cvallo2 Opublikowano 18 Października 2011 Zgłoś Udostępnij Opublikowano 18 Października 2011 Witam, szukając problemu z przekierowywaniem stron i imme...doszedłem do wątku na tym forum, jak już wyczytałem mam zeroaccess - praktycznie wszystkie wyszukiwania kończył się przekierowaniem na imme...i do tego uruchamiały mi się strony spamfighter.com i coś ala allegro.... Pierwszy skan tdds - wyrzucił mi plik stpd.sys, załącznik ze skanu, Kolejny to skan otl potwierdził tylko, że jest zeroaccess - dodam iż mam eseta, i malware które są na bieżąco uaktualnianie i system sprawdzany, niestety w związku z tym iż mój sysstem to win 7 64 bit, nie znalazłem nic do usunięcie tego syfu i użyłem combofixa - log w załączniku - w wyniku czego chyba połowiczny sukces, imme..zostało usunięte, kolejny skan otl - załącznik i z tego co widzę to chyba zero dalej jest w systemie. Kolejne skany tdds nic już nie wykrywają. Dodam iż uruchomiłem również skanowanie avira z bootowalnej płyty, jednak log otl twierdzi że zero dalej jest. Prosiłbym o pomoc gdyż dalej nie mogę pozbyć się tego rootkita. Pozdrawiam TDSSKiller.2.6.10.0_17.10.2011_20.05.06_log.txt ComboFix.txt OTL.Txt Extras.Txt TDSSKiller.2.6.10.0_18.10.2011_23.02.08_log.txt Odnośnik do komentarza
picasso Opublikowano 18 Października 2011 Zgłoś Udostępnij Opublikowano 18 Października 2011 win 7 64 bit, nie znalazłem nic do usunięcie tego syfu i użyłem combofixa - log w załączniku - w wyniku czego chyba połowiczny sukces, imme..zostało usunięte, Infekcja ZeroAccess na systemie 64-bit ma całkowicie inną technikę ładowania niż na systemie 32-bit, nie ma komponentu rootkit i nie ma zainfekowanych sterowników kernel. ZeroAccess na systemie 64-bit stosuje bibliotekę consrv.dll ładowaną przez klucz HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems. ComboFix sobie z tym świetnie radzi i wyciął ZeroAccess w pień: ((((((((((((((((((((((((((((((((((((((( Usunięto ))))))))))))))))))))))))))))))))))))))))))))))))) c:\windows\assembly\tmp\Uc:\windows\assembly\tmp\U\000000c0.@c:\windows\assembly\tmp\U\000000cb.@c:\windows\assembly\tmp\U\000000cf.@c:\windows\assembly\tmp\U\80000000.@c:\windows\assembly\tmp\U\800000c0.@c:\windows\assembly\tmp\U\800000cb.@c:\windows\assembly\tmp\U\800000cf.@c:\windows\system32\consrv.dllc:\windows\System64 Natomiast to wygląda na błąd oceny ComboFix: ((((((((((((((((((((((((((((((((((((((( Usunięto ))))))))))))))))))))))))))))))))))))))))))))))))) c:\users\biszkopt\AppData\Roaming\Mikrotikc:\users\biszkopt\AppData\Roaming\Mikrotik\Winbox\4.5-824657165\advtool.crcc:\users\biszkopt\AppData\Roaming\Mikrotik\Winbox\4.5-824657165\advtool.dllc:\users\biszkopt\AppData\Roaming\Mikrotik\Winbox\4.5-824657165\dhcp.crcc:\users\biszkopt\AppData\Roaming\Mikrotik\Winbox\4.5-824657165\dhcp.dllc:\users\biszkopt\AppData\Roaming\Mikrotik\Winbox\4.5-824657165\hotspot.crcc:\users\biszkopt\AppData\Roaming\Mikrotik\Winbox\4.5-824657165\hotspot.dllc:\users\biszkopt\AppData\Roaming\Mikrotik\Winbox\4.5-824657165\mpls.crcc:\users\biszkopt\AppData\Roaming\Mikrotik\Winbox\4.5-824657165\mpls.dllc:\users\biszkopt\AppData\Roaming\Mikrotik\Winbox\4.5-824657165\ppp.crcc:\users\biszkopt\AppData\Roaming\Mikrotik\Winbox\4.5-824657165\ppp.dllc:\users\biszkopt\AppData\Roaming\Mikrotik\Winbox\4.5-824657165\roteros.crcc:\users\biszkopt\AppData\Roaming\Mikrotik\Winbox\4.5-824657165\roteros.dllc:\users\biszkopt\AppData\Roaming\Mikrotik\Winbox\4.5-824657165\roting4.crcc:\users\biszkopt\AppData\Roaming\Mikrotik\Winbox\4.5-824657165\roting4.dllc:\users\biszkopt\AppData\Roaming\Mikrotik\Winbox\4.5-824657165\secure.crcc:\users\biszkopt\AppData\Roaming\Mikrotik\Winbox\4.5-824657165\secure.dllc:\users\biszkopt\AppData\Roaming\Mikrotik\Winbox\4.5-824657165\system.crcc:\users\biszkopt\AppData\Roaming\Mikrotik\Winbox\4.5-824657165\system.dllc:\users\biszkopt\AppData\Roaming\Mikrotik\Winbox\4.5-824657165\wlan4.crcc:\users\biszkopt\AppData\Roaming\Mikrotik\Winbox\4.5-824657165\wlan4.dllc:\users\biszkopt\AppData\Roaming\Mikrotik\Winbox\winbox.cfgc:\windows\pkunzip.pifc:\windows\pkzip.pifc:\windows\SysWow64\skinboxer43.dllf:\moje dokumenty\!!samochod po zmianach dystansutest.rar Skasowany WinBox (KLIK), pliki pkunzip.pif + pkzip.pif od Total Commander (KLIK). Ten RAR też nie wiem z jakiego powodu ciachnięty. Zapakuj cały folder C:\Qoobox\Quarantine do ZIP i prześlij mi na PW. Pierwszy skan tdds - wyrzucił mi plik stpd.sys, załącznik ze skanu 20:06:08.0078 0796 C:\Windows\system32\Drivers\sptd.sys - will be deleted on reboot20:06:08.0078 0796 sptd ( LockedFile.Multi.Generic ) - User select action: Delete Źle oceniłeś sytuację .... To nie był element rootkit i tego nie należało usuwać! Cytat z przyklejonego opisu TDSSKiller: Uwaga: przed podjęciem jakichkolwiek kroków na własną rękę najlepiej się skonsultować, ponieważ wyniki niekoniecznie mogą być rzeczywistym zagrożeniem i mieć kwalifikację do usuwania. Przykładowo, podstawowym obiektem wchodzącym w paradę jest sterownik emulacji napędów wirtualnych SPTD i Kaspersky będzie punktował ten obiekt jako "podejrzany", plik określi jako zablokowany, ale ustawi mu domyślną akcję na Skip. Przypominam ponownie główne ogłoszenie działu: Oprogramowanie emulujące napędy. Będzie wymagana reinstalacja sterownika SPTD za pomocą narzędzia SPTDinst, ale to potem. Dodam iż uruchomiłem również skanowanie avira z bootowalnej płyty, jednak log otl twierdzi że zero dalej jest. Jeśli pijesz do tego: O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000004 - mmswsock.dll File not foundO10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000005 - mmswsock.dll File not foundO10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000006 - mmswsock.dll File not foundO10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000007 - mmswsock.dll File not foundO10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - %SystemRoot%\System32\nwprovau.dll File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000025 - %SystemRoot%\System32\winrnr.dll File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000026 - %SystemRoot%\System32\winrnr.dll File not found ... to nie oznacza aktualnie czynnej infekcji, tylko szkody po niej w Winsock. Wystarczy przeładować cały Winsock. Instrukcje poniżej. Gdy infekcja jest czynna, te wpisy wyglądają inaczej = wszyscy dostawcy są jako "not found" od góry do dołu. 1. Reset części Protocol: Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklep komendę netsh winsock reset 2. Reset części NameSpace: Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5] "Num_Catalog_Entries"=dword:00000006 "Serial_Access_Num"=dword:00000020 "Num_Catalog_Entries64"=dword:00000006 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000001] "LibraryPath"="%SystemRoot%\\system32\\NLAapi.dll" "DisplayString"="@%SystemRoot%\\system32\\nlasvc.dll,-1000" "ProviderId"=hex:3a,24,42,66,a8,3b,a6,4a,ba,a5,2e,0b,d7,1f,dd,83 "SupportedNameSpace"=dword:0000000f "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000002] "LibraryPath"="%SystemRoot%\\System32\\mswsock.dll" "DisplayString"="@%SystemRoot%\\system32\\wshtcpip.dll,-60103" "ProviderId"=hex:40,9d,05,22,9e,7e,cf,11,ae,5a,00,aa,00,a7,11,2b "SupportedNameSpace"=dword:0000000c "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000003] "LibraryPath"="%SystemRoot%\\System32\\winrnr.dll" "DisplayString"="NTDS" "ProviderId"=hex:ee,37,26,3b,80,e5,cf,11,a5,55,00,c0,4f,d8,d4,ac "SupportedNameSpace"=dword:00000020 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000000 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000004] "LibraryPath"="%SystemRoot%\\system32\\napinsp.dll" "DisplayString"="@%SystemRoot%\\system32\\napinsp.dll,-1000" "ProviderId"=hex:a2,cb,4a,96,bc,b2,eb,40,8c,6a,a6,db,40,16,1c,ae "SupportedNameSpace"=dword:00000025 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000005] "LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll" "DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1000" "ProviderId"=hex:ce,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d "SupportedNameSpace"=dword:00000027 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000006] "LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll" "DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1001" "ProviderId"=hex:cd,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d "SupportedNameSpace"=dword:00000026 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000001] "LibraryPath"="%SystemRoot%\\system32\\NLAapi.dll" "DisplayString"="@%SystemRoot%\\system32\\nlasvc.dll,-1000" "ProviderId"=hex:3a,24,42,66,a8,3b,a6,4a,ba,a5,2e,0b,d7,1f,dd,83 "SupportedNameSpace"=dword:0000000f "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000002] "LibraryPath"="%SystemRoot%\\System32\\mswsock.dll" "DisplayString"="@%SystemRoot%\\system32\\wshtcpip.dll,-60103" "ProviderId"=hex:40,9d,05,22,9e,7e,cf,11,ae,5a,00,aa,00,a7,11,2b "SupportedNameSpace"=dword:0000000c "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000003] "LibraryPath"="%SystemRoot%\\System32\\winrnr.dll" "DisplayString"="NTDS" "ProviderId"=hex:ee,37,26,3b,80,e5,cf,11,a5,55,00,c0,4f,d8,d4,ac "SupportedNameSpace"=dword:00000020 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000000 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000004] "LibraryPath"="%SystemRoot%\\system32\\napinsp.dll" "DisplayString"="@%SystemRoot%\\system32\\napinsp.dll,-1000" "ProviderId"=hex:a2,cb,4a,96,bc,b2,eb,40,8c,6a,a6,db,40,16,1c,ae "SupportedNameSpace"=dword:00000025 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000005] "LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll" "DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1000" "ProviderId"=hex:ce,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d "SupportedNameSpace"=dword:00000027 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000006] "LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll" "DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1001" "ProviderId"=hex:cd,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d "SupportedNameSpace"=dword:00000026 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator > z menu Plik zaimportuj FIX.REG. Zresetuj system. 3. Wygeneruj nowy log z OTL opcją Skanuj, ale nie potrzebuję już całego raportu, odznacz wszystkie sekcje z wyjątkiem Rejestr ustawiony na Użyj filtrowania. . Odnośnik do komentarza
cvallo2 Opublikowano 19 Października 2011 Autor Zgłoś Udostępnij Opublikowano 19 Października 2011 Dziękuję bardzo za tak fachową pomoc:) - raczej więcej śmieci się znajduje w necie niż konkretna odpowiedź na zadane pytanie. Dlaczego mi mikrotika ruszył , reinstalnąłem sobie totala przy okazji - nie wiedziałem że to jego pliki, przed zajęciem się nimi przez avirę widziałem, że nie miały pojemności te już jakąś mają...Plik rar to sam go stworzyłem kiedyś, tam był tylko jeden plik z excelem z moimi zapiskami, ale chyba zahasłowany. Stpd, kiedyś pamiętam coś o nim szukałem bo jakieś problemy miałem przez niego, więc nic się nie stanie że się odświeży Już użyłem SPTDinst. Zgodnie z ostatnim pkt przesyłam jeszcze loga z otl, ale chyba jest już czysto:) Ps. Bardzo chętnie podesłałbym Ci te pliki z quarantine combo, ale jak w pierwszym poście napisałem ostatnią czynnością jaką zrobiłem było użycie aviry i ona już sumiennie je wykasowała... Jeszcze raz Dzięki za pomoc:) OTL.Txt Odnośnik do komentarza
picasso Opublikowano 20 Października 2011 Zgłoś Udostępnij Opublikowano 20 Października 2011 (edytowane) Log potwierdza pomyślność operacji, gałęzie Protocol i NameSpace wróciły do postaci domyślnej, gdyż zniknęły z listowania w trybie filtrowanym. Wykonaj standardowe kroki finalizujące temat: 1. ComboFix należy odinstalować w prawidłowy sposób (co czyści też foldery Przywracania systemu). Kombinacja klawisz z flagą Windows + R i w Uruchom wklej komendę: C:\Users\biszkopt\Desktop\ComboFix.exe /uninstall 2. Zmień hasła logowania w serwisach. 3. Nie mogę ocenić listy zainstalowanych aplikacji w Windows 7, gdyż Extras podałeś z ... Windows XP. W każdym razie zadbaj, by wszystkie istotne aplikacje zostały zaktualizowane (KLIK). Na obu systemach. Dlaczego mi mikrotika ruszył Tego nie wiem, ale jest to powtarzalne, kilka innych tematów na forum wykazało ten sam defekt. Chciałam pozyskać od Ciebie Qoobox w celu przesłania tego do analizy. EDIT: zgłoszone, błąd usuwania WinBox naprawiony. reinstalnąłem sobie totala przy okazji - nie wiedziałem że to jego pliki, przed zajęciem się nimi przez avirę widziałem, że nie miały pojemności te już jakąś mają...Plik rar to sam go stworzyłem kiedyś, tam był tylko jeden plik z excelem z moimi zapiskami, ale chyba zahasłowany. To jest powód dlaczego zostały usunięte. Objęła je specyficzna rutyna wbudowana do ComboFix. Pliki i tak nie były prawidłowe, kasacja im się należała, świeże pliki już sobie uzupełniłeś. Na temat RAR nadal nic nie wiem, ale brak tu już danych do analizy. . Edytowane 10 Grudnia 2011 przez picasso 10.12.2011 - Temat rozwiązany, brak dodatkowych komentarzy, zamykam. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi