Prawdopodobnie rootkit ZeroAccess

[ks2a]

log z otl http://wklej.org/id/589264/

extras : http://wklej.org/id/589265/

log z gmer niestety tylko ten pierwszy ponieważ przerywa skan bez żadnego komunikatu

http://wklej.org/id/589266/

tutaj zatrzymałem skan tuż przed crashem

http://wklej.org/id/589267/

przed wykonaniem skanów użłem combofixa oto log z niego

http://wklej.org/id/589271/

poza tym dorzucam foto z menadzera zadań

zapomniałem dodać ze po infekcji standardowa zapora systemu win xp ponownie zaczeła się mnie pytać czy ma blokować programy które używam codziennie np firefox , skape.

[picasso]

W ComboFix widać ów ukryty strumień, który pokazujesz na obrazku Menedżera zadań. W OTL (uruchomiony po ComboFix) nadal jest znak czynności rootkita ZeroAccess (załadowany moduł fałszywego mswsock.dll):

 

========== Modules (No Company Name) ==========
 
MOD - [2010-01-17 22:37:16 | 000,246,784 | ---- | M] () -- \\?\globalroot\systemroot\system32\mswsock.dll

 

Dane z rootkit detekcji są niekompletne. Log z GMER tworzony w złym środowisku, podczas czynnej emulacji sterowników napędów wirtualnych:

 

DRV - [2005-02-24 20:36:33 | 000,436,792 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd)

Proszę wykonać ogłoszenie i odinstalować sterownik narzędziem SPTDinst + restart systemu: KLIK. Po tym zaś wytworzyć nowy log z GMER oraz AntiZeroAccess.

 

 

 

 

.

[ks2a]

Niestety nawet po użyciu SPTDinst + GMER nadal przerywa dzialanie podczas drugiego skanu użyłem AntiZeroAccess niestety nie usunoł wirusa co gorsza wirus zablokowal mi firefoxa i nie jestem wstanie wkleic loga po uzyciu AntiZeroAccess mogłbym go przeniesc na inny komputer tylko zanim to zrobie chciałbym sę spytać czy istnieje ryzyko infekcji kolejnego komputera poprzez pendriva , ewentualnie jakiej rady propozycje co do zabezpieczenia drugiego komputera przed infekcja beda bardzo mile widziane.

[picasso]

niestety nawet po użyciu SPTDinst + GMER nadal przerywa dzialanie podczas drugiego skanu użyłem AntiZeroAccess niestety nie usunoł wirusa

 

W takiej sytuacji zalecam od razu skanowanie z poziomu środowiska zewnętrznego.

 

1. Pobierz i wypal płytę Kaspersky Rescue Disk. Zastartuj z niej i przeskanuj zarażony system. Zapisz raport ze skanera na dysku twardym (nie pomyl się i nie zapisuj do nietrwałej "pamięci płyty").

 

2. Po ukończeniu skanowania Kasperskym zaloguj się do Windows, uruchom zgodnie z wytycznymi ComboFix.

 

3. Przedstaw raporty: ze skanowania Kasperskym oraz z ComboFix.

 

 

wirus zablokowal mi firefoxa i nie jestem wstanie wkleic loga po uzyciu AntiZeroAccess mogłbym go przeniesc na inny komputer tylko zanim to zrobie chciałbym sę spytać czy istnieje ryzyko infekcji kolejnego komputera poprzez pendriva

 

Przenoszenie genów via USB nie przy tej infekcji. Co do niemożności pokazania logów: a co z przeglądarką systemową Internet Explorer?

 

 

 

 

.

[ks2a]

Niestety IE już dawno usunołem z systemu dopiero czytając to forum zrozumiałem , źle zrobiłem .

Jest możliwość wykonania tego skanu nie z płyty a z pendriva?

Przepraszam nie zajrzałem do tematu tylko od razu się spytałem znalazłem odpowiedz wiec pytanie nieaktualne.

[picasso]

Niestety IE już dawno usunołem z systemu dopiero czytając to forum zrozumiałem , źle zrobiłem

 

Nie jest możliwe usunięcie IE z systemu (składnik silnie zintegrowany). Nadal jest u Ciebie, co przedstawia log z OTL:

 

Internet Explorer (Version = 8.0.6001.18702)

To co prawdopodobnie wykonałeś to rzekoma "deinstalacja" IE w Dodaj / Usuń składniki systemu. Rzekoma, ponieważ to tylko ukrywa skróty IE w systemie, ale to nie usuwa IE.

 

Przepraszam nie zajrzałem do tematu tylko od razu się spytałem znalazłem odpowiedz wiec pytanie nieaktualne.

 

Odpowiedź na temat?

 

 

 

.

[ks2a]

Faktycznie dopiero po twoim poscie sprawdzłem i faktycznie jest .Udalo mi sie ponownie sciagnac i zainstalowac firefoxa dlatego wklejam logi z combofixa

http://wklej.org/id/589653/

oraz koncowy log z antizeroaccess

http://wklej.org/id/589654/

oraz po uruchomieniu go drugi raz

http://wklej.org/id/589655/

 

Odpowiedź na temat?

 

na to czy możliwe jest wykonanie skanu przy uzyciu Kaspersky Rescue Disk z pendrive . Niestety podczas próby stworzenia takiego pendriva wyskakuje mi błąd :

 

Making your USB Drive Bootable

Making RescueUsb.iso

kav_rescue_2010.iso

!! Bootsector Missing !!

Press any key to continue . . .

 

wiec nie wykonalem skanu poniewaz aktualnie nie mam żandej pustej płyty cd/dvd

[picasso]

Oceniając logi: wygląda na to, że wszystkie aktywne składniki infekcji zostały usunięte. Nie widzę w logach już tego strumienia, a raport z AntiZeroAccess wskazuje obecnie na brak zainfekowanych sterowników. Teraz przeskanuj system przez Kaspersky Virus Removal Tool i przedstaw wynikowy raport (tylko wyniki infekcyjne mnie interesują, OK / Archive / Packed nie).

[ks2a]

Wykonałem skan Kaspersky Virus Removal Tool co prawda nie przeskanowałem do końca 2 ostatnich dysków bo już strasznie późno, a skan trwał juz prawie 5h i dotarł do 52% , jutro wykonam drugi skan uzypełniający tych 2 dysków ,wklejam wszystkie pliki które były zainfekowane

http://wklej.org/id/589762/

czekam na dalsze instrukcje co do czyszczenia systemu i zabezpieczenia na przyszłość.

Dokończyłem właśnie skan pozostałych dwóch dysków kasperski nic w nich nie znalazł

Edytowane 5 Września 2011 przez ks2a

[picasso]

Skaner nie wykrył nic co jest czynne: Qoobox to kwarantanna ComboFix a System Volume Information to katalog Przywracania systemu. Oba te miejsca są dla mnie wiadome i planowane tu do czyszczenia po ukończeniu głównego usuwania infekcji. W związku z tym wygląda, że infekcja podstawowa została usunięta. Na wszelki wypadek zresetuj system i ponownie uruchom AntiZeroAccess. Jeśli na pewno nic nie zostanie wykryte, możemy przejść do czyszczenia mniejszych wagą wpisów (odpadki po infekcji, wpisy puste) oraz korekty braku plików Windows:

 

O20 - Winlogon\Notify\cryptnet: DllName - cryptnet.dll -  File not found
O29 - HKLM SecurityProviders - (msnsspc.dll) -  File not found
 
c:\windows\system32\vbscript.dll  - brak elementu

Mam też pytanie czy to nie jest przypadkiem jakiś sztuczny modyfikowany Windows? Otóż wg loga z OTL Twój system przedstawia się jako XP SP4, a coś takiego jak SP4 nie istnieje dla XP, najwyższy dostępny oficjalny Service pack to trójka.

 

Windows XP Professional Edition Dodatek Service Pack 4 (Version = 5.1.2600) - Type = NTWorkstation

Pytanie też stąd, że są i inne braki czy modyfikacje (pusta usługa Telnet i UPS, modyfikowane pliki Ochrony systemu plików i TCP/IP):

 

SRV - File not found [unknown | Stopped] --  -- (UPS)
 
[HKEY_LOCAL_MACHINE\System\ControlSet003\Services\TlntSvr]
"ImagePath"=""
 
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[7] 2010-01-17 . AD978A1B783B5719720CFF204B666C8E . 361600 . . [5.1.2600.5625] . . c:\windows\ERDNT\cache\tcpip.sys
[7] 2010-01-17 . AD978A1B783B5719720CFF204B666C8E . 361600 . . [5.1.2600.5625] . . c:\windows\system32\dllcache\tcpip.sys
[-] 2010-01-17 . A5BC817BB84DCB9E71719FF868144124 . 361600 . . [5.1.2600.5625] . . c:\windows\system32\drivers\tcpip.sys
.
[-] 2010-01-17 . C8BDAD4065118558B3DC360FC96D81DB . 1571840 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll

I trudno mi ocenić czego to jest wynik i czy należy to naprawiać:

 

 

---

1. Pobierz brakujące pliki KLIK i umieść w katalogu C:\Pliki (tę lokalizację zastosuję w skrypcie).

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\WINDOWS\System32\dllcache\cryptnet.dll|C:\Pliki\cryptnet.dll /replace
C:\WINDOWS\System32\dllcache\msnsspc.dll|C:\Pliki\msnsspc.dll /replace
C:\WINDOWS\System32\dllcache\vbscript.dll|C:\Pliki\vbscript.dll /replace
C:\WINDOWS\System32\cryptnet.dll|C:\Pliki\cryptnet.dll /replace
C:\WINDOWS\System32\msnsspc.dll|C:\Pliki\msnsspc.dll /replace
C:\WINDOWS\System32\vbscript.dll|C:\Pliki\vbscript.dll /replace
C:\WINDOWS\System32\c_93245.nl_
C:\WINDOWS\System32\mpezcsfa.dll
C:\Documents and Settings\GDGG\Ustawienia lokalne\Dane aplikacji\operaprefs.ini
 
:OTL
FF - prefs.js..browser.search.defaultthis.engineName: "Bigpoint Games PL Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2843462&SearchSource=3&q={searchTerms}"
FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2843462&SearchSource=2&q="
FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Program Files\Google\Google Earth\plugin\npgeplugin.dll File not found
FF - HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin: C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll File not found
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.53\npGoogleUpdate3.dll File not found
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=8:  File not found
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.53\npGoogleUpdate3.dll File not found
 
:Commands
[clearallrestorepoints]
[emptyflash]
[emptytemp]

Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami.

 

3. Wygeneruj nowy log z OTL opcją Skanuj do oceny. Dołącz log z wyynikami czyszczenia z punktu 2.

 

 

 

 

.

[ks2a]

Podczas czyszczenia otl nie mógł usunać jednego folderu bodajrze "47c" wklejam log który został wygenerowany po restarcie :

http://wklej.org/id/589946/

, co do tego service paka 4 to ściągnołem go z forum dvhkl lub pcworlda dokładnie nie pamiętam miał on zawierać latki powstałe po sp3 jeżeli coś z nim nie tak to zainstaluje ponownie sp3.

Przeskanowałem sobie jeszcze rejestr w poszukiwaniu pustych wpisów i CCliner znalazl nastepujace wpisy można je usunać

[picasso]

Zapomniałeś o tej części:

 

3. Wygeneruj nowy log z OTL opcją Skanuj do oceny.

 

 

co do tego service paka 4 to ściągnołem go z forum dvhkl lub pcworlda dokładnie nie pamiętam miał on zawierać latki powstałe po sp3 jeżeli coś z nim nie tak to zainstaluje ponownie sp3.

 

No tak, to wyjaśnia dlaczego stoi tu nieistniejące SP4, spreparowana paczka symulująca wyższy SP. Nie widzę sensu już tego odinstalowywać, choć na przyszłość raczej polecam tradycyjne odwiedziny Windows Update. Ta paczka jednak nadal nie wyjaśnia uszczerbków / modyfikacji w Windows - czy to na pewno tradycyjny XP a nie przez kogoś "poprawiany"?

 

 

Przeskanowałem sobie jeszcze rejestr w poszukiwaniu pustych wpisów i CCliner znalazl nastepujace wpisy można je usunać

 

Dwa pierwsze zapisy wyglądają na nieskojarzone z niczym rozszerzenia. Te 4 zapisy kierujące otwieranie przez iexplore.exe to zapewne skutek tego, że "deinstalowałeś IE" (o czym już mówiliśmy wcześniej). W zasadzie można usuwać te wszystkie wpisy, choć to nie przyniesie żadnych benefitów.

 

 

 

.

[ks2a]

Wklejam skan z otl

http://wklej.org/id/590360/

co do windowsa to ściagnołem xp ze zintegrownaym sp3 i do tego ta paczkę latek które byly dostępne po sp3

[picasso]

co do windowsa to ściagnołem xp ze zintegrownaym sp3

 

A co to był za Windows? Skoro pobierany skądś, to zapewne nie jest to oryginał, a oglądając jak system wygląda w logu, pchają się na usta wnioski, że był to także Windows zmodyfikowany.

 

---

Log z OTL potwierdza pomyślne przeprowadzenie operacji. Możemy przejść do czynności końcowych:

 

1. Odinstaluj w prawidłowy sposób ComboFix (to m.in. usunie Qoobox), w Start > Uruchom > wklejając komendę:

 

"C:\Documents and Settings\GDGG\Pulpit\ComboFix.exe" /uninstall

 

2. W OTL uruchom Sprzątanie, co zlikwiduje z dysku kwarantannę OTL i sam program jako taki.

 

3. Do aktualizacji następujące programy:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216018FF}" = Java™ 6 Update 18
"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.5 - Polish
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Gadu-Gadu" = Gadu-Gadu 7.7

- Starsze wersje odinstaluj zastępując najnowszymi, a wszystko rozpisane tutaj: INSTRUKCJE.

- Stare mało bezpieczne Gadu (brak szyfrowania), nie obsługujące na dodatek cech nowego protokołu GG10, można spokojnie zastąpić programem alternatywnym. W temacie Darmowe komunikatory są opisane liczące się na dziś alternatywy: AQQ, Kadu, WTW i Miranda. Z tego zestawu polecam przede wszystkim WTW: lekki i portable, nie ma reklam, obsługuje wszystkie ważne cechy GG10, potrafi zaimportować archiwum tu widzianego GG7.

 

4. System nie posiada aktualnie żadnych zabezpieczeń (brak antywirusa i pełnowartościowej zapory).

 

5. Na wszelki wypadek zmień wszystkie hasła logowania.

 

Potwierdź wykonanie wszystkich zadań oraz podsumuj kondycję systemu (czy coś jeszcze wymaga naprawy).

 

 

 

.

[ks2a]

Wcześniej posiadałem avasta w wersji darmowej , zastanawiam się teraz nad ponowną instalacja awasta lub comodo http://www.dobreprogramy.pl/Comodo-Internet-Security,Program,Windows,12952.html problem w tym , że większość antywirusów z aktywnym skanowaniem straszne "zamula" komputer , nie znalazłem żadnego który by nie powodował właśnie tego "zamulania" , dlatego też aktualnie nie mam zainstalowanego żadnego. Co do mankamentów moge jedynie narzekać na to iż po zalogowaniu i załadowaniu pulpitu muszę poczekać z 40 sec do 1min zanim windows załaduje wszystkie usługi i można uruchomić jakiś program lub przeglądarkę, chociaż to nie bardzo mi przeszkadza . Chętnie zainstaluje jakiegoś firewala i antywirusa z aktywnym skanowaniem lecz tak jak pisałem chciałbym takie programy które nie zwalniają drastycznie komputera.

[picasso]

Czy wykonałeś wszystkie polecenia (sprzątanie / aktualizacje / zmiana haseł)?

 

 

Wcześniej posiadałem avasta w wersji darmowej , zastanawiam się teraz nad ponowną instalacja awasta lub comodo http://www.dobreprog...dows,12952.html problem w tym , że większość antywirusów z aktywnym skanowaniem straszne "zamula" komputer , nie znalazłem żadnego który by nie powodował właśnie tego "zamulania" , dlatego też aktualnie nie mam zainstalowanego żadnego.

 

Zamula? Przy widzianej tu ilości RAM?

 

3,50 Gb Total Physical Memory | 3,07 Gb Available Physical Memory | 87,87% Memory free

Gorzej wyposażone XP hasają płynnie z wymienianymi. Wypróbowałabym tego Avasta ponownie. Możesz także rozważyć darmową kombinację: Panda Cloud Antivirus + PrivateFirewall.

 

 

Co do mankamentów moge jedynie narzekać na to iż po zalogowaniu i załadowaniu pulpitu muszę poczekać z 40 sec do 1min zanim windows załaduje wszystkie usługi i można uruchomić jakiś program lub przeglądarkę, chociaż to nie bardzo mi przeszkadza .

 

Prawdopodobna przyczyna to ten błąd z Twojego Dziennika zdarzeń:

 

Error - 2011-09-03 15:33:35 | Computer Name = GDTR-D84189F262 | Source = Service Control Manager | ID = 7022
Description = Usługa Usługa HP CUE DeviceDiscovery zawiesiła się podczas uruchamiania.

Usługa Hewlett-Packard się wiesza, a to ma efekty jakie opisujesz. Dla porównania temat: KLIK. Start > Uruchom > services.msc > dwuklik na usługę i Typ startowy ustaw na Wyłączony, zresetuj system.

 

 

 

 

 

.

[ks2a]

Zainstalowałem ponownie avasta czy do niego również trzeba instalować oddzielnie innego firewala (PrivateFirewall )?

Co do zatrzymania tej usługi od HP - faktycznie pomogło.

Chciałbym również podziękować Ci za poświecenie mi swojego czasu oraz za wszelką pomoc.

[picasso]

Zainstalowałem ponownie avasta czy do niego również trzeba instalować oddzielnie innego firewala (PrivateFirewall )?

 

Avast nie pełni roli pełnowartościowej zapory, toteż kompan PrivateFirewall na miejscu. Jednakże należy zaznaczyć, że pewne funkcje nieco się krzyżują (osłona behawioralna Avast versus HIPS w PrivateFirewall), dlatego w takim tandemie należy uregulować opcje w rezydentach, by uniknąć konfliktów.

 

 

.

[ks2a]

W takim razie które z osłon w czasie rzeczywistym należy wyłączyć avascie aby nie dochodziło do konfilktów , a może wystarczy dodać firewala jako wyjątek aby nie było konfliktów ?

[picasso]

Zdeaktywuj Monitorowanie zachowań (HIPS w PrivateFirewall jest bardziej rozbudowany) oraz Osłonę sieciową.

[ks2a]

Mimo odinstalowania avasta i próby instalacji firewala jako pierwszego wyskakuje mi błąd( pobierałem instalke 3 razy bo myślałem ze to może być błąd archiwum podczas pobierania ).

Wydaje mi się że będę musiał zainstalować innego firewala.

[picasso]

No nie wiem czy to jest błąd indywidualny tego firewalla czy ogólny problem w systemie. Sprawdź czy masz na dysku plik C:\Windows\system32\capicom.dll. Jeśli nie, plik do pobrania KLIK i wznów instalację.

[ks2a]

Mimo wklejenia tego pliku dll do folderu system 32 nadal występuje ten sam błąd podczas instalacji firewalla.

[picasso]

Czy ten plik pozostaje w katalogu system32 po wystąpieniu błędu? Czy ręczna derejestracja pliku w Start > Uruchom > regsvr32 /u C:\Windows\system32\capicom.dll również zwraca błąd?

[ks2a]

Tak po wklejeniu tego pliku do katalogu system 32 nadal pozostaje po bledzie przy instalacji , natomiast firewall instaluje sie do konca niestety z tym błędem nie chce się uruchomić , po dezinstalacji również plik zostaje w folderze system 32. Po wpisaniu komendy którą podałaś wyskakuje takie okienko.

Dodam ,że teraz ten firewal jest odinstalowany( w momencie wpisywania tej komendy ).