Skocz do zawartości

immensesearchsystem.com i zeroaccess


Rekomendowane odpowiedzi

Witam,

 

szukając problemu z przekierowywaniem stron i imme...doszedłem do wątku na tym forum,

jak już wyczytałem mam zeroaccess - praktycznie wszystkie wyszukiwania kończył się przekierowaniem na imme...i do tego uruchamiały mi się strony spamfighter.com i coś ala allegro....

 

Pierwszy skan tdds - wyrzucił mi plik stpd.sys, załącznik ze skanu,

Kolejny to skan otl potwierdził tylko, że jest zeroaccess - dodam iż mam eseta, i malware które są na bieżąco uaktualnianie i system sprawdzany, niestety w związku z tym iż mój sysstem to

win 7 64 bit, nie znalazłem nic do usunięcie tego syfu i użyłem combofixa - log w załączniku - w wyniku czego chyba połowiczny sukces, imme..zostało usunięte,

kolejny skan otl - załącznik i z tego co widzę to chyba zero dalej jest w systemie.

Kolejne skany tdds nic już nie wykrywają.

Dodam iż uruchomiłem również skanowanie avira z bootowalnej płyty, jednak log otl twierdzi że zero dalej jest.

 

Prosiłbym o pomoc gdyż dalej nie mogę pozbyć się tego rootkita.

 

Pozdrawiam

TDSSKiller.2.6.10.0_17.10.2011_20.05.06_log.txt

ComboFix.txt

OTL.Txt

Extras.Txt

TDSSKiller.2.6.10.0_18.10.2011_23.02.08_log.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
win 7 64 bit, nie znalazłem nic do usunięcie tego syfu i użyłem combofixa - log w załączniku - w wyniku czego chyba połowiczny sukces, imme..zostało usunięte,

 

Infekcja ZeroAccess na systemie 64-bit ma całkowicie inną technikę ładowania niż na systemie 32-bit, nie ma komponentu rootkit i nie ma zainfekowanych sterowników kernel. ZeroAccess na systemie 64-bit stosuje bibliotekę consrv.dll ładowaną przez klucz HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems. ComboFix sobie z tym świetnie radzi i wyciął ZeroAccess w pień:

 

(((((((((((((((((((((((((((((((((((((((   Usunięto   )))))))))))))))))))))))))))))))))))))))))))))))))

 

c:\windows\assembly\tmp\U

c:\windows\assembly\tmp\U\000000c0.@

c:\windows\assembly\tmp\U\000000cb.@

c:\windows\assembly\tmp\U\000000cf.@

c:\windows\assembly\tmp\U\80000000.@

c:\windows\assembly\tmp\U\800000c0.@

c:\windows\assembly\tmp\U\800000cb.@

c:\windows\assembly\tmp\U\800000cf.@

c:\windows\system32\consrv.dll

c:\windows\System64

 

Natomiast to wygląda na błąd oceny ComboFix:

 

(((((((((((((((((((((((((((((((((((((((   Usunięto   )))))))))))))))))))))))))))))))))))))))))))))))))

 

c:\users\biszkopt\AppData\Roaming\Mikrotik

c:\users\biszkopt\AppData\Roaming\Mikrotik\Winbox\4.5-824657165\advtool.crc

c:\users\biszkopt\AppData\Roaming\Mikrotik\Winbox\4.5-824657165\advtool.dll

c:\users\biszkopt\AppData\Roaming\Mikrotik\Winbox\4.5-824657165\dhcp.crc

c:\users\biszkopt\AppData\Roaming\Mikrotik\Winbox\4.5-824657165\dhcp.dll

c:\users\biszkopt\AppData\Roaming\Mikrotik\Winbox\4.5-824657165\hotspot.crc

c:\users\biszkopt\AppData\Roaming\Mikrotik\Winbox\4.5-824657165\hotspot.dll

c:\users\biszkopt\AppData\Roaming\Mikrotik\Winbox\4.5-824657165\mpls.crc

c:\users\biszkopt\AppData\Roaming\Mikrotik\Winbox\4.5-824657165\mpls.dll

c:\users\biszkopt\AppData\Roaming\Mikrotik\Winbox\4.5-824657165\ppp.crc

c:\users\biszkopt\AppData\Roaming\Mikrotik\Winbox\4.5-824657165\ppp.dll

c:\users\biszkopt\AppData\Roaming\Mikrotik\Winbox\4.5-824657165\roteros.crc

c:\users\biszkopt\AppData\Roaming\Mikrotik\Winbox\4.5-824657165\roteros.dll

c:\users\biszkopt\AppData\Roaming\Mikrotik\Winbox\4.5-824657165\roting4.crc

c:\users\biszkopt\AppData\Roaming\Mikrotik\Winbox\4.5-824657165\roting4.dll

c:\users\biszkopt\AppData\Roaming\Mikrotik\Winbox\4.5-824657165\secure.crc

c:\users\biszkopt\AppData\Roaming\Mikrotik\Winbox\4.5-824657165\secure.dll

c:\users\biszkopt\AppData\Roaming\Mikrotik\Winbox\4.5-824657165\system.crc

c:\users\biszkopt\AppData\Roaming\Mikrotik\Winbox\4.5-824657165\system.dll

c:\users\biszkopt\AppData\Roaming\Mikrotik\Winbox\4.5-824657165\wlan4.crc

c:\users\biszkopt\AppData\Roaming\Mikrotik\Winbox\4.5-824657165\wlan4.dll

c:\users\biszkopt\AppData\Roaming\Mikrotik\Winbox\winbox.cfg

c:\windows\pkunzip.pif

c:\windows\pkzip.pif

c:\windows\SysWow64\skinboxer43.dll

f:\moje dokumenty\!!samochod po zmianach dystansutest.rar

 

Skasowany WinBox (KLIK), pliki pkunzip.pif + pkzip.pif od Total Commander (KLIK). Ten RAR też nie wiem z jakiego powodu ciachnięty. Zapakuj cały folder C:\Qoobox\Quarantine do ZIP i prześlij mi na PW.

 

 

Pierwszy skan tdds - wyrzucił mi plik stpd.sys, załącznik ze skanu

 

20:06:08.0078 0796	C:\Windows\system32\Drivers\sptd.sys - will be deleted on reboot

20:06:08.0078 0796 sptd ( LockedFile.Multi.Generic ) - User select action: Delete

 

Źle oceniłeś sytuację .... To nie był element rootkit i tego nie należało usuwać! Cytat z przyklejonego opisu TDSSKiller:

 

Uwaga: przed podjęciem jakichkolwiek kroków na własną rękę najlepiej się skonsultować, ponieważ wyniki niekoniecznie mogą być rzeczywistym zagrożeniem i mieć kwalifikację do usuwania. Przykładowo, podstawowym obiektem wchodzącym w paradę jest sterownik emulacji napędów wirtualnych SPTD i Kaspersky będzie punktował ten obiekt jako "podejrzany", plik określi jako zablokowany, ale ustawi mu domyślną akcję na Skip. Przypominam ponownie główne ogłoszenie działu: Oprogramowanie emulujące napędy.

 

tdsskillersptd.png

 

Będzie wymagana reinstalacja sterownika SPTD za pomocą narzędzia SPTDinst, ale to potem.

 

 

Dodam iż uruchomiłem również skanowanie avira z bootowalnej płyty, jednak log otl twierdzi że zero dalej jest.

 

Jeśli pijesz do tego:

 

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000004 - mmswsock.dll File not found

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000005 - mmswsock.dll File not found

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000006 - mmswsock.dll File not found

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000007 - mmswsock.dll File not found

O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - %SystemRoot%\System32\nwprovau.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000025 - %SystemRoot%\System32\winrnr.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000026 - %SystemRoot%\System32\winrnr.dll File not found

 

... to nie oznacza aktualnie czynnej infekcji, tylko szkody po niej w Winsock. Wystarczy przeładować cały Winsock. Instrukcje poniżej. Gdy infekcja jest czynna, te wpisy wyglądają inaczej = wszyscy dostawcy są jako "not found" od góry do dołu.

 

 

1. Reset części Protocol: Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklep komendę netsh winsock reset

 

2. Reset części NameSpace: Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5]
"Num_Catalog_Entries"=dword:00000006
"Serial_Access_Num"=dword:00000020
"Num_Catalog_Entries64"=dword:00000006
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000001]
"LibraryPath"="%SystemRoot%\\system32\\NLAapi.dll"
"DisplayString"="@%SystemRoot%\\system32\\nlasvc.dll,-1000"
"ProviderId"=hex:3a,24,42,66,a8,3b,a6,4a,ba,a5,2e,0b,d7,1f,dd,83
"SupportedNameSpace"=dword:0000000f
"Enabled"=dword:00000001
"Version"=dword:00000000
"StoresServiceClassInfo"=dword:00000001
"ProviderInfo"=hex:
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000002]
"LibraryPath"="%SystemRoot%\\System32\\mswsock.dll"
"DisplayString"="@%SystemRoot%\\system32\\wshtcpip.dll,-60103"
"ProviderId"=hex:40,9d,05,22,9e,7e,cf,11,ae,5a,00,aa,00,a7,11,2b
"SupportedNameSpace"=dword:0000000c
"Enabled"=dword:00000001
"Version"=dword:00000000
"StoresServiceClassInfo"=dword:00000001
"ProviderInfo"=hex:
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000003]
"LibraryPath"="%SystemRoot%\\System32\\winrnr.dll"
"DisplayString"="NTDS"
"ProviderId"=hex:ee,37,26,3b,80,e5,cf,11,a5,55,00,c0,4f,d8,d4,ac
"SupportedNameSpace"=dword:00000020
"Enabled"=dword:00000001
"Version"=dword:00000000
"StoresServiceClassInfo"=dword:00000000
"ProviderInfo"=hex:
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000004]
"LibraryPath"="%SystemRoot%\\system32\\napinsp.dll"
"DisplayString"="@%SystemRoot%\\system32\\napinsp.dll,-1000"
"ProviderId"=hex:a2,cb,4a,96,bc,b2,eb,40,8c,6a,a6,db,40,16,1c,ae
"SupportedNameSpace"=dword:00000025
"Enabled"=dword:00000001
"Version"=dword:00000000
"StoresServiceClassInfo"=dword:00000001
"ProviderInfo"=hex:
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000005]
"LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll"
"DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1000"
"ProviderId"=hex:ce,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d
"SupportedNameSpace"=dword:00000027
"Enabled"=dword:00000001
"Version"=dword:00000000
"StoresServiceClassInfo"=dword:00000001
"ProviderInfo"=hex:
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000006]
"LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll"
"DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1001"
"ProviderId"=hex:cd,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d
"SupportedNameSpace"=dword:00000026
"Enabled"=dword:00000001
"Version"=dword:00000000
"StoresServiceClassInfo"=dword:00000001
"ProviderInfo"=hex:
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000001]
"LibraryPath"="%SystemRoot%\\system32\\NLAapi.dll"
"DisplayString"="@%SystemRoot%\\system32\\nlasvc.dll,-1000"
"ProviderId"=hex:3a,24,42,66,a8,3b,a6,4a,ba,a5,2e,0b,d7,1f,dd,83
"SupportedNameSpace"=dword:0000000f
"Enabled"=dword:00000001
"Version"=dword:00000000
"StoresServiceClassInfo"=dword:00000001
"ProviderInfo"=hex:
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000002]
"LibraryPath"="%SystemRoot%\\System32\\mswsock.dll"
"DisplayString"="@%SystemRoot%\\system32\\wshtcpip.dll,-60103"
"ProviderId"=hex:40,9d,05,22,9e,7e,cf,11,ae,5a,00,aa,00,a7,11,2b
"SupportedNameSpace"=dword:0000000c
"Enabled"=dword:00000001
"Version"=dword:00000000
"StoresServiceClassInfo"=dword:00000001
"ProviderInfo"=hex:
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000003]
"LibraryPath"="%SystemRoot%\\System32\\winrnr.dll"
"DisplayString"="NTDS"
"ProviderId"=hex:ee,37,26,3b,80,e5,cf,11,a5,55,00,c0,4f,d8,d4,ac
"SupportedNameSpace"=dword:00000020
"Enabled"=dword:00000001
"Version"=dword:00000000
"StoresServiceClassInfo"=dword:00000000
"ProviderInfo"=hex:
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000004]
"LibraryPath"="%SystemRoot%\\system32\\napinsp.dll"
"DisplayString"="@%SystemRoot%\\system32\\napinsp.dll,-1000"
"ProviderId"=hex:a2,cb,4a,96,bc,b2,eb,40,8c,6a,a6,db,40,16,1c,ae
"SupportedNameSpace"=dword:00000025
"Enabled"=dword:00000001
"Version"=dword:00000000
"StoresServiceClassInfo"=dword:00000001
"ProviderInfo"=hex:
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000005]
"LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll"
"DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1000"
"ProviderId"=hex:ce,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d
"SupportedNameSpace"=dword:00000027
"Enabled"=dword:00000001
"Version"=dword:00000000
"StoresServiceClassInfo"=dword:00000001
"ProviderInfo"=hex:
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000006]
"LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll"
"DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1001"
"ProviderId"=hex:cd,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d
"SupportedNameSpace"=dword:00000026
"Enabled"=dword:00000001
"Version"=dword:00000000
"StoresServiceClassInfo"=dword:00000001
"ProviderInfo"=hex:

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator > z menu Plik zaimportuj FIX.REG. Zresetuj system.

 

3. Wygeneruj nowy log z OTL opcją Skanuj, ale nie potrzebuję już całego raportu, odznacz wszystkie sekcje z wyjątkiem Rejestr ustawiony na Użyj filtrowania.

 

 

 

 

.

Odnośnik do komentarza

Dziękuję bardzo za tak fachową pomoc:) - raczej więcej śmieci się znajduje w necie niż konkretna odpowiedź na zadane pytanie.

 

Dlaczego mi mikrotika ruszył :confused:, reinstalnąłem sobie totala przy okazji - nie wiedziałem że to jego pliki, przed zajęciem się nimi przez avirę widziałem, że nie miały pojemności te już jakąś mają...Plik rar to sam go stworzyłem kiedyś, tam był tylko jeden plik z excelem z moimi zapiskami, ale chyba zahasłowany.

Stpd, kiedyś pamiętam coś o nim szukałem bo jakieś problemy miałem przez niego, więc nic się nie stanie że się odświeży :) Już użyłem SPTDinst.

 

Zgodnie z ostatnim pkt przesyłam jeszcze loga z otl, ale chyba jest już czysto:)

 

Ps. Bardzo chętnie podesłałbym Ci te pliki z quarantine combo, ale jak w pierwszym poście napisałem ostatnią czynnością jaką zrobiłem było użycie aviry i ona już sumiennie je wykasowała...

 

 

Jeszcze raz Dzięki za pomoc:)

OTL.Txt

Odnośnik do komentarza

Log potwierdza pomyślność operacji, gałęzie Protocol i NameSpace wróciły do postaci domyślnej, gdyż zniknęły z listowania w trybie filtrowanym. Wykonaj standardowe kroki finalizujące temat:

 

1. ComboFix należy odinstalować w prawidłowy sposób (co czyści też foldery Przywracania systemu). Kombinacja klawisz z flagą Windows + R i w Uruchom wklej komendę:

 

C:\Users\biszkopt\Desktop\ComboFix.exe /uninstall

 

2. Zmień hasła logowania w serwisach.

 

3. Nie mogę ocenić listy zainstalowanych aplikacji w Windows 7, gdyż Extras podałeś z ... Windows XP. W każdym razie zadbaj, by wszystkie istotne aplikacje zostały zaktualizowane (KLIK). Na obu systemach.

 

 

Dlaczego mi mikrotika ruszył :confused:

 

Tego nie wiem, ale jest to powtarzalne, kilka innych tematów na forum wykazało ten sam defekt. Chciałam pozyskać od Ciebie Qoobox w celu przesłania tego do analizy.

 

EDIT: zgłoszone, błąd usuwania WinBox naprawiony.

 

 

reinstalnąłem sobie totala przy okazji - nie wiedziałem że to jego pliki, przed zajęciem się nimi przez avirę widziałem, że nie miały pojemności te już jakąś mają...Plik rar to sam go stworzyłem kiedyś, tam był tylko jeden plik z excelem z moimi zapiskami, ale chyba zahasłowany.

 

To jest powód dlaczego zostały usunięte. Objęła je specyficzna rutyna wbudowana do ComboFix. Pliki i tak nie były prawidłowe, kasacja im się należała, świeże pliki już sobie uzupełniłeś. Na temat RAR nadal nic nie wiem, ale brak tu już danych do analizy.

 

 

 

.

Edytowane przez picasso
10.12.2011 - Temat rozwiązany, brak dodatkowych komentarzy, zamykam. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...