecam darmowy program Puran Defrag Free Edition, który oferuje też tzw. "Boot Time" defragmentację do scalania plików nieprzesuwalnych spod Windows.

 

 

Nowsze wersje też długo się ładują i zajmują więcej pamięci, a komputer ma już swoje lata.

 

Tu chodzi o podstawy zabezpieczeń. Ponadto, odwrócę problem: równie dobrze to stare wersje mogą prowadzić do kłopotów.

 

 

Czy to możliwe, że te wirusy, które miałem, podebrały mi hasła?

 

Kilka dni po infekcji nie mogłem się zalogować na swoje konto na Gmailu, musiałem zmieniać hasło (na pewno było dobrze wpisywane, a z logowaniem na inne konto na Gmailu nie było problemu) - to mogło być efektem infekcji? Jednocześnie "ostatnia wizyta" wskazywała na moje logowanie, więc nie wiem czy hasło zostało w jakiś sposób zmienione, czy to były tylko chwilowe problemy Google'a.

 

Nie bez powodu podaję i podkreślam instrukcję wymiany wszystkich haseł. Jest tu duże prawdopodobieństwo, że rootkit podebrał hasła. Trudno mi jednak jednoznacznie określić z czego wypływał problem z Gmail, choć wcale nie wykluczam tu konsekwencji infekcji.

 

 

 

 

.

Odnośnik do komentarza
  • 3 tygodnie później...

Nie widzę tu już zainstalowanych obiektów narzędzia Kaspersky Virus Removal Tool, tylko pusty skrót. Załaduj kosmetyczny skrypt usuwający wpisy puste. W OTL wklej co podane niżej w polu Własne opcje skanowania / skrypt i klik w Wykonaj skrypt:

 

:OTL
SRV - File not found [Auto | Stopped] --  -- (JavaQuickStarterService)
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\jqs@sun.com: C:\Program Files\Java\jre6\lib\deploy\jqs\ff
O2 - BHO: (JQSIEStartDetectorImpl Class) - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll File not found
O4 - Startup: C:\Documents and Settings\Właściciel\Menu Start\Programy\Autostart\_uninst_39291988.lnk =  File not found
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab" (Reg Error: Key error.)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.)

 

Z tego co tu rozumiem, wszystko jest załatwione, z wyjątkiem efektu spowolnienia (oraz brakujących aktualizacji Windows Update, awykonalnych przy widzialnej tu poprzeczce).

 

 

Nad zwalnianiem więcej miejsca jeszcze będę siedział.

 

To mus, jest tu nadal bardzo kiepski odczyt:

 

Drive C: | 18,63 Gb Total Space | 0,73 Gb Free Space | 3,94% Space Free | Partition Type: NTFS

 

Dla porównania temat, w którym bardzo bliska granica pozostałego wolnego jest przyczyną dla spowolnienia pracy: KLIK.

 

 

 

 

.

Odnośnik do komentarza
  • 1 miesiąc temu...

Z tym, że to mała ilość wolnego miejsca jest przyczyną spowolnienia komputera bym się nie zgodził, bo 700 MB to taka ilość miejsca którą starałem się utrzymywać na stałym poziomie, bywało już mniej i wcześniej nie było żadnych efektów ubocznych. Może to przez to zainstalowanie konsoli odzyskiwania albo grzebanie w tych sterownikach?

 

Jak by nie było, dziękuję za pomoc przy zwalczeniu wirusa.

Odnośnik do komentarza
Z tym, że to mała ilość wolnego miejsca jest przyczyną spowolnienia komputera bym się nie zgodził, bo 700 MB to taka ilość miejsca którą starałem się utrzymywać na stałym poziomie, bywało już mniej i wcześniej nie było żadnych efektów ubocznych.

 

1. Czyli zakładasz, że dane są zapisywane cały czas w identyczny sposób, identycznymi blokami i na dodatek nie postępuje tam żadna fragmentacja. To jest błąd założeń (i to jeszcze na tak okropnie niskim progu miejsca, gdzie manipulacje są mocno ograniczone). Jeśli zostanie tu zdowodowane, że to nie mały zakres miejsca na pofragmentowanym dysku:

 

2. Zweryfikuj czy przypadkiem nie wykonała się degradacja transferu dysku z DMA do PIO, posiłkując się instrukcją: KLIK (ustęp Optymalizacja wydajności HDD i CD/DVD-ROMów - Włączenie DMA). Podczas sprawdzania interesuje Cię linia "bieżący tryb transferu".

 

 

Może to przez to zainstalowanie konsoli odzyskiwania albo grzebanie w tych sterownikach?

 

Konsola = brak związku. To w ogóle nawet nie jest czynne podczas pracy systemu operacyjnego, a jedyny zakres gdzie to się uaktywnia, to tylko przy bootowaniu w formie menu startowego. Jeśli chcesz to usuwać z "kosmetycznego" punktu widzenia (to nie przyniesienie żadnej poprawy dla opisywanych problemów i doprawdy nie ma znaczenia):

 

(...) w opisie ComboFix w sekcji "Skutki uboczne" (KLIK). Wystarczy, że wykonasz edycję pliku BOOT.INI zgodnie ze wzskazówkami, by menu startowe zniknęło. A pełne usunięcie Konsoli polega na skasowaniu z dysku C ukrytych obiektów rozruchowych CMLDR i CMDCONS. Jedna uwaga, ComboFix stosuje tu pewną sztuczkę i zapobiega kasacji folderu CMDCONS. Odblokowanie kasacji polega na wejściu w Uprawnienia folderu (KLIK) i dla grupy Wszyscy zdjęcie ptaszka z Odmów na rzecz Pełnej kontroli.

 

Co do sterowników: były podmieniane w wersjach zgodnych z Twoim systemem operacyjnym. Nie dodane nic czego tu nie było. Ufam też, że instrukcje reinstalacji uszkodzonego softu zostały prawidłowo wykonane.

 

 

 

.

Edytowane przez picasso
10.12.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...