Robertsson Opublikowano 29 Września 2011 Zgłoś Udostępnij Opublikowano 29 Września 2011 Dzieci ściągnęły mi jakiś plik - najprawdopodobniej ze stron z grami. AVG (9 - z aktualną bazą wirusów) zaalarmował że to wirus - ale nie zapamiętały jaki i najprawdopodobniej kliknęły - Usuń. Po uruchomieniu Windows XP następnego dnia - Windows nie uruchamiał się restartując się przy uruchamianiu w nieskończoność - migając niebieskim ekranem. Komunikat informował że uruchomienie windows może doprowadzić do uszkodzenia sprzętu i żeby odinstalować aplikacje ostatnio zainstalowane jak i elementy sprzętowe. Wruchomienie w trynie awaryjnym wykazywało obcy proces: 1116261118:20281277.exe Nie do usunięcia z poziomu windows. Taskkill /T nie usuwa Taskkill /F - raportuje usunięcie - ale proces nadal tam siedzi (tasklist go pokazuje) W rejestrze z wyżej wymienionymi numerkami pojawiły się wpisy zatytułowane fecca82, albo OBSIDIAN ANTI Malaware podczas pracy się wywala i poniwnie nie mozna go uruchomić - "Brak dostępu" Inne programy Anti trojan - to samo. Co robić poza formatem dysków. OTL.TxtPobieranie informacji ... Extras.TxtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 29 Września 2011 Zgłoś Udostępnij Opublikowano 29 Września 2011 Niestety, sądząc po procesie ze strumieniem ADS oraz objawach z zerowaniem uprawnień aplikacji próbujących skanować, mamy tu ciężką infekcję rootkit ZeroAccess: ========== Processes (SafeList) ========== PRC - File not found -- D:\WINDOWS\1116261118:20281277.exe Poza tym, są inne elementy infekcyjne.... 1. Na początek wyeliminuj ofensywne sterowniki emulacji napędów wirtualnych: DRV - [2004-08-22 16:31:48 | 000,005,248 | ---- | M] ( ) [Kernel | Boot | Running] -- D:\WINDOWS\System32\Drivers\d347prt.sys -- (d347prt)DRV - [2004-08-22 16:31:10 | 000,155,136 | ---- | M] ( ) [Kernel | Boot | Running] -- D:\WINDOWS\system32\DRIVERS\d347bus.sys -- (d347bus) To znaczy: odinstaluj DAEMON Tools + restart. 2. Pobierz narzędzia: DummyCreator + ComboFix. 3. Uruchom DummyCreator. W oknie wklej: D:\WINDOWS\1116261118 Klik w Create. Z tego działania powstanie log, który potem zaprezentujesz w punkcie 5. 4. Ważne: zresetuj system. 5. Uruchom ComboFix. Jeśli się uda, przedstaw raport który utworzył. . Odnośnik do komentarza
Robertsson Opublikowano 30 Września 2011 Autor Zgłoś Udostępnij Opublikowano 30 Września 2011 Zrobiłem wg. instrukcji - ale nie do końca było tak jak chciał combofix. Po informacji ze sie zrestartuje - zastygł z czarnym ekranem na kilka godzin. Więc zresetowałem go manualnie. Po restarcie - rozpoczął dasze działania - na koniec tworząc załączony plik. Stan teraz - nie działa AVG (ochrona rezydentna i skanowanie email) Rzeczy ktore poblokowal wirus - jak MAlaware - tez nie dzialaja. Czy juz go nie ma? Ps. Daemon nie dawal sie odinstalowac - dopiero po zakonczeniu dzialan combofixa w normalnym trybie windows się odinstalowal. ComboFix.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 30 Września 2011 Zgłoś Udostępnij Opublikowano 30 Września 2011 Cytat Ps. Daemon nie dawal sie odinstalowac - dopiero po zakonczeniu dzialan combofixa w normalnym trybie windows się odinstalowal. Widzę to, sterowniki DAEMON Tools były czynne podczas całej operacji: R0 d347bus;d347bus;d:\windows\system32\drivers\d347bus.sys [2010-07-06 155136]R0 d347prt;d347prt;d:\windows\system32\drivers\d347prt.sys [2010-07-06 5248] Cytat Zrobiłem wg. instrukcji - ale nie do końca było tak jak chciał combofix. Po informacji ze sie zrestartuje - zastygł z czarnym ekranem na kilka godzin. Więc zresetowałem go manualnie.Po restarcie - rozpoczął dasze działania - na koniec tworząc załączony plik. ComboFix dał radę, skasował wszystkie główne składniki rootkita ZeroAccess i wymienił zainfekowany przez rootkita sterownik obsługi PS/2 (przypuszczalnie to była przyczyna dla BSOD podczas próby wejścia w tryb normalny). Co jeszcze zostało do zrobienia: ożywanie uszkodzonych przez rootkita narzędzi, usunięcie innych szczątków infekcji / adware / wpisów pustych. Będę też resetować niekorzystnie zmodyfikowany plik HOSTS, który aktualnie przetwarza kilkanaście tysięcy wpisów, co może prowadzić do konfliktu z usługą Klient DNS. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL SRV - File not found [Disabled | Stopped] -- -- (cupxqwciism) FF - prefs.js..keyword.URL: "http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=ZNfox000&ptb=F4t2LwJDZoys6Xar_jR3Ww&ind=2011020218&ptnrS=ZNfox000&si=&n=77ddbbba&psa=&st=kwd&searchfor=" FF - prefs.js..extensions.enabledItems: {8532a8b7-c06a-41bb-936a-8ce73e4711ed}:2.7.2.0 [2011-09-28 10:09:36 | 000,000,000 | ---D | M] (gry Community Toolbar) -- D:\Documents and Settings\Roberto\Dane aplikacji\Mozilla\Firefox\Profiles\4bd03v5y.default\extensions\{8532a8b7-c06a-41bb-936a-8ce73e4711ed}(2) IE - HKU\.DEFAULT\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found O3 - HKU\S-1-5-21-299502267-926492609-1801674531-1003\..\Toolbar\WebBrowser: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - No CLSID value found. O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found O8 - Extra context menu item: &Search - ?s=100000349&p=ZNfox000&si=&a=F4t2LwJDZoys6Xar_jR3Ww&n=2011020218 File not found O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab" (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab" (Reg Error: Key error.) O20 - Winlogon\Notify\cryptnet32: DllName - (cryptnet32.dll) - File not found :Reg [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "cupxqwciism"=- [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :Commands [resethosts] [emptyflash] [emptytemp] Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zresetowany i otrzymasz log z wynikami usuwania. 2. Pliki zablokowane przez rootkita same się nie odblokują, gdyż mają zresetowaną listę kontroli dostępu ACL. Uruchom GrantPerms, w oknie wklej: ścieżka 1 do pliku exe ścieżka 2 do pliku exe ... i tak dalej ... Pod "ścieżka X" masz podstawić konkretne ścieżki dostępu. Zastosuj opcję Unlock. 3. Poszkodowany antywirus AVG należy usunąć w całości, to i tak przestarzała wersja (posiadanie najnowszych sygnatur baz danych to rzecz odrębna od wersji samego silnika), a najnowszą zainstalujesz dopiero na samym końcu. Z poziomu Trybu awaryjnego Windows zastosuj firmowe narzędzie AVG Remover. 4. Wygeneruj do oceny nowe logi: OTL z opcji Skanuj (Extras już nie potrzebuję) + AD-Remover z opcji Scan. . Odnośnik do komentarza
Robertsson Opublikowano 30 Września 2011 Autor Zgłoś Udostępnij Opublikowano 30 Września 2011 AvG usunięty. Punkt 2 niezrealizowany - bo Malaware odinstalowałem - uninstall (moze nie powinienem tego robic) NIe wiem jakie inne pliki zostały zablokowane. Uzupelnilem jeszcze odpalalem spybot... - i tez sie wywalił 09302011_162933.txtPobieranie informacji ... OTL.TxtPobieranie informacji ... Ad-Report-SCAN1.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 30 Września 2011 Zgłoś Udostępnij Opublikowano 30 Września 2011 Zapomniałeś o logu z AD-Remover. Zedytuj post powyżej i wstaw log. Ja tu zaś swój post zedytuję odpowiednio, gdyż tu jeszcze muszą iść poprawki. Cytat NIe wiem jakie inne pliki zostały zablokowane. Te które uruchamiałeś w trakcie aktywności infekcji i już nie dało się ich ponownie zastartować. AVG i MBAM z głowy, a skoro nie wiesz co jeszcze, to raczej świadczy, że nic więcej = wiedziałbyś co się nie uruchamia. EDIT: Log dodany. Cytat jeszcze odpalalem spybot... - i tez sie wywalił Ze Spybot Search & Destroy się pożegnaj na dobre = deinstalacja i już go nie wpuszczać w system. To archaiczny program. Bieżące warunki w świecie malware czynią ten program mało użytecznym / mało skutecznym, a obecnie to nowoczesne antywirusy adresują zagadnienie spyware. I to on jest odpowiedzialny za niefortunną niedobrą modyfikację pliku HOSTS. 1. Uruchom AD-Remover w trybie Clean, co wstępnie usunie wykryte przez niego odpadki adware. Podczas tej operacji Firefox musi być zamknięty, gdyż AD-Remover będzie otwierał plik prefs.js. 2. Są tu nadal składniki po najwyraźniej odinstalowanych MBAM i Trojan Remover, plus usuwanie drobnostek. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL DRV - [2011-09-29 12:35:53 | 000,041,272 | ---- | M] (Malwarebytes Corporation) [Kernel | On_Demand | Stopped] -- D:\WINDOWS\system32\drivers\mbamswissarmy.sys -- (MBAMSwissArmy) FF - prefs.js..extensions.enabledItems: {3f963a5b-e555-4543-90e2-c3908898db71}:9.0.0.872 O2 - BHO: (no name) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - No CLSID value found. O4 - HKLM..\Run: [Anti-Trojan-Watch] D:\Program Files\Anti-Trojan-55\ATWatch.exe File not found O4 - HKLM..\Run: [AT-Watch] File not found O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O20 - Winlogon\Notify\avgrsstarter: DllName - (avgrsstx.dll) - File not found :Files D:\Documents and Settings\Roberto\Dane aplikacji\Mozilla\Firefox\Profiles\4bd03v5y.default\extensions\{8532a8b7-c06a-41bb-936a-8ce73e4711ed}(2) D:\Documents and Settings\Roberto\Dane aplikacji\Malwarebytes D:\Documents and Settings\All Users\Dane aplikacji\Malwarebytes D:\Documents and Settings\Roberto\Moje dokumenty\Simply Super Software D:\Documents and Settings\Roberto\Dane aplikacji\Simply Super Software D:\Documents and Settings\All Users\Dane aplikacji\Simply Super Software :Reg [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\9ef18c91-d814-4d41-88ae-7729f3077c83] Klik w Wykonaj skrypt. Tym razem nie będzie restartu. 3. Jest tu poszkodowana usługa Automatycznych aktualizacji: SRV - File not found [Auto | Stopped] -- -- (wuauserv) Start > Uruchom > regedit i wejdź do klucza: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters Dwuklik w wartość ServiceDll i zamień aktualnie widzialną tam ścieżkę na D:\WINDOWS\system32\wuauserv.dll 4. Przedstaw do oceny: nowy log z OTL z opcji Skanuj plus nowy AD-Remover z opcji Scan. . Odnośnik do komentarza
Robertsson Opublikowano 4 Października 2011 Autor Zgłoś Udostępnij Opublikowano 4 Października 2011 Przepraszam ze tak długo ale korzystam z netu "grzecznościowo" do czasu osiągnięcia stany "bezpiecznie" Logi: OTL.TxtPobieranie informacji ... Ad-Report-SCAN3.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 4 Października 2011 Zgłoś Udostępnij Opublikowano 4 Października 2011 (edytowane) 1. Pewne foldery, mimo że planowane do usuwania w skrypcie OTL, tkwią jak przylepione: [2011-09-29 12:09:17 | 000,000,000 | ---D | C] -- D:\Documents and Settings\Roberto\Dane aplikacji\Malwarebytes[2011-09-28 18:58:30 | 000,000,000 | ---D | C] -- D:\Documents and Settings\Roberto\Moje dokumenty\Simply Super Software[2011-09-28 18:58:20 | 000,000,000 | ---D | C] -- D:\Documents and Settings\Roberto\Dane aplikacji\Simply Super Software Sprawdź czy ręcznie da się je ruszyć, a jeśli "Odmowa dostępu", to wklej te ścieżki do GrantPerms, by odblokować foldery. [2011-09-28 10:09:36 | 000,000,000 | ---D | M] (gry Community Toolbar) -- D:\Documents and Settings\Roberto\Dane aplikacji\Mozilla\Firefox\Profiles\4bd03v5y.default\extensions\{8532a8b7-c06a-41bb-936a-8ce73e4711ed}(2) Konsekwentnie nie chce się skasować ten folder adware, więc i ten sprawdź czy ręcznie się da. 2. Posprzątaj po używanych narzędziach: Odinstaluj AD-Remover Odinstaluj ComboFix w prawidłowy sposób, w Start > Uruchom > wklejając komendę G:\ComboFix.exe /uninstall W OTL uruchom Sprzątanie. 3. Na wszelki wypadek przeskanuj system za pomocą Kaspersky Virus Removal Tool. Przedstaw wyniki, o ile coś infekcyjnego zostanie znalezione. Wyniki typu OK / Archive / Packed / Password Protected są poza obszarem mojego zainteresowania. . Edytowane 10 Grudnia 2011 przez picasso 10.12.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi