Rootkit ZeroAccess

[Kommodus]

Witam,

 

Podczas skanowania ComboFixem okazało się, że mój system jest zarażony rootkitem ZeroAccess. Po automatycznym zrestartowaniu, gdy pojawiły się nazwy kont użytkowników, nie można było już ruszyć myszką (czy raczej touchpadem), klawiatura też nie działa.

 

Wcześniej próbowałem użyć jakichś antywirusów, ale wyłączały się w trakcie działania. Po jednokrotnym użyciu programu OTL musiałem ściągać go od nowa, bo nie dawał się już włączyć. (Mój problem i próby naprawy są tutaj: http://forum.pclab.pl/topic/718012-Zara%C5%BCony-komputer-antywirusy-blokowane/)

 

Nie wiem czy się przydadzą, ale wtedy OTL wygenerował mi takie logi:

 

a) z konta nie będącego głównym kontem (główne szwankowało na tyle, że ciężko było włączyć jakikolwiek program), chociaz majacego uprawnienia administratora:

załącznik a-OTL.txt i a-Extras.txt

 

Próby wpisywania i zatwierdzania proponowanych mi skryptów nie przynosiły rezultatów. Jak pisałem na podanym forum:

Zatwierdziłem wykonanie skryptu, podczas niego znikły wszystkie ikony i paski, zostało samo tło i kursor. Gdy przez jakieś 2-3 minuty nie było widać ani słychać, by coś się działo (menedżer zadań na to nie wskazywał), zresetowałem komputer uznając, że nic się już nie wydarzy

Po restarcie nie pojawił się żaden raport

 

b ) log z głównego konta administratora

załącznik b-OTL.txt

 

Po nieudanych próbach z OTL użyłem ComboFixa, co wywołało taki skutek, że nie mogę się nawet zalogować do systemu.

Mam Windowsa XP.

Nie mogę podać teraz żadnych nowych logów (a przynamniej nie wiem, jak).

 

Na ten moment mogę chyba tylko działać w konsoli odzyskiwania systemu?

Proszę o porady od czego powinienem teraz zacząć, żeby przywrócić możliwość pisania na klawiaturze i ruszania kursorem i pozbyć się ostatecznie wirusa.

a-OTL.txt

a-Extras.txt

b-OTL.txt

[picasso]

Próby wpisywania i zatwierdzania proponowanych mi skryptów nie przynosiły rezultatów.

 

Te skrypty za słabe w stosunku do infekcji. Rootkit ZeroAccess ma potężną konstrukcję i zarażone są sterowniki systemowe, a sam rootkit stosuje samoobronną technikę i próba odczytu jego komponentów powoduje niemożność ponownego uruchomienia danego narzędzia.

 

 

Podczas skanowania ComboFixem okazało się, że mój system jest zarażony rootkitem ZeroAccess. Po automatycznym zrestartowaniu, gdy pojawiły się nazwy kont użytkowników, nie można było już ruszyć myszką (czy raczej touchpadem), klawiatura też nie działa.

 

Prawdopodobnie zarażonym przez rootkita sterownikiem był sterownik związany z obsługą tych urządzeń, albo ComboFix zrobił coś z tym plikiem niedobrego, albo ComboFix leczył inny sterownik a rootkit przeskoczył na sterownik tych urządzeń. Możliwy też filtr na urządzeniach.

 

 

Po nieudanych próbach z OTL użyłem ComboFixa, co wywołało taki skutek, że nie mogę się nawet zalogować do systemu.

Mam Windowsa XP.

Nie mogę podać teraz żadnych nowych logów (a przynamniej nie wiem, jak).

 

Na ten moment mogę chyba tylko działać w konsoli odzyskiwania systemu?

 

Wygeneruj log z poziomu płyty OTLPE.

 

 

 

.

[Kommodus]

Wygeneruj log z poziomu płyty OTLPE.

 

Teraz nie mam przy sobie napędu CD, będę musiał pojechać po niego do innego miasta (mam nadzieję, że jeszcze działa), a to dopiero jutro.

 

Dałoby się to zrobić z użyciem USB? Mam tylko jeden port.

I jeszcze pytanie, czy nie ma zagrożenia że przy przenoszeniu na pendrivie pliku z logiem coś z infekcji się przeniesie na inny komputer?

[picasso]

Teraz nie mam przy sobie napędu CD, będę musiał pojechać po niego do innego miasta (mam nadzieję, że jeszcze działa), a to dopiero jutro.

 

Dałoby się to zrobić z użyciem USB? Mam tylko jeden port.

 

Przerób więc OTLPE pod USB. Od razu także możesz złączyć na jednym USB dwie płyty: OTLPE + Kaspersky Rescue Disk. Podaję instrukcje, które już tu stosowałam:

 

1. Pobrany na samym początku OTLPE w postaci EXE rozbij za pomocą 7-zip, tak by pozyskać ze środka plik ISO. Plik ten przemianuj na pebuilder.iso. Zmiana nazwy ma służyć oszukaniu kreatora.

2. Pobierz kreator SARDU (interfejs narzędzia wygląda teraz ciut inaczej niż w opisie, nie miałam czasu dostosować).

3. Podstaw SARDU prawidłowo dwa pliki ISO, OTLPE + Kasperskiego. Program powinien wykryć i automatycznie zaznaczyć te dwa projekty (patrz w karty Windows i Antivirus). I wybierasz jako formę docelową bootowalny USB.

4. W BIOS upewnij się, że USB może bootować i jest pierwszym urządzeniem w kolejce i wio....

 

PS. Dziś tu działam tylko do około 18 godziny. Jeśli się nie zmieścisz w tym czasie, dalsze instrukcje uzyskasz ode mnie dopiero jutro rano.

 

 

.

[Kommodus]

Podaję instrukcje, które już tu stosowałam:

 

Wygląda dość skomplikowanie. Biorąc pod uwagę, że działanie mojego jedynego portu USB pozostawia wiele do życzenia (wystarczy lekki ruch i podłączone urządzenie się rozłącza; komputer ma wiele wad i wiem, że powinienem go jak najszybciej zmienić), chyba lepiej będzie, jak spróbuję normalnie z płyty CD, czyli dopiero jutro.

 

OK, przygotuję te dwie płyty.

[picasso]

Wygląda dość skomplikowanie.

 

Tylko Ci się wydaje. Masz dwa gotowe obrazy ISO i wystarczy je tylko przepuścić przez SARDU, to jest kilka minut nie męczącej roboty. Ale skoro port USB "przedstawia wiele do życzenia", to prędzej kieruje na produkcję standardowych boot CD.

[Kommodus]

Podaję loga z OTLPE.

Chociaż zaznaczone było "automatically load all remaining users", nie wiem, czy jest z całości, bo nie widzę w nim nazwy głównego konta.

OTL.txt

[picasso]

W logu na razie widać tylko elementy "wtórne". Z tego raportu nie jestem w stanie wywnioskować który sterownik jest zainfekowany. Post #16

 

Nagrałeś również Kaspersky Rescue Disk? Zrób nim porównawczy skan i przedstaw wyniki.

Edytowane 20 Sierpnia 2011 przez picasso

[Kommodus]

Po wybraniu w Kaspersky Rescue Disk Graphic Mode na czarnym ekranie pojawiają się:

 

ERROR: Unable to locate IOAPIC for GSI 12 (i dla 1, 8, 13, 6 i 4).

Loading modules:

...

i zatrzymuje się przy

Scanning for pata_netcell...

Próbowałem 3 razy, i wydaje mi się, że czekałem wystarczająco długo - nic nie rusza.

 

Można to jakoś ominąć? Co mam teraz zrobić?

[picasso]

Po wybraniu w Kaspersky Rescue Disk Graphic Mode

 

Czy to samo jest po wybraniu trybu tekstowego?

 

1. Jeśli tak, alternatywnie następujące metody skanu:

 

• Skorzystaj z innej płyty z tamtego tematu np. Dr. Web LiveCD do skanu ogólnego całego systemu. Z tego procesu muszę dostać log.
  
• Z poziomu płyty OTLPE przekopiuj na pendrive cały katalog C:\Windows\system32\drivers, a następnie na innym komputerze przeskanuj antywirusem ten katalog. Antywirus powinien wykryć który plik jest naruszony, ponieważ pliki sterowników zostały skopiowane z poziomu zewnętrznego środowiska i są nieczynne.
  

2. Dodatkowo, zrób w OTLPE skan dostosowany na następujących warunkach: wszystkie opcje ustaw na None, zaś w polu Custom Scans/Fixes wklej co podane niżej i klik w Scan.

 

C:\Windows\system32\drivers\*.* /md5
C:\Windows\*. /RP /s
dir /s /a C:\Windows\assembly /C

 

 

 

.

[Kommodus]

Czy to samo jest po wybraniu trybu tekstowego?

 

Tak

 

Jeśli tak, alternatywnie następujące metody skanu:

 

Tzn. mogę wybrać któryś z tych sposobów? Jeśli nie, to przy drugim podpunkcie jakiego antywirusa najlepiej użyć, bo różnie to bywa z wykrywaniem?

[picasso]

Tzn. mogę wybrać któryś z tych sposobów? Jeśli nie, to przy drugim podpunkcie jakiego antywirusa najlepiej użyć, bo różnie to bywa z wykrywaniem?

 

Najlepiej wykorzystać dwa sposoby na raz. Zacznij jednak od szybszego skanowania przekopiowanego katalogu drivers, bo skanowanie ogólne całego dysku przez Dr. Web Live CD idzie jak krew z nosa. Do skanowania tego katalogu można zainstalować w systemie, pod który podepniesz USB z drivers, mini wersję Kaspersky Virus Removal Tool. Kaspersky stąd, że na pewno wykrywa ZeroAccess.

 

Log z OTLPE na wymienionych warunkach też nadal aktualny.

 

 

 

.

[Kommodus]

Odnośnie Dr. Web LiveCD:

Zatrzymuje się przy

Load module: pata_qdi

czasem przechodzi przez ten krok ale zatrzymuje się na następnym

Load module: pata_radisys

Ostatnio też pojawiło się też:

Load module: pata_qdi

Floating point exception

Load module: pata_radisys

 

Odnośnie folderu drivers:

Skopiowałem na pendrive'a, przeskanowałem Kasperskym Virus Removal Tool 2010, nie wykrył żadnych zagrożeń, podaję raport w załączniku.

Podczas skanowania zainstalowany na sprawnym komputerze McAfee wykrył na tym przenośnym dysku trojana B.BAT (001.jpg) - nie wiem, czy ma to coś wspólnego z przenoszeniem plików między tymi komputerami?

 

Mam przejść do...?

Dodatkowo, zrób w OTLPE skan dostosowany na następujących warunkach: (...)

Kaspersky VRT.txt

[picasso]

Mam przejść do...?

 

Tak. I jeszcze proszę o spojrzenie spod OTLPE czy jest plik C:\ComboFix.txt (lub kopia logów w C:\Qoobox), gdyż nie otrzymałam danych co tak naprawdę robił ComboFix na samym początku. Być może tych logów nie ma, ale sprawdź na wszelki wypadek.

 

 

.

[Kommodus]

Podaję loga z OTLPE po wklejeniu tych instrukcji.

OTL.txt

 

Powinienem się przyznać, że ComboFixa włączyłem trochę wcześniej, ale musiałem gdzieś wyjść i go wyłączyłem. Wtedy na niebieskim ekranie pojawiały się komunikaty "Odmowa dostępu".

Po drugim włączeniu przez wszystkie etapy Combofix już przeszedł normalnie i pojawiło się wykryte zagrożenie ZeroAccess, ale po resecie nie reagował.

Załączam jeszcze parę screenów z folderu Qoobox/Quarantine - część z plików pojawiła się tam przy pierwszym uruchomieniu ComboFixa, część przy drugim. Załączam też plik catchme.log z tego folderu. Może coś się przyda.

catchme.txt

 

W Combofix.txt jest tylko info o uruchomieniu.

ComboFix.txt

Plik Combofix.txt pojawil sie w folderze CF1, z ktorego drugi raz uruchamialem Combofixa. Pojawilo sie w nim sporo plikow, daje przyklad na screenie.

 

[picasso]

Wg tego co widać w kwarantannie ComboFix zostały usunięte konfiguracyjne elementy rootkita ($NtUninstallKB48038$ i zawartość w assembly). Wg spisu w OTLPE widać, że coś się stało z tym sterownikiem klawiatur i myszy (opis to bełkot, nie ma sygnatury Microsoftu):

 

[2004/08/04 08:00:00 | 000,053,504 | ---- | M] (V x zityf owb x) MD5=EF54113AACB377044B2271A4B37AA72C -- C:\Windows\system32\drivers\i8042prt.sys

 

Źle coś poprzednio się przyjrzałam, w pierwszym logu z OTLPE to już było widać, nie zauważyłam tego. Będziemy zamieniać ten sterownik oraz plik związany z Winsock.

 

1. Pobierz świeżą kopię plików (zgodne z XP SP2, jak przedstawia się Twój system): KLIK. Na pendrive przenieś na dysk C poszkodowanego systemu umieszczając je w katalogu C:\Pliki, gdyż ten folder będzie w skrypcie.

 

2. Z poziomu OTLPE uruchom OTL i w oknie Custom Scans/Fixes wklej:

 

:Files
C:\Windows\system32\drivers\i8042prt.sys|C:\Pliki\i8042prt.sys /replace
C:\Windows\system32\dllcache\i8042prt.sys|C:\Pliki\i8042prt.sys /replace
C:\Windows\system32\mswsock.dll|C:\Pliki\mswsock.dll /replace
C:\Windows\system32\dllcache\mswsock.dll|C:\Pliki\mswsock.dll /replace
C:\Windows\system32\drivers\klif.cab
C:\Documents and Settings\Trzy\Dane aplikacji\f-secure
C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software
C:\Documents and Settings\All Users\Dane aplikacji\ESET
C:\Documents and Settings\All Users\Dane aplikacji\F-Secure
 
:OTL
DRV - File not found [Kernel | On_Demand] --  -- (F-Secure Standalone Minifilter)
DRV - File not found [Kernel | On_Demand] --  -- (dd17994e)
O4 - HKLM..\Run: [combofix]  File not found
O4 - HKU\B_ON_C..\Run: [userinit]  File not found
O4 - HKLM..\RunOnce: [combofix]  File not found
O4 - HKLM..\RunOnceEx: [flags] Reg Error: Invalid data type. File not found
 
:Commands
[emptyflash]
[emptytemp]

 

Rozpocznij usuwanie przez Run Fix. Z akcji zostanie wygenerowany log, który pokażesz.

 

3. Próbuj startować do Windows. Jeśli się uda, od razu wdróż komendę resetowania Winsock: Start > Uruchom > cmd i wpisz netsh winsock reset.

 

4. Zrób nowe logi z OTL (nie zapomnij przestawić "Rejestr - skan dodatkowy" na "Użyj filtrowania") + GMER. Dołącz log z wynikami przetwarzania skryptu w punkcie 2.

 

 

Plik Combofix.txt pojawil sie w folderze CF1, z ktorego drugi raz uruchamialem Combofixa. Pojawilo sie w nim sporo plikow, daje przyklad na screenie.

 

To są składniki ComboFix. Obrazek niepotrzebny (nawet nie powinno się zdradzać co tworzy CF), usuwam.

 

 

 

.

[Kommodus]

OTL po fixie:

Copy of 08212011_012527.txt

 

 

3. Próbuj startować do Windows.

 

Myszka i klawiatura już działają . Wolę się jeszcze zapytać - po wpisaniu hasła pojawia się okno "Aktywacja produktu Windows":

Zanim będzie można wykonać logowanie, ta kopia systemu Windows musi być aktywowana w firmie Microsoft. Czy chcesz teraz aktywować system Windows? Tak/Nie

To normalne, że takie coś się pojawia?

 

Kiedy przez dwa dni nie miałem dostępu do internetu ani nie mogłem się zalogować do systemu, wchodziłem do konsoli odzyskiwania i użyłem polecenia bootcfg. Dodałem niepotrzebnie do listy jeszcze raz windows xp pod głupią nazwą, który teraz przy starcie systemu jest zaznaczony automatycznie. Jest możliwość usunięcia tego wpisu z listy? Czy to ma coś wspólnego z komunikatem, jaki pojawił mi się przy logowaniu? (teraz zaznaczyłem normalnego Windowsa)

 

Edit: Wychodzi na to, że nie mogę się zalogować.

Jeśli byłaby potrzebna płyta z Windowsem, to nie mam jej - system nie był instalowany przeze mnie.

[picasso]

Edit: Wychodzi na to, że nie mogę się zalogować.

 

Ale co to oznacza? Czy chodzi o to:

 

 

Wolę się jeszcze zapytać - po wpisaniu hasła pojawia się okno "Aktywacja produktu Windows":

Zanim będzie można wykonać logowanie, ta kopia systemu Windows musi być aktywowana w firmie Microsoft. Czy chcesz teraz aktywować system Windows? Tak/Nie

To normalne, że takie coś się pojawia?

 

Czy to jest komunikat, który widzisz przy próbie logowania? Co się dzieje, gdy próbujesz aktywować Windows?

 

 

.

[Kommodus]

Gdy kliknę w którekolwiek z kont, pojawia się z początku napis "ładowanie ustawień osobistych", a po chwili komunikat

Zanim będzie można wykonać logowanie, ta kopia systemu Windows musi być aktywowana w firmie Microsoft. Czy chcesz teraz aktywować system Windows?

Gdy kliknę na "Nie", wylogowuje mnie

 

Gdy kliknę na "Tak", przechodzę do okna takiego jak tutaj:

http://files.myopera.com/Pavel84/blog/sphack4.jpg

[picasso]

Gdy kliknę w którekolwiek z kont, pojawia się z początku napis "ładowanie ustawień osobistych", a po chwili komunikat

 

Jeśli taki komunikat braku aktywacji się pojawia, normalne logowanie do Windows nie jest możliwe, dopóki system nie zostanie zaktywowany. Pytaniem jest czy Windows był zaktywowany przed zainfekowaniem, czy "odaktywował" się w czasie infekcji?

 

 

Gdy kliknę na "Tak", przechodzę do okna takiego jak tutaj

 

Czy sprawdzałeś opcję numer 1 i aktywację przez internet?

 

 

Kiedy przez dwa dni nie miałem dostępu do internetu ani nie mogłem się zalogować do systemu, wchodziłem do konsoli odzyskiwania i użyłem polecenia bootcfg. Dodałem niepotrzebnie do listy jeszcze raz windows xp pod głupią nazwą, który teraz przy starcie systemu jest zaznaczony automatycznie. Jest możliwość usunięcia tego wpisu z listy? Czy to ma coś wspólnego z komunikatem, jaki pojawił mi się przy logowaniu? (teraz zaznaczyłem normalnego Windowsa)

 

To nie powinno mieć związku. Modyfikowałeś plik startowy a nie plik związany z aktywacją. Wpis dodatkowego systemu można usunąć edytując plik ręcznie. Z poziomu OTLPE wystarczy w Notatniku otworzyć plik C:\boot.ini i z sekcji [operating systems] usunąć tę dodatkową linijkę.

 

 

 

.

[Kommodus]

Już jestem zalogowany .

 

Po zalogowaniu się do głównego konta administratora pojawił się kończący swoje działanie ComboFix. Podaję wygenerowanego loga:

ComboFix log.txt

 

Rozumiem, że teraz powinienem przejsc do...?

 

3. Próbuj startować do Windows. Jeśli się uda, od razu wdróż komendę resetowania Winsock: Start > Uruchom > cmd i wpisz netsh winsock reset.

4. Zrób nowe logi z OTL (nie zapomnij przestawić "Rejestr - skan dodatkowy" na "Użyj filtrowania") + GMER.

 

Odnosnie OTL:

Czyli zostawic zaznaczone wszedzie "Użyj filtrowania", tak jak jest automatycznie? Czy ustawic wszystko tak jak jest w tym temacie

https://www.fixitpc.pl/topic/61-diagnostyka-ogolne-raporty-systemowe/#1

[picasso]

Po zalogowaniu się do głównego konta administratora pojawił się kończący swoje działanie ComboFix. Podaję wygenerowanego loga

 

Tę treść już znamy z obrazków z Qoobox + logów OTL.

 

 

Rozumiem, że teraz powinienem przejsc do...?

 

Tak.

 

 

Czyli zostawic zaznaczone wszedzie "Użyj filtrowania", tak jak jest automatycznie?

 

OTL uruchomiony więcej niż raz przestawia opcję "Rejestr - skan dodatkowy" na "Brak" i to należy ręcznie przestawić na "Użyj filtrowania". Dlatego to punktuję.

 

 

 

 

.

[Kommodus]

Proszę bardzo, logi z OTL i GMERa

 

OTL.Txt

Extras.Txt

GMER log.txt

[picasso]

Wygląda na to, że wyszliśmy z infekcji. Winsock został zresetowany prawidłowo i nie widzę już bezpośrednich oznak rootkita ZeroAcess. GMER wprawdzie wylicza jeszcze ślady rootkita Mebroot, ale są to najwyraźniej nieczynne ślady (zawsze pozostają po usunięciu rootkita z MBR / nadpisaniu MBR)

 

1. Odinstaluj w prawidłowy sposób ComboFix (co także czyści foldery Przywracania systemu), w Start > Uruchom > wklejając komendę: C:\cf\CF1.exe /uninstall

 

2. W OTL uruchom Sprzątanie.

 

3. Przeskanuj system przez Kaspersky Virus Removal Tool i przedstaw raport (interesują mnie tylko wyniki infekcyjne, inne zwroty typu OK / Packed / Archive nie).

 

 

 

.

[Kommodus]

Przeskanowałem Kasperskym, wyszło sporo wyników. Przy pierwszym wykrytym zagrożeniu kliknąłem "disinfect", później zaczęły się pojawiać kolejne, których już nie ruszałem, bo wszystkie wydawały się wskazywać na procesy, które są zawsze włączone w Menedżerze zadań, a nie chciałem przez przypadek usunąć czegoś, czego nie powinienem.

Detected threats.txt