Rootkit "ZeroAccess"

[futrzak]

Witam

Mam laptopa od kuzynki która mnie prosiła o sprawdzenie czy nie ma wirusów ponieważ był problem z netem oraz bardzo często się wieszał. Był zainstalowany Avast z który nie chciał się odpalić, po instalacji noda też miałem problem ponieważ wyskakuje komunikat "Błąd podczas komunikacji z jądrem." Daję link do innego forum z którego korzystam: PCLAB.PL i na którym skierowano mnie tutaj.

Otl odpaliłem dopiero w trybie awaryjnym. Próbowałem odpalić również ComboFix ale stanął na okienku "Skanowanie w poszukiwaniu zainfekowanych plików..." i tak stał ponad godzinę było to w nocy więc wyłączyłem go i poszedłem spać więc nie mam z niego logów.

Prosiłbym o pomoc w rozwiązaniu mojego problemu.

 

Log z DummyCreator

 

DummyCreator by Farbar 

Ran by Agnieszka (administrator) on 30-09-2011 at 17:01:52

**************************************************************

 

C:\windows\3203397148 [30-09-2011 17:01:52]

 

== End of log ==

Log z OTL:

 

http://wklej.org/id/601226/ - otl

http://wklej.org/id/601227/ - Extras

[picasso]

Logi z OTL są z wczoraj, nie korespondują więc wcale do bieżącej sytuacji po użyciu DummyCreator.

 

 

Próbowałem odpalić również ComboFix ale stanął na okienku "Skanowanie w poszukiwaniu zainfekowanych plików..." i tak stał ponad godzinę było to w nocy więc wyłączyłem go i poszedłem spać więc nie mam z niego logów.

 

Pobierz nową kopię ComboFix, wejdź w Tryb awaryjny Windows i uruchom narzędzie. Przedstaw raport z jego pracy. raport proszę umieść jako zalącznik forum.

 

 

 

.

[futrzak]

Hm mam problem z Combofix wypakował pliki i się wyłączył będę próbował dalej przeskanować.

 

Podczas wypakowywania plików wyskoczył błąd:

 

Błąd otwarcia pliku do zapisu

c:\32788R22FWJFW\swxcacls.3xe

 

Wybierz Anuluj, aby przerwać instalację,

Ponów aby ponowić zapis do pliku lub

Ignoruj, aby pominąć ten plik.

 

I co mam z tym zrobić ??

 

EDIT

 

Odinstalowałem ComboFix, ściągnąłem nowy i dalej to samo po wypakowaniu wyłącza się

 

Więc mam dalej próbować odpalić Kombofix czy przeskanować OTL ?

Edytowane 30 Września 2011 przez futrzak
Posty połączone. //picasso

[picasso]

Proszę korzystaj z funkcji Edytuj, jeśli nikt pod Tobą jeszcze nie odpisał, zamiast tworzyć X własnych postów w ciągu. Posty łączę.

 

Na temat ComboFix: czy na pewno akcja uruchomienia odbywała się z poziomu Trybu awaryjnego Windows? Wywołaj parametr deinstalacji bieżącej kopii, w Start > Uruchom > wklejając dokładnie ścieżkę (jeśli ścieżka ma spacje, musi być cudzysłów):

 

"pełna ścieżka dostępu do ComboFix.exe" /uninstall

 

Następnie pobierz od nowa ComboFix i spróbuj po raz kolejny uruchomić w Trybie awaryjnym Windows.

 

 

PS. Zapomniałam jeszcze skomentować, że: po DummyCreator należało obowiązkowo zresetować system (inaczej to nie będzie działać), a takich instrukcji nie dostałeś, zaś z ComboFix to się pośpieszyłeś na wariata, nawet nie wiem czy były prawidłowe warunki dla jego uruchomienia.

 

 

EDIT: Jeśli odpowiadasz na mój post, to pisz już nowy post pod moim, a nie edytujesz "wstecz". Z edycjami chodzi tylko o to, by nie pisać więcej niż jeden własny post w ciągu. Oczekuję więc nowej odpowiedzi teraz.

 

 

Odinstalowałem ComboFix, ściągnąłem nowy i dalej to samo po wypakowaniu wyłącza się

 

Odpowiedz mi wyraźnie na pytanie czy go uruchamiałeś w Trybie awaryjnym Windows?

 

 

Więc mam dalej próbować odpalić Kombofix czy przeskanować OTL ?

 

Najwyraźniej rootkit jest aktywny i unieruchamia kolejne kopie (z nich już nie uruchomisz narzędzia). A o OTL to zapomnij w tym momencie.

 

 

.

[futrzak]

Odpowiedz mi wyraźnie na pytanie czy go uruchamiałeś w Trybie awaryjnym Windows?

 

TAK

 

W końcu odpaliłem Combofix jestem na etapie skanowania

 

 

 

Nadal stoi na niebieskim oknie i informuje mnie, że skanowanie zajmie około 10 minut, tak jest około 4 godzin. Zostawię go na noc może ruszy.

 

Mam kilka pytań:

 

Jak zrobię format i postawię nowy system to wykasuję tego rootkita ?

 

Czy jak będę robił kopie danych to nie zainfekuję swojego kompa ? Mam WinXP więc się trochę obawiam.

Edytowane 30 Września 2011 przez futrzak

[picasso]

Tak też sądziłam, że coś niepożądanego się rozgrywa, bo bardzo długo czekałam na edycję posta. ComboFix tyle czasu nie działa. Zmiana metody diagnostycznej:

 

1. Pobierz i wypal na CD płytę OTLPE.

 

2. Zastartuj z tej płyty, uruchom zgodnie ze wskazówkami OTL. W oknie Custom Scans/Fixes wklej:

 

C:\Windows\system32\drivers\*.* /md5
C:\Windows\*. /RP /s
dir /s /a C:\Windows\assembly /C

 

Klik w Scan.

 

3. Przedstaw wynikowy log.

 

 

Jak zrobię format i postawię nowy system to wykasuję tego rootkita ?

 

Da się usunąć bez formatu. Wszystkie przypadki z tym rootkitem rozwiązałam tu na forum bez formatu. Na razie nie rozmyślaj o takich drastycznych scenariuszach.

 

 

.

[futrzak]

Combofix chodził przez całą noc i stał w tym samym miejscu.

 

Ściągnąłem oraz przeskanowałem OTLPE Przedstawiam log.

OTL.txt

[picasso]

W raporcie nie widzę wszystkich składników infekcji. Patrząc na katalog drivers, rzucają się w oczy dwa sterowniki:

 

[2011/09/25 17:49:35 | 000,184,320 | ---- | M] (Microsoft Corporation) MD5=7C5FEE5B1C5728507CD96FB4A13E7A02 -- C:\Windows\system32\drivers\netbt.sys

 

Jedyny obiekt świeżo modyfikowany to sterownik NetBT. Jednakże jego suma kontrolna jest zgodna z plikiem Vista (obliczenie md5 wykonane z poziomu zewnętrznego środowiska, a więc wiarygodne) i nie wiem czy tu przypadkiem już nie odbywała się jakaś operacja lecznicza tego sterownika, bo skąd data modyfikacji.

 

[2008/01/20 22:32:49 | 000,035,384 | ---- | M] () MD5=1E9BA92F2B971F07B0772B9F805F5A0C -- C:\Windows\system32\drivers\kbdclass.sys

 

Sterownik klawiatur charakteryzuje brak sygnatury MS, suma kontrolna nie pasuje do sum na mojej Vista, ale nie ma zmodyfikowanej daty. Nie wiem co o tym sądzić.

 

 

---

Między punktem 1 i 2 nie może być restartu do Windows, tylko operacje z poziomu płyt startowych:

 

1. Wstępnie, z poziomu OTLPE uruchom OTL i w oknie Custom Scans/Fixes wklej:

 

:OTL
DRV - File not found [Kernel | On_Demand] --  -- (1cf6efbe)
 
:Files
C:\Windows\{2521BB91-29B1-4d7e-9137-AC9875D77735}
C:\Windows\System32\c_47915.nl_
C:\Windows\Assembly\GAC_MSIL\Desktop.ini

 

Klik w Run Fix.

 

2. Przeskanuj system z poziomu płyty Kaspersky Rescue Disk. Zapisz raport wykrytych infekcji na dysku twardym (nie pomyl sobie z pamięcią płyty).

 

3. Zastartuj do Windows i Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wpisz komendę netsh winsock reset. Zresetuj system.

 

4. Wygeneruj do oceny nowy log z OTL opcją Skanuj + Webroot AntiZeroAccess. Przedstaw także log ze skanera Kaspersky.

 

 

 

 

.

[futrzak]

1. Wstępnie, z poziomu OTLPE uruchom OTL i w oknie Custom Scans/Fixes wklej (...) Klik w Run Fix.

 

Załączam logi:

 

========== OTL ==========

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\1cf6efbe deleted successfully.

C:\Windows\System32\c_47915.nl_ moved successfully.

C:\Windows\{2521BB91-29B1-4d7e-9137-AC9875D77735} moved successfully.

 

OTLPE by OldTimer - Version 3.1.48.0 log created on 10032011_173348

 

========== OTL ==========

Service\Driver key 1cf6efbe not found.

========== FILES ==========

File\Folder C:\Windows\{2521BB91-29B1-4d7e-9137-AC9875D77735} not found.

File\Folder C:\Windows\System32\c_47915.nl_ not found.

C:\Windows\Assembly\GAC_MSIL\Desktop.ini moved successfully.

 

OTLPE by OldTimer - Version 3.1.48.0 log created on 10032011_181727

[picasso]

Widzę, że zdążyłeś przetworzyć pierwszą wersję skryptu przed poprawką (dodanie do usuwania pliku desktop.ini w GAC_MSIL), toteż nastąpiło skrzyżowanie instrukcji (w drugim "not found" tego czego już nie ma). I to jest dopiero wstępna część usuwania, przejdź do skanowania za pomocą Kasperskiego i koniecznie dostarcz z tego log. Przypominam: masz go zapisać na dysku twardym. I nie przechodź do Windows między wykonaniem skryptu OTL a skanem Kasperskym.

[futrzak]

Daję raporty z Kaspersky Rescue Disk.

 

Stan: Zagrożenie (zdarzenia: 9)

 

11-10-03 16:57 Zagrożenie Koń trojański Trojan-Spy.Win32.Zbot.gen C:/Windows/System32/AEADISRV.EXE Wysoki poziom bezpieczeństwa

 

11-10-03 16:57 Zagrożenie Koń trojański Trojan-Spy.Win32.Zbot.gen C:/Windows/System32/agrsmsvc.exe Wysoki poziom bezpieczeństwa

 

11-10-03 16:57 Zagrożenie wirus Type_Win32 C:/Windows/Microsoft.NET/Framework/v2.0.50727/mscorsvw.exe Wysoki poziom bezpieczeństwa

 

11-10-03 16:57 Zagrożenie wirus Type_Win32 C:/Windows/System32/HASPSrv.exe Wysoki poziom bezpieczeństwa

 

11-10-03 16:57 Zagrożenie Koń trojański Trojan-Spy.Win32.Zbot.gen C:/Program Files/Hewlett-Packard/HP Health Check/HPHC_Service.exe Wysoki poziom bezpieczeństwa

 

11-10-03 16:57 Zagrożenie Koń trojański Trojan-Spy.Win32.Zbot.gen C:/Program Files/Hewlett-Packard/Shared/hpqWmiEx.exe Wysoki poziom bezpieczeństwa

 

11-10-03 16:57 Zagrożenie wirus Type_Win32 C:/Program Files/Intel/Intel Matrix Storage Manager/IAANTmon.exe Wysoki poziom bezpieczeństwa

 

11-10-03 16:57 Zagrożenie Koń trojański Trojan-Spy.Win32.Zbot.gen C:/Program Files/Common Files/InterVideo/RegMgr/iviRegMgr.exe Wysoki poziom bezpieczeństwa

 

11-10-03 16:57 Zagrożenie wirus Type_Win32 C:/Program Files/Common Files/LightScribe/LSSrvc.exe Wysoki poziom bezpieczeństwa

 

 

Nie mogę się zalogować do Visty klawiatura nie reaguje

[picasso]

1. Infekcje zostały wykryte w prawidłowych plikach (a nazwa kodowa Type_Win32 insynuuje globalną infekcję w plikach wykonywalnych). Widzę tu tylko wykrycie ale brak akcji na obiektach = należy zastosować akcję Cure, a jeśli nie uda się to Delete (w późniejszej fazie trzeba będzie przeinstalować zdefektowane oprogramowanie, tym zajmę się na końcu).

 

2. Po przemyśleniu sprawy podaję jeszcze dodatkowy krok do wykonania z poziomu płyty, jednak zamiana sterownika klawiatur, mimo że Kaspersky nic w nim nie widzi. Podejrzana jest suma kontrolna, której nigdzie nie potrafię wyszukać w zestawieniach.

 

• Pobierz sygnowany plik wyekstraktowany z Vista: KLIK. Udostępnij go w jakiś sposób płycie Kasperskiego (np. via pendrive).
  
• Z poziomu płyty Kasperskiego na pasku zadań z "menu start" wybierz pozycję "File Manager". W menedżerze plików w lewym panelu kliknij w pozycję disks, która ujawni listę dysków. Wchodzisz w link do dysku systemowego i zamieniasz plik C:\Windows\system32\drivers\kbdclass.sys tym otrzymanym ode mnie.
  

3. Po wykonaniu w/w punktów przechodź już do kolejnych wytycznych z poprzedniej instrukcji, czyli start do Windows i komenda netsh winsock reset + nowe logi zrobione po restarcie.

 

 

EDIT:

 

Nie mogę się zalogować do Visty klawiatura nie reaguje

 

Dopisałeś. Ty nie masz się jeszcze logować do Vista, do wykonania przecież powyższe punkty 1 (skaner Kasperskiego musi się zająć wykrytymi infekcjami) + 2 (wymiana kbdclass.sys). A brak reakcji klawiatury raczej potwierdza to co mówię = kbdclass.sys jest naruszony.

 

 

 

.

[futrzak]

Plik podmieniłem klawiatura jest ok. Daję logi z OTL i z Webroot AntiZeroAccess:

 

Webroot AntiZeroAccess 0.8 Log File

Execution time: 03/10/2011 - 20:05

Host operation System: Windows Vista X86 version 6.0.6001 Service Pack 1

20:05:15 - CheckSystem - Begin to check system...

20:05:15 - OpenRootDrive - Opening system root volume and physical drive....

20:05:15 - C Root Drive: Disk number: 0 Start sector: 0x0000003F Partition Size: 0x0CD93B71 sectors.

20:05:15 - PrevX Main driver extracted in "C:\windows\system32\drivers\ZeroAccess.sys".

20:05:15 - InstallAndStartDriver - Main driver was installed and now is running.

20:05:15 - CheckSystem - Warning! Disk class driver is INFECTED.

20:05:21 - StopAndRemoveDriver - AntiZeroAccess Driver is stopped and removed.

20:05:21 - StopAndRemoveDriver - File "ZeroAccess.sys" was deleted!

20:05:21 - Execution Ended!

OTL.Txt

[picasso]

Nie jest OK. Infekcja się feniksuje.

 

Po pierwsze, w logu nadal jest "not found" w Winsock od góry do dołu, a wróciły pliki już kasowane:

 

[2011-10-03 19:51:23 | 000,000,000 | -HS- | C] () -- C:\windows\{2521BB91-29B1-4d7e-9137-AC9875D77735}
[2011-10-03 19:43:54 | 000,048,016 | -HS- | C] () -- C:\windows\System32\c_47915.nl_

 

Po drugie, w Webroot AntiZeroAccess jest:

 

20:05:15 - CheckSystem - Warning! Disk class driver is INFECTED.

 

Po trzecie, teraz ujawnił się jednak sterownik netbt (nie ma sygnatury MS, w logu OTLPE ją miał):

 

DRV - [2011-09-25 23:49:35 | 000,184,320 | ---- | M] () [Kernel | System | Running] -- C:\Windows\System32\drivers\netbt.sys -- (netbt)

 

1. Pobierz plik netbt.sys: KLIK. Ułóż na C:\.

 

2. Webroot AntiZeroAccess: nie widzę, by tu była podjęta akcja leczenia. Uruchom narzędzie ponownie i postąp zgodnie ze wskazówkami leczniczymi.

 

3. Zastartuj z płyty OTLPE, uruchom OTL i w oknie Custom Scans/Fixes wklej:

 

:Files
C:\Windows\System32\drivers\netbt.sys|C:\netbt.sys /replace
C:\windows\System32\c_47915.nl_
C:\windows\{2521BB91-29B1-4d7e-9137-AC9875D77735}

 

Klik w Run Fix.

 

4. Wejdź ponownie do Windows i Start > w polu szukania cmd jako Administrator > wpisz netsh winsock reset.

 

5. Przedstaw nowe logi: z OTL + AntiZeroAccess.

 

 

 

.

[futrzak]

Podczas resetu winsock mam następujące komunikaty:

 

Nie można załadować następującego pomocnika DLL: WSHELPER.DLL.

 

Nie można załadować następującego pomocnika DLL: IFMON.DLL.

 

Nie znaleziono następującego polecenia: winsock reset

[picasso]

Te komunikaty niedobrze wróżą, ponieważ to by znaczyło, że polecenie próbuje się wykonać na sfałszowanym pliku (przekierowanie zrobione przez rootkita). Czy w AntiZeroAccess + OTLPE wykonały się akcje?

 

Może spróbuj raz jeszcze pobrać + uruchomić ComboFix z poziomu Trybu awaryjnego, gdyż zaszły tu różne zmiany, które być może pomogą mu się uruchomić. Przy czym powtarzam: narzędzie nie może stać w nieskończoność na tym samym wstępnym etapie, bo to oznacza, że jest zawieszone.

 

 

.

[futrzak]

Daję raporty Antizeroaccess byl uruchomiony przed otlpe

 

Webroot AntiZeroAccess 0.8 Log File

Execution time: 03/10/2011 - 20:34

Host operation System: Windows Vista X86 version 6.0.6001 Service Pack 1

20:35:02 - CheckSystem - Begin to check system...

20:35:02 - OpenRootDrive - Opening system root volume and physical drive....

20:35:02 - C Root Drive: Disk number: 0 Start sector: 0x0000003F Partition Size: 0x0CD93B71 sectors.

20:35:02 - PrevX Main driver extracted in "C:\windows\system32\drivers\ZeroAccess.sys".

20:35:02 - InstallAndStartDriver - Main driver was installed and now is running.

20:35:02 - CheckSystem - Warning! Disk class driver is INFECTED.

20:35:08 - StopAndRemoveDriver - AntiZeroAccess Driver is stopped and removed.

20:35:13 - StopAndRemoveDriver - File "ZeroAccess.sys" was deleted!

20:35:13 - Execution Ended!

 

========== FILES ==========

Invalid replace specification: C:\Windows\System32\drivers\netbt.sys \ c:\netbt.sys

C:\Windows\System32\c_47915.nl_ moved successfully.

C:\Windows\{2521BB91-29B1-4d7e-9137-AC9875D77735} moved successfully.

 

OTLPE by OldTimer - Version 3.1.48.0 log created on 10032011_220517

 

Jestem w trybie awaryjnym podczas wypakowywania plików Combo wyświetlił mi okno z błędem:

 

Błąd otwarcia pliku do zapisu:

 

C:\32788R22FWJFW\swxcacls.3XE

 

Wybierz Anuluj, aby przerwać instalację,

Ponów, aby ponowić zapis do pliku lub

Ignoruj aby pominąć ten plik

[picasso]

1. W AntiZeroAccess: co Ty właściwie tam robiłeś? Log kończy się tylko na detekcji:

 

20:35:02 - CheckSystem - Warning! Disk class driver is INFECTED.

 

Nie ma tu żadnego znaku, by została przeprowadzona procedura leczenia. A po wdrożeniu leczenia w logu powinno stać to:

 

Czas - DoRepair - Begin to perform system repair....
Czas - DoRepair - System Disk class driver was repaired.

 

Czy na pytanie Would you like to perform system cleanup? [Y/N] na pewno odpowiedziałeś twierdząco przez wklepanie z klawiatury Y i ENTER? Powtarzaj czynność.

 

2. W OTLPE zadanie z podmianą sterownika netbt nie wykonane, coś tu chyba było źle wklejone:

 

Invalid replace specification: C:\Windows\System32\drivers\netbt.sys \ c:\netbt.sys

 

Powtarzaj z poziomu płyty OTLPE ten fragment skryptu:

 

:Files
C:\Windows\System32\drivers\netbt.sys|C:\netbt.sys /replace

 

Po wykonaniu punktów 1 + 2 wygeneruj nowe logi z OTL + AntiZeroAccess.

 

 

 

.

[futrzak]

Przedstawiam logi:

 

Webroot AntiZeroAccess 0.8 Log File

Execution time: 03/10/2011 - 22:06

Host operation System: Windows Vista X86 version 6.0.6001 Service Pack 1

22:06:26 - CheckSystem - Begin to check system...

22:06:26 - OpenRootDrive - Opening system root volume and physical drive....

22:06:26 - C Root Drive: Disk number: 0 Start sector: 0x0000003F Partition Size: 0x0CD93B71 sectors.

22:06:26 - PrevX Main driver extracted in "C:\windows\system32\drivers\ZeroAccess.sys".

22:06:27 - InstallAndStartDriver - Main driver was installed and now is running.

22:06:27 - CheckSystem - Warning! Disk class driver is INFECTED.

22:06:28 - CheckFile - Warning! File "dfsc.sys" is Infected by ZeroAccess Rootkit.

22:07:01 - CheckExecutableEP - Unable to open "C:\Program Files\ESET\ESET Smart Security\ekrn.exe" file. CreateFile last error: 5

22:07:01 - DoSecondPhaseCheck - Warning! Found a ZeroAccess forged PE: c:\program files\pdf complete\pdfsvc.exe

22:07:01 - CheckExecutableEP - Unable to open "c:\windows\system32\slsvc.exe" file. CreateFile last error: 5

22:07:15 - DoRepair - Begin to perform system repair....

22:07:15 - DoRepair - System Disk class driver was repaired.

22:07:16 - DoRepair - Infected "dfsc.sys" file was renamed.

22:07:16 - DoRepair - Infected "dfsc.sys" file was successfully cleaned!

22:07:16 - CheckExecutableEP - Error! Unable to repair read-only "c:\program files\pdf complete\pdfsvc.exe" file.

22:07:16 - CheckExecutableEP - Successfuly rewritten repaired "c:\program files\pdf complete\PreE56E.tmp" file.

22:07:16 - DoRepair - Unable to repair read-only "pdfsvc.exe" file, file was copied and patched with another name. Reboot system to complete repair process.

22:07:16 - DoRepair - Infected "pdfsvc.exe" file was successfully cleaned!

22:07:16 - DoRepair - "c_12345.nls" ZeroAccess file NOT found.

22:07:16 - DoRepair - Warning! Unable to delete "desktop.ini" ZeroAccess file, last error: 5. This file will be removed at next reboot.

22:08:19 - StopAndRemoveDriver - AntiZeroAccess Driver is stopped and removed.

22:08:19 - StopAndRemoveDriver - File "ZeroAccess.sys" was deleted!

22:08:19 - Execution Ended!

 

 

Webroot AntiZeroAccess 0.8 Log File

Execution time: 03/10/2011 - 22:12

Host operation System: Windows Vista X86 version 6.0.6001 Service Pack 1

22:12:48 - CheckSystem - Begin to check system...

22:12:48 - OpenRootDrive - Opening system root volume and physical drive....

22:12:48 - C Root Drive: Disk number: 0 Start sector: 0x0000003F Partition Size: 0x0CD93B71 sectors.

22:12:48 - PrevX Main driver extracted in "C:\windows\system32\drivers\ZeroAccess.sys".

22:12:49 - InstallAndStartDriver - Main driver was installed and now is running.

22:12:49 - CheckSystem - Warning! Disk class driver is INFECTED.

22:13:10 - StopAndRemoveDriver - AntiZeroAccess Driver is stopped and removed.

22:13:10 - StopAndRemoveDriver - File "ZeroAccess.sys" was deleted!

22:13:10 - Execution Ended!

========== FILES ==========

File C:\Windows\System32\drivers\netbt.sys successfully replaced with C:\netbt.sys

 

OTLPE by OldTimer - Version 3.1.48.0 log created on 10032011_235929

[picasso]

AntiZeroAccess leczył częściowo:

 

22:07:15 - DoRepair - Begin to perform system repair....
22:07:15 - DoRepair - System Disk class driver was repaired.
22:07:16 - DoRepair - Infected "dfsc.sys" file was renamed.
22:07:16 - DoRepair - Infected "dfsc.sys" file was successfully cleaned!
22:07:16 - CheckExecutableEP - Error! Unable to repair read-only "c:\program files\pdf complete\pdfsvc.exe" file.
22:07:16 - CheckExecutableEP - Successfuly rewritten repaired "c:\program files\pdf complete\PreE56E.tmp" file.
22:07:16 - DoRepair - Unable to repair read-only "pdfsvc.exe" file, file was copied and patched with another name. Reboot system to complete repair process.
22:07:16 - DoRepair - Infected "pdfsvc.exe" file was successfully cleaned!
22:07:16 - DoRepair - "c_12345.nls" ZeroAccess file NOT found.
22:07:16 - DoRepair - Warning! Unable to delete "desktop.ini" ZeroAccess file, last error: 5. This file will be removed at next reboot.

 

Ale nowszy odczyt nadal pokazuje:

 

22:12:49 - CheckSystem - Warning! Disk class driver is INFECTED.

 

Ponów proces czyszczenia w AntiZeroAccess raz jeszcze. Zresetuj po tym komputer. Zrób nowe logi z OTL + AntiZeroAccess.

 

 

 

.

[futrzak]

Przedstawiam logi. Mam problem z Webroot -em a mianowicie

 

pierwsze okno jest takie:

 

Would you like to perform a System Scan? [Y/N]

 

Następnie mi skanuje a na koncu zaraz po skanowaniu mam komunikat

 

Your system is not infected by ZeroAccess/Max++ Rootkit!

 

Execution ended.

Press any key to exit...

 

Tych środkowych okien z leczeniem mi nie wyświetla miałem raz tak post czy dwa wyżej co skasowało połowę.

 

Mam tak za każdym razem kiedy go uruchamiam.

OTL.Txt

AntiZeroAccess_Log.txt

[picasso]

Your system is not infected by ZeroAccess/Max++ Rootkit!

 

(...)

 

Mam tak za każdym razem kiedy go uruchamiam.

 

To bardzo dobrze. To znaczy, że narzędzie nie wykrywa już infekcji w znanych sobie obiektach. Aczkolwiek log z OTL (robiony jednakże przed) wygląda gorzej, bo widać nadal pliki na dysku + załadowany przekierowany moduł Winsock:

 

========== Modules (No Company Name) ==========
 
MOD - [2008-01-21 04:33:36 | 000,223,232 | ---- | M] () -- \\?\globalroot\systemroot\system32\mswsock.dll
 
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - %SystemRoot%\System32\winrnr.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - %SystemRoot%\System32\winrnr.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - %SystemRoot%\System32\winrnr.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - %SystemRoot%\System32\winrnr.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - %SystemRoot%\System32\winrnr.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000006 - %SystemRoot%\System32\winrnr.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000007 - %SystemRoot%\System32\winrnr.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000008 - %SystemRoot%\System32\winrnr.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000009 - %SystemRoot%\System32\winrnr.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000010 - %SystemRoot%\System32\winrnr.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000011 - %SystemRoot%\System32\winrnr.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000012 - %SystemRoot%\System32\winrnr.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000013 - %SystemRoot%\System32\winrnr.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000014 - %SystemRoot%\System32\winrnr.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000015 - %SystemRoot%\System32\winrnr.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000016 - %SystemRoot%\System32\winrnr.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000017 - %SystemRoot%\System32\winrnr.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000018 - %SystemRoot%\System32\winrnr.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000019 - %SystemRoot%\System32\winrnr.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000020 - %SystemRoot%\System32\winrnr.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000021 - %SystemRoot%\System32\winrnr.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000022 - %SystemRoot%\System32\winrnr.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000023 - %SystemRoot%\System32\winrnr.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000024 - %SystemRoot%\System32\winrnr.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000025 - %SystemRoot%\System32\winrnr.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000026 - %SystemRoot%\System32\winrnr.dll File not found

 

Oraz zdefektowany plik (leczony wcześniej przez Webroot):

 

DRV - [2011-10-03 22:07:16 | 000,075,264 | ---- | M] () [File_System | Unknown | Running] -- C:\Windows\System32\drivers\dfsc.sys -- (DfsC)

 

1. Pobierz plik dfsc.sys zgodny z uprzednio widzianym MD5 Twojej Vista (KLIK) + Fixit resetujące Winsock (KLIK). Plik dfsc.sys ułóż bezpośrednio na C:\

 

2. Z poziomu płyty OTLPE wdróż skrypt:

 

:Files
C:\Windows\System32\drivers\dfsc.sys|C:\dfsc.sys /replace
C:\Windows\System32\c_47915.nl_
C:\Windows\{2521BB91-29B1-4d7e-9137-AC9875D77735}
rd /s /q C:\32788R22FWJFW /C
rd /s /q C:\ComboFix /C
rd /s /q C:\Qoobox /C

 

3. Zresetuj do Trybu awaryjnego Windows i użyj narzędzie Fixit.

 

4. Zresetuj do Trybu normalnego Windows. Zrób nowy log z OTL, upewnij się też że Webroot nic już nie wykrywa....

 

 

 

 

.

[jessica]

Your system is not infected by ZeroAccess/Max++ Rootkit!

 

oraz:

 

22:54:22 - CheckFile - Warning! File "ZeroAccess.sys" is Infected by ZeroAccess Rootkit.

 

Tu jest jawna sprzeczność. Albo jedno, albo drugie.

To tak wygląda, jakby AntiZeroAcces sam został zarażony.

 

.

[picasso]

22:54:49 - StopAndRemoveDriver - AntiZeroAccess Driver is stopped and removed.

 

Tak więc jest możliwe, że widzi teraz to:

 

Your system is not infected by ZeroAccess/Max++ Rootkit!

 

I nie jest też wiadome jak obszerny fragment loga kopiował. Tym bardziej, że jest tu takie przesunięcie w nagłówku sugerujące, że to plik klejony (a może problem z zapisem do pliku):

 

Webroot AntiZeroAccess 0.8 Log File
Execution time: 03/10/2011 - 22:48
Host operation System: Windows Vista X86 version 6.0.6001 Service Pack 1
                                                                                                                                                                                                                                                                                                                                   Webroot AntiZeroAccess 0.8 Log File
Execution time: 03/10/2011 - 22:53

 

 

 

.

[futrzak]

Podaję log z OTLPE:

 

========== FILES ==========

File C:\Windows\System32\drivers\dfsc.sys successfully replaced with C:\dfsc.sys

C:\Windows\System32\c_47915.nl_ moved successfully.

C:\Windows\{2521BB91-29B1-4d7e-9137-AC9875D77735} moved successfully.

< rd /s /q C:\32788R22FWJFW /C >

C:\cmd.bat deleted successfully.

C:\cmd.txt deleted successfully.

< rd /s /q C:\ComboFix /C >

C:\cmd.bat deleted successfully.

C:\cmd.txt deleted successfully.

< rd /s /q C:\Qoobox /C >

C:\cmd.bat deleted successfully.

C:\cmd.txt deleted successfully.

 

OTLPE by OldTimer - Version 3.1.48.0 log created on 10042011_161852

 

Podczas uruchomienia Fixit mam komunikat że:

 

Usługa instalator Windows nie jest dostępna w trybie awaryjnym.

 

Informuje mnie żebym spróbował ponownie kiedy komputer nie będzie pracował w trybie awaryjnym.