Robertsson Opublikowano 29 Września 2011 Zgłoś Udostępnij Opublikowano 29 Września 2011 Dzieci ściągnęły mi jakiś plik - najprawdopodobniej ze stron z grami. AVG (9 - z aktualną bazą wirusów) zaalarmował że to wirus - ale nie zapamiętały jaki i najprawdopodobniej kliknęły - Usuń. Po uruchomieniu Windows XP następnego dnia - Windows nie uruchamiał się restartując się przy uruchamianiu w nieskończoność - migając niebieskim ekranem. Komunikat informował że uruchomienie windows może doprowadzić do uszkodzenia sprzętu i żeby odinstalować aplikacje ostatnio zainstalowane jak i elementy sprzętowe. Wruchomienie w trynie awaryjnym wykazywało obcy proces: 1116261118:20281277.exe Nie do usunięcia z poziomu windows. Taskkill /T nie usuwa Taskkill /F - raportuje usunięcie - ale proces nadal tam siedzi (tasklist go pokazuje) W rejestrze z wyżej wymienionymi numerkami pojawiły się wpisy zatytułowane fecca82, albo OBSIDIAN ANTI Malaware podczas pracy się wywala i poniwnie nie mozna go uruchomić - "Brak dostępu" Inne programy Anti trojan - to samo. Co robić poza formatem dysków. OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 29 Września 2011 Zgłoś Udostępnij Opublikowano 29 Września 2011 Niestety, sądząc po procesie ze strumieniem ADS oraz objawach z zerowaniem uprawnień aplikacji próbujących skanować, mamy tu ciężką infekcję rootkit ZeroAccess: ========== Processes (SafeList) ========== PRC - File not found -- D:\WINDOWS\1116261118:20281277.exe Poza tym, są inne elementy infekcyjne.... 1. Na początek wyeliminuj ofensywne sterowniki emulacji napędów wirtualnych: DRV - [2004-08-22 16:31:48 | 000,005,248 | ---- | M] ( ) [Kernel | Boot | Running] -- D:\WINDOWS\System32\Drivers\d347prt.sys -- (d347prt)DRV - [2004-08-22 16:31:10 | 000,155,136 | ---- | M] ( ) [Kernel | Boot | Running] -- D:\WINDOWS\system32\DRIVERS\d347bus.sys -- (d347bus) To znaczy: odinstaluj DAEMON Tools + restart. 2. Pobierz narzędzia: DummyCreator + ComboFix. 3. Uruchom DummyCreator. W oknie wklej: D:\WINDOWS\1116261118 Klik w Create. Z tego działania powstanie log, który potem zaprezentujesz w punkcie 5. 4. Ważne: zresetuj system. 5. Uruchom ComboFix. Jeśli się uda, przedstaw raport który utworzył. . Odnośnik do komentarza
Robertsson Opublikowano 30 Września 2011 Autor Zgłoś Udostępnij Opublikowano 30 Września 2011 Zrobiłem wg. instrukcji - ale nie do końca było tak jak chciał combofix. Po informacji ze sie zrestartuje - zastygł z czarnym ekranem na kilka godzin. Więc zresetowałem go manualnie. Po restarcie - rozpoczął dasze działania - na koniec tworząc załączony plik. Stan teraz - nie działa AVG (ochrona rezydentna i skanowanie email) Rzeczy ktore poblokowal wirus - jak MAlaware - tez nie dzialaja. Czy juz go nie ma? Ps. Daemon nie dawal sie odinstalowac - dopiero po zakonczeniu dzialan combofixa w normalnym trybie windows się odinstalowal. ComboFix.txt Odnośnik do komentarza
picasso Opublikowano 30 Września 2011 Zgłoś Udostępnij Opublikowano 30 Września 2011 Ps. Daemon nie dawal sie odinstalowac - dopiero po zakonczeniu dzialan combofixa w normalnym trybie windows się odinstalowal. Widzę to, sterowniki DAEMON Tools były czynne podczas całej operacji: R0 d347bus;d347bus;d:\windows\system32\drivers\d347bus.sys [2010-07-06 155136]R0 d347prt;d347prt;d:\windows\system32\drivers\d347prt.sys [2010-07-06 5248] Zrobiłem wg. instrukcji - ale nie do końca było tak jak chciał combofix. Po informacji ze sie zrestartuje - zastygł z czarnym ekranem na kilka godzin. Więc zresetowałem go manualnie.Po restarcie - rozpoczął dasze działania - na koniec tworząc załączony plik. ComboFix dał radę, skasował wszystkie główne składniki rootkita ZeroAccess i wymienił zainfekowany przez rootkita sterownik obsługi PS/2 (przypuszczalnie to była przyczyna dla BSOD podczas próby wejścia w tryb normalny). Co jeszcze zostało do zrobienia: ożywanie uszkodzonych przez rootkita narzędzi, usunięcie innych szczątków infekcji / adware / wpisów pustych. Będę też resetować niekorzystnie zmodyfikowany plik HOSTS, który aktualnie przetwarza kilkanaście tysięcy wpisów, co może prowadzić do konfliktu z usługą Klient DNS. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL SRV - File not found [Disabled | Stopped] -- -- (cupxqwciism) FF - prefs.js..keyword.URL: "http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=ZNfox000&ptb=F4t2LwJDZoys6Xar_jR3Ww&ind=2011020218&ptnrS=ZNfox000&si=&n=77ddbbba&psa=&st=kwd&searchfor=" FF - prefs.js..extensions.enabledItems: {8532a8b7-c06a-41bb-936a-8ce73e4711ed}:2.7.2.0 [2011-09-28 10:09:36 | 000,000,000 | ---D | M] (gry Community Toolbar) -- D:\Documents and Settings\Roberto\Dane aplikacji\Mozilla\Firefox\Profiles\4bd03v5y.default\extensions\{8532a8b7-c06a-41bb-936a-8ce73e4711ed}(2) IE - HKU\.DEFAULT\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found O3 - HKU\S-1-5-21-299502267-926492609-1801674531-1003\..\Toolbar\WebBrowser: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - No CLSID value found. O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found O8 - Extra context menu item: &Search - ?s=100000349&p=ZNfox000&si=&a=F4t2LwJDZoys6Xar_jR3Ww&n=2011020218 File not found O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab" (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab" (Reg Error: Key error.) O20 - Winlogon\Notify\cryptnet32: DllName - (cryptnet32.dll) - File not found :Reg [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "cupxqwciism"=- [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :Commands [resethosts] [emptyflash] [emptytemp] Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zresetowany i otrzymasz log z wynikami usuwania. 2. Pliki zablokowane przez rootkita same się nie odblokują, gdyż mają zresetowaną listę kontroli dostępu ACL. Uruchom GrantPerms, w oknie wklej: ścieżka 1 do pliku exe ścieżka 2 do pliku exe ... i tak dalej ... Pod "ścieżka X" masz podstawić konkretne ścieżki dostępu. Zastosuj opcję Unlock. 3. Poszkodowany antywirus AVG należy usunąć w całości, to i tak przestarzała wersja (posiadanie najnowszych sygnatur baz danych to rzecz odrębna od wersji samego silnika), a najnowszą zainstalujesz dopiero na samym końcu. Z poziomu Trybu awaryjnego Windows zastosuj firmowe narzędzie AVG Remover. 4. Wygeneruj do oceny nowe logi: OTL z opcji Skanuj (Extras już nie potrzebuję) + AD-Remover z opcji Scan. . Odnośnik do komentarza
Robertsson Opublikowano 30 Września 2011 Autor Zgłoś Udostępnij Opublikowano 30 Września 2011 AvG usunięty. Punkt 2 niezrealizowany - bo Malaware odinstalowałem - uninstall (moze nie powinienem tego robic) NIe wiem jakie inne pliki zostały zablokowane. Uzupelnilem jeszcze odpalalem spybot... - i tez sie wywalił 09302011_162933.txt OTL.Txt Ad-Report-SCAN1.txt Odnośnik do komentarza
picasso Opublikowano 30 Września 2011 Zgłoś Udostępnij Opublikowano 30 Września 2011 Zapomniałeś o logu z AD-Remover. Zedytuj post powyżej i wstaw log. Ja tu zaś swój post zedytuję odpowiednio, gdyż tu jeszcze muszą iść poprawki. NIe wiem jakie inne pliki zostały zablokowane. Te które uruchamiałeś w trakcie aktywności infekcji i już nie dało się ich ponownie zastartować. AVG i MBAM z głowy, a skoro nie wiesz co jeszcze, to raczej świadczy, że nic więcej = wiedziałbyś co się nie uruchamia. EDIT: Log dodany. jeszcze odpalalem spybot... - i tez sie wywalił Ze Spybot Search & Destroy się pożegnaj na dobre = deinstalacja i już go nie wpuszczać w system. To archaiczny program. Bieżące warunki w świecie malware czynią ten program mało użytecznym / mało skutecznym, a obecnie to nowoczesne antywirusy adresują zagadnienie spyware. I to on jest odpowiedzialny za niefortunną niedobrą modyfikację pliku HOSTS. 1. Uruchom AD-Remover w trybie Clean, co wstępnie usunie wykryte przez niego odpadki adware. Podczas tej operacji Firefox musi być zamknięty, gdyż AD-Remover będzie otwierał plik prefs.js. 2. Są tu nadal składniki po najwyraźniej odinstalowanych MBAM i Trojan Remover, plus usuwanie drobnostek. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL DRV - [2011-09-29 12:35:53 | 000,041,272 | ---- | M] (Malwarebytes Corporation) [Kernel | On_Demand | Stopped] -- D:\WINDOWS\system32\drivers\mbamswissarmy.sys -- (MBAMSwissArmy) FF - prefs.js..extensions.enabledItems: {3f963a5b-e555-4543-90e2-c3908898db71}:9.0.0.872 O2 - BHO: (no name) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - No CLSID value found. O4 - HKLM..\Run: [Anti-Trojan-Watch] D:\Program Files\Anti-Trojan-55\ATWatch.exe File not found O4 - HKLM..\Run: [AT-Watch] File not found O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O20 - Winlogon\Notify\avgrsstarter: DllName - (avgrsstx.dll) - File not found :Files D:\Documents and Settings\Roberto\Dane aplikacji\Mozilla\Firefox\Profiles\4bd03v5y.default\extensions\{8532a8b7-c06a-41bb-936a-8ce73e4711ed}(2) D:\Documents and Settings\Roberto\Dane aplikacji\Malwarebytes D:\Documents and Settings\All Users\Dane aplikacji\Malwarebytes D:\Documents and Settings\Roberto\Moje dokumenty\Simply Super Software D:\Documents and Settings\Roberto\Dane aplikacji\Simply Super Software D:\Documents and Settings\All Users\Dane aplikacji\Simply Super Software :Reg [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\9ef18c91-d814-4d41-88ae-7729f3077c83] Klik w Wykonaj skrypt. Tym razem nie będzie restartu. 3. Jest tu poszkodowana usługa Automatycznych aktualizacji: SRV - File not found [Auto | Stopped] -- -- (wuauserv) Start > Uruchom > regedit i wejdź do klucza: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters Dwuklik w wartość ServiceDll i zamień aktualnie widzialną tam ścieżkę na D:\WINDOWS\system32\wuauserv.dll 4. Przedstaw do oceny: nowy log z OTL z opcji Skanuj plus nowy AD-Remover z opcji Scan. . Odnośnik do komentarza
Robertsson Opublikowano 4 Października 2011 Autor Zgłoś Udostępnij Opublikowano 4 Października 2011 Przepraszam ze tak długo ale korzystam z netu "grzecznościowo" do czasu osiągnięcia stany "bezpiecznie" Logi: OTL.Txt Ad-Report-SCAN3.txt Odnośnik do komentarza
picasso Opublikowano 4 Października 2011 Zgłoś Udostępnij Opublikowano 4 Października 2011 (edytowane) 1. Pewne foldery, mimo że planowane do usuwania w skrypcie OTL, tkwią jak przylepione: [2011-09-29 12:09:17 | 000,000,000 | ---D | C] -- D:\Documents and Settings\Roberto\Dane aplikacji\Malwarebytes[2011-09-28 18:58:30 | 000,000,000 | ---D | C] -- D:\Documents and Settings\Roberto\Moje dokumenty\Simply Super Software[2011-09-28 18:58:20 | 000,000,000 | ---D | C] -- D:\Documents and Settings\Roberto\Dane aplikacji\Simply Super Software Sprawdź czy ręcznie da się je ruszyć, a jeśli "Odmowa dostępu", to wklej te ścieżki do GrantPerms, by odblokować foldery. [2011-09-28 10:09:36 | 000,000,000 | ---D | M] (gry Community Toolbar) -- D:\Documents and Settings\Roberto\Dane aplikacji\Mozilla\Firefox\Profiles\4bd03v5y.default\extensions\{8532a8b7-c06a-41bb-936a-8ce73e4711ed}(2) Konsekwentnie nie chce się skasować ten folder adware, więc i ten sprawdź czy ręcznie się da. 2. Posprzątaj po używanych narzędziach: Odinstaluj AD-Remover Odinstaluj ComboFix w prawidłowy sposób, w Start > Uruchom > wklejając komendę G:\ComboFix.exe /uninstall W OTL uruchom Sprzątanie. 3. Na wszelki wypadek przeskanuj system za pomocą Kaspersky Virus Removal Tool. Przedstaw wyniki, o ile coś infekcyjnego zostanie znalezione. Wyniki typu OK / Archive / Packed / Password Protected są poza obszarem mojego zainteresowania. . Edytowane 10 Grudnia 2011 przez picasso 10.12.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi