Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Chyba mam rootkita Zeroaccess - system uszkodzony

patkoz

Przez patkoz
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

patkoz

patkoz

Opublikowano
Opublikowano

link opis całego problemu z innego forum otórz na innym forum podczas usuwania personal shield pro aktowowanłem rootkita po wykonaniu błędnych poleceń teraz komputer działa tylko w trybie awaryjnym i pisze od kolegi więc prosze o wybaczenie za to że dałem link a nie wklejałem linków tylko link do tamtego tematu bo nie mam możliwości szybkiego pisania

 

 

otl http://wklej.org/id/588022/

extras http://wklej.org/id/588023/

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
Landuss

Landuss

Opublikowano
Opublikowano

Pomoc na tamtym forum, do którego dałeś link była niewłaściwie prowadzona. Wpisów O10 nie usuwa się za pomocą...OTL - co więcej w ogóle ich się nie rusza bo to nic nie pomoże. Jak infekcja zostanie wyleczona to wpisy same znikną. Wspominasz, że system działa tylko w trybie awaryjnym, ale pamiętaj że jest coś takiego jak "Tryb awaryjny z obsługą sieci" gdzie internet powinien działać. Z trybu awaryjnego wykonaj poniższe zalecenia:

 

1. Użyj narzędzia Webroot AntiZeroAccess i zaprezentuj wynikowy log AntiZeroAccess_Log.txt

 

2. Zaraz po nim uruchom zgodnie z wytycznymi ComboFix i zaprezentuj raport.

Odnośnik do komentarza
patkoz

patkoz

Opublikowano
  • Autor
Opublikowano

czytałem inny temat na tym forum (fixitpc) i postępując według wskazówek udało mi sie doprowadzić komputer do stanu używalności

scan combofixem+ podmiana explorer.exe teraz tylko przydało by sie doprowadzić uszkodzony system do porządku bo zdaje mi sie że ten rootkit robi niezły gnój w komputerze

 

tryb awaryjny z obsługą sieci chciałem załączyć ale net sie też uwalił dopiero po skanie combofixem i tej podmianie odpaliłem winsock.fix i net powrócił (komputer już działa w normalnym trybie

 

acha użyłem combofixa bez wyraźnego polecenia tylko dlatego że nie wierzyłem już w żadną możliwość poprawy :rolleyes:

 

log z combofixa

log webroota

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Wszystkie operacje prowadzone w nieprawidłowym środowisku przy czynnej emulacji napędów wirtualnych:

 

R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [2008-09-14 691696]
R1 dtsoftbus01;DAEMON Tools Virtual Bus Driver;c:\windows\system32\drivers\dtsoftbus01.sys [2011-04-10 218688]

To też prawdopodobnie jest powodem dla odczytów "error: Read Urządzenie podłączone do komputera nie działa" w ComboFix i błędów działania AntiZeroAccess. Rozpocznij od deinstalacji wszystkich programów emulacyjnych, następnie usunięcia sterownika SPTD za pomocą narzędzia SPTDinst + restart systemu: KLIK. I dopiero po oczyszczeniu sytuacji:

 

 

czytałem inny temat na tym forum (fixitpc) i postępując według wskazówek udało mi sie doprowadzić komputer do stanu używalności

 

Nie należy się wzorować na innych tematach, każdy temat wykazuje cechy indywidualne. Zaś plik explorer.exe wcale nie został podmieniony, gdyż podany tu log z ComboFix nadal pokazuje brak sygnatury w obu kopiach:

 

------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[-] 2008-04-14 . C791ED9EAC5E76D9525E157B1D7A599A . 1035264 . . [6.00.2900.5512] . . c:\windows\explorer.exe
[-] 2008-04-14 . C791ED9EAC5E76D9525E157B1D7A599A . 1035264 . . [6.00.2900.5512] . . c:\windows\system32\dllcache\explorer.exe

Również, są inne ślady aktywności infekcji. Czyli powtórka, trzymając się znajomej Ci już konwencji:

 

1. Pobierasz plik explorer.exe KLIK i umieszczasz w katalogu C:\Pliki.

 

2. Uruchamiasz CFSCript.txt o zawartości:

 

File::
c:\windows\system32\oojysohi.dll
 
Folder::
c:\windows\TEMP
 
FCopy::
C:\Pliki\explorer.exe | c:\windows\system32\dllcache\explorer.exe
C:\Pliki\explorer.exe | c:\windows\explorer.exe

3. Do oceny: log wynikowy z ComboFix, nowy odczyt z AntiZeroAccess i nowy log z OTL.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Proszę używaj opcję Edytuj, jeśli nikt jeszcze nie odpisał pid Twoim postem, zamiast tworzyć X postów własnych pod rząd. Łączę.

 

 

boje sie robić skan otl żeby znów nie uwalić kompa

 

Boisz się robić log z OTL a nie boisz się stosować ComboFix? :lol: No proszę Cię, co Ty mówisz. OTL robi tylko skanowanie "do odczytu" (nie jesteś proszony o żadne uruchamianie skryptów OTL! tylko skanowanie wg wytycznych w przyklejonym: KLIK), to ComboFix tworzy modyfikacje.

 

 

Czy na pewno ładowałeś pełny skrypt do ComboFix? Nie ma żadnych znaków, że zastosowano komendę podmiany pliku explorer.exe i plik nadal nie podmieniony:

 

------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[-] 2008-04-14 . C791ED9EAC5E76D9525E157B1D7A599A . 1035264 . . [6.00.2900.5512] . . c:\windows\explorer.exe
[-] 2008-04-14 . C791ED9EAC5E76D9525E157B1D7A599A . 1035264 . . [6.00.2900.5512] . . c:\windows\system32\dllcache\explorer.exe

 

 

1. To ma zostać powtórzone:

 

1. Pobierasz plik explorer.exe KLIK i umieszczasz w katalogu C:\Pliki.

 

2. Uruchamiasz CFSCript.txt o zawartości:

 

FCopy::
C:\Pliki\explorer.exe | c:\windows\system32\dllcache\explorer.exe
C:\Pliki\explorer.exe | c:\windows\explorer.exe

 

2. Do oceny: log wynikowy z ComboFix, zaległy OTL oraz także log z GMER.

 

 

 

 

 

.

Odnośnik do komentarza
patkoz

patkoz

Opublikowano
  • Autor
Opublikowano

to wkońcu

FCopy::

C:\Pliki\explorer.exe | c:\windows\system32\dllcache\explorer.exe

C:\Pliki\explorer.exe | c:\windows\explorer.exe

 

czy

File::

c:\windows\system32\oojysohi.dll

 

Folder::

c:\windows\TEMP

 

FCopy::

C:\Pliki\explorer.exe | c:\windows\system32\dllcache\explorer.exe

C:\Pliki\explorer.exe | c:\windows\explorer.exe

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

patkoz logicznie myśl. Skoro podaję drugi skrypt o innej zawartości, to znaczy że jest on już dostosowany do bieżącej sytuacji. Skrypt jest krótszy, ponieważ pierwsza połowa skryptu (kasowanie pliku oojysohi.dll i folderu Temp) została wykonana i oczywiście nie ma żadnego sensu próbować usuwać rzeczy już usunięte. Natomiast w ogóle nie wykonała się druga część z komendą zamiany pliku, dlatego nowy skrypt wygląda tak a nie inaczej.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Mamy tu głębszy problem. Po pierwsze: log z GMER pokazuje kolejnego rootkita TDL4 w MBR dysku (co wyjaśnia komunikaty błędów cytowane wcześniej). Po drugie: ComboFix nie potrafi podmienić pliku explorer.exe, plik jest nadal w formie naruszonej, a możliwa przyczyna dla tego zachowania to obecność nadrzędnego w działaniu rootkita.

 

1. Uruchom Kaspersky TDSSKiller i dla wyniku z TDL4 zastosuj akcję Cure. Zresetuj system.

 

2. Ponów w ComboFix CFScript.txt o zawartości (zakładam, że w C:\Pliki explorer.exe istnieje):

 

FCopy::
C:\Pliki\explorer.exe | c:\windows\system32\dllcache\explorer.exe
C:\Pliki\explorer.exe | c:\windows\explorer.exe

3. Przez SHIFT+DEL skasuj z dysku folder C:\_OTL (kwarantanna OTL).

 

4. Wygeneruj nowe logi z TDSSKiller oraz GMER. Przedstaw też oczywiście wyniki z pracy ComboFix.

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Nie jest dobrze, plik nie tylko nie podmieniony, ale i są generowane na nowo obiekty infekcji sugerujące chyba wznowioną aktywność ZeroAccess (powstanie sterownika 17611331, rekonstrukcja pliku oojysohi.dll, odświeżenie sterownika systemowego redbook.sys o niewiadomym podłożu). O tyle widzę zmianę, że sekcja MBR nie pokazuje już hooków...

 

Nie podałeś niezbędnych tu w tej sytuacji aktualnych logów z TDSSKiller oraz GMER.

 

 

C:\_OTL nie da sie usunąć pisze : nie można usunąć lpt1.usbfix: nie można odnaleźć określonego pliku

 

To nieszkodliwy obiekt od USBFix i pestka. W Start > Uruchom > cmd wpisz komendę:

 

RD /S /Q \\?\C:\_OTL

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

patkoz nie podbijaj tematu. Jeśli nie ma odpowiedzi, oznacza to że jestem nieobecna / nie mam czasu, by odpowiedzieć. Posty łączę.

 

Niby GMER i TDSSKiller nie widzą już nic. Jeszcze zadam pytanie (bo nie ma raportu z tego co przed leczeniem widział TDSSkiller): co on właściwie wykrył? Podejmij się ostatniej próby korekty sytuacji za pomocą ComboFix. Jeśli to zawiedzie, otrzymasz instrukcje skanowania z poziomu zewnętrznego środowiska.

 

1. Zastartuj do Trybu awaryjnego Windows.

 

2. Przepuść przez ComboFix plik CFScript.txt o zawartości:

 

File::
c:\windows\system32\oojysohi.dll
 
Driver::
17611331
 
FCopy::
C:\Pliki\explorer.exe | c:\windows\system32\dllcache\explorer.exe
C:\Pliki\explorer.exe | c:\windows\explorer.exe

3. Przedstaw wynikowy log z ComboFix.

 

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Tak. Instrukcje:

 

1. Pobierz kreator SARDU (interfejs narzędzia wygląda teraz ciut inaczej niż w opisie).

2. W SARDU wskaż plik ISO Kasperskiego. Program powinien wykryć i automatycznie zaznaczyć ten projekt (zweryfikuj w karcie Antivirus). Wybierasz jako formę docelową bootowalny USB.

3. W BIOS upewnij się, że USB może bootować i jest pierwszym urządzeniem w kolejności.

4. Podpinasz bootowalny USB i startujesz komputer.

 

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Mówiłam: proszę Edytuj posty. Łączę ....

 

 

a można to zrobić kaspersky usb rescue disc maker? bo sie wydaje znacznie prostszy w obsłudze

 

Może być i to. Tylko to wcale nie jest prostsze w obsłudze. ;) Nie wiem co Ty widzisz trudnego w instrukcji przeze mnie podanej: pobrany plik wskazać w SARDU i wybrać opcję bootowalnego USB. Stworzyć bootowalny USB jedną z podanych metod to akurat najmniejszy problem. Nie jest natomiast wiadome czy Twój BIOS obsługuje bootowanie z USB, bo jeśli nie, nie przeskanujesz systemu w sposób o który mi chodzi ....

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...