Rwakabubu Opublikowano 28 Października 2011 Zgłoś Udostępnij Opublikowano 28 Października 2011 Witam, mam takie same objawy zainfekowania systemu co Markiz. U mnie ten proces to 1892341598:2703766927.exe. Nie da się go zakończyć w menedżerze zadań Windows. Próbowałem najróżniejszych sposobów, łącznie z poradami ekspertów ze stron w języku angielskim - bez skutku... Picasso... Odnośnie mojego raportu z Kaspersky TDSSKiller, nie wiem, czy o te informacje Ci chodzi - postąpiłem zgodnie z wytycznymi: Scan finished 21:15:12.0859 6048 ============================================================ 21:15:12.0871 4584 Detected object count: 2 21:15:12.0871 4584 Actual detected object count: 2 21:15:18.0206 4584 5ed7ca70 ( Rootkit.Win32.PMax.gen ) - skipped by user 21:15:18.0206 4584 5ed7ca70 ( Rootkit.Win32.PMax.gen ) - User select action: Skip 21:15:18.0209 4584 dtsoftbus01 ( Rootkit.Win32.ZAccess.e ) - skipped by user 21:15:18.0209 4584 dtsoftbus01 ( Rootkit.Win32.ZAccess.e ) - User select action: Skip Pozdrawiam. Odnośnik do komentarza
picasso Opublikowano 28 Października 2011 Zgłoś Udostępnij Opublikowano 28 Października 2011 W dziale diagnostycznym nie wolno się dopisywać do cudzych tematów. Zasady działu: KLIK. W związku z tym, że byłeś podczepiony pod temat Markiza, nie jest jasnym jak daleko się posunąłeś i czy był użyty DummyCreator. A log z TDSSKiller obciąłeś tylko do partii dolnej. Na teraz: 1. Uruchom Kaspersky TDSSKiller i dla wyniku Rootkit.Win32.PMax.gen przyznaj akcję Delete, zaś dla wyniku Rootkit.Win32.ZAccess.e (zainfekowany sterownik DAEMON Tools) akcję Cure. Restart komputera. 2. Po restarcie uruchom zgodnie z wytycznymi ComboFix. 3. Przedstaw: log utworzony przez ComboFix oraz zrób nowy log z Kasperskiego. . Odnośnik do komentarza
Rwakabubu Opublikowano 29 Października 2011 Autor Zgłoś Udostępnij Opublikowano 29 Października 2011 W dziale diagnostycznym nie wolno się dopisywać do cudzych tematów. Przepraszam, nie zapoznałem się z zasadami działu. Odnośnie tematu: DummyCreatora użyłem. Poniżej logi z ComboFix i nowy log Kasperskiego. ComboFix.txt TDSSKiller.2.6.14.0_29.10.2011_12.36.40_log.txt Odnośnik do komentarza
picasso Opublikowano 29 Października 2011 Zgłoś Udostępnij Opublikowano 29 Października 2011 Odnośnie tematu: DummyCreatora użyłem. Użyłeś go w nieprawidłowy sposób.... Wygenerowałeś blokadę pod przypadek Markiza, a nie swój. W ComboFix widać skasowane dwa obiekty numeryczne: c:\windows\1892341598c:\windows\4117058816 U Ciebie plikiem ze strumieniem był 1892341598, zaś 4117058816 to z tematu Markiza. Narzędzia dały radę i podstawowe body rootkita wygląda na usunięte. ComboFix nie udało się skasować tego punktu połączenia: C:\Windows\$NtUninstallKB27480$ . . . . nie udało się usunąć Na dysku są jeszcze odpadki po tej infekcji. 1. Uruchom jako Administrator GrantPerms. W oknie wklej: C:\Windows\$NtUninstallKB27480$ Zastosuj opcję Unlock. Jeśli będzie jakiś błąd, stop, nie wykonuj punktu 2 i przejdź od razu do 3. 2. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator i wpisz komendę: fsutil reparse point delete C:\Windows\$NtUninstallKB27480$ 3. Wygeneruj zgodnie z opisem logi z OTL. I to samo pytanie do Ciebie co do Markiza, ile plików w katalogu C:\Windows\system32\drivers ma ikonę kłódki: Wypisz wszystkie pliki tak oznaczone. . Odnośnik do komentarza
Rwakabubu Opublikowano 29 Października 2011 Autor Zgłoś Udostępnij Opublikowano 29 Października 2011 ad. 2. Po wpisaniu komendy uzyskałem komunikat o błędzie: Plik lub katalog nie jest punktem ponownej analizy. ad. 3. Pliki z ikoną kłódki: afd.sys blbdrive.sys cdrom.sys csc.sys dfsc.sys discache.sys grd.sys msfs.sys mssmbios.sys netbios.sys netbt.sys npfs.sys nsiproxy.sys rdbss.sys tdx.sys termdd.sys Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 29 Października 2011 Zgłoś Udostępnij Opublikowano 29 Października 2011 Po wpisaniu komendy uzyskałem komunikat o błędzie: Plik lub katalog nie jest punktem ponownej analizy. To być może ComboFix już zdjął punkt ponownej analizy i pozostał tylko normalny folder do kasacji. Spróbuję go dodać jako zwyczajny obiekt do kasacji. 1. Uruchom GrantPerms i w oknie wklej: C:\Windows\system32\drivers\afd.sys C:\Windows\system32\drivers\blbdrive.sys C:\Windows\system32\drivers\cdrom.sys C:\Windows\system32\drivers\csc.sys C:\Windows\system32\drivers\dfsc.sys C:\Windows\system32\drivers\discache.sys C:\Windows\system32\drivers\grd.sys C:\Windows\system32\drivers\msfs.sys C:\Windows\system32\drivers\mssmbios.sys C:\Windows\system32\drivers\netbios.sys C:\Windows\system32\drivers\netbt.sys C:\Windows\system32\drivers\npfs.sys C:\Windows\system32\drivers\nsiproxy.sys C:\Windows\system32\drivers\rdbss.sys C:\Windows\system32\drivers\tdx.sys C:\Windows\system32\drivers\termdd.sys Klik w Unlock. Po tej operacji popatrz czy w katalogu drivers kłódki zniknęły. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Windows\$NtUninstallKB27480$ C:\Users\Andrzej\AppData\Local\5ed7ca70 C:\Windows\System32\c_21214.nl_ C:\Windows\System32\drivers\tdx.sys.vir C:\ProgramData\klsmhgwm.njw :Commands [emptytemp] Rozpocznij przyciskiem Wykonaj skrypt. System zostanie zrestartowany i automatycznie otworzy się log z wynikami usuwania. 3. Są również obiekty adware, czyli SearchPredict wprowadzony przez SpeedBit Video Downloader. Odinstaluj w całości ten program. 4. Wygeneruj nowe logi: OTL opcją Skanuj (Extras już nie potrzebuję) + plus AD-Remover z opcji Scan. Dodaj też log z wynikami usuwania pozyskany w punkcie 2. . Odnośnik do komentarza
Rwakabubu Opublikowano 29 Października 2011 Autor Zgłoś Udostępnij Opublikowano 29 Października 2011 Kłódki ze wszystkich plików zdjęte. Dodatkowo daję log skanu Kasperskiego z zaznaczonymi dodatkowymi opcjami. We wcześniejszym etapie to przeoczyłem... OTL.Txt Ad-Report-SCAN.txt 10292011_161336.txt TDSSKiller.txt Odnośnik do komentarza
picasso Opublikowano 30 Października 2011 Zgłoś Udostępnij Opublikowano 30 Października 2011 Jest tu problem, OTL - podobnie jak wcześniej ComboFix - nie może tego skasować: Files\Folders moved on Reboot...C:\Windows\$NtUninstallKB27480$\1591200368 folder moved successfully.Folder move failed. C:\Windows\$NtUninstallKB27480$\1591200368 scheduled to be moved on reboot.Folder move failed. C:\Windows\$NtUninstallKB27480$ scheduled to be moved on reboot. I jeszcze widać tu sprzeczność ... Rzekomo podfolder "moved successfully", po czym w następnej linii "failed" i planowany na kolejne usuwanie ... 1. W GrantPerms wklej tym razem folder i jego składową: C:\Windows\$NtUninstallKB27480$ C:\Windows\$NtUninstallKB27480$\1591200368 A po tym spróbuj ręcznie przez SHIFT+DEL skasować C:\Windows\$NtUninstallKB27480$. Jeśli się nie uda, przepisz dokładnie błąd. 2. W OTL widać bez sygnatury ten sterownik systemowy: DRV - [2011-10-28 17:27:34 | 000,035,328 | ---- | M] () [Kernel | System | Running] -- C:\Windows\System32\drivers\blbdrive.sys -- (blbdrive) Wywołaj komendę sfc /scannow i zrób log z jej wyników, tzn. przefiltruj CBS.LOG do wystąpień znaczników [sR]: KLIK. 3. Czyszczenie pozostałości po adware oraz niektórych wpisów szczątkowych. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\Extensions] "searchpredict@speedbit.com"=- "{0329E7D6-6F54-462D-93F6-F5C3118BADF2}"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] "{0329E7D6-6F54-462D-93F6-F5C3118BADF2}"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks] "{472734EA-242A-422b-ADF8-83D1E48CC825}"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AboutURLs] "Tabs"="res://ieframe.dll/tabswelcome.htm" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{7F4EFF06-7032-458e-AE16-1C1D8255C28A}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}] [-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{603C4CC9-5DC6-4C44-873F-8281509DF953}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{603C4CC9-5DC6-4C44-873F-8281509DF953}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{628F3201-34D0-49C0-BB9A-82A26AEFB291}] [-HKEY_LOCAL_MACHINE\Software\Classes\Interface\{384FE458-A963-450D-9187-EEFF81913FD0}] [-HKEY_LOCAL_MACHINE\Software\Classes\Conduit.Engine] [-HKEY_LOCAL_MACHINE\Software\Classes\Toolbar.CT3031607] [-HKEY_LOCAL_MACHINE\Software\Conduit] :Files C:\Users\Andrzej\AppData\Roaming\Mozilla\Firefox\Profiles\x84iee44.default\searchplugins\conduit.xml C:\Users\Andrzej\AppData\Roaming\Mozilla\Firefox\Profiles\x84iee44.default\searchplugins\speedbit.xml C:\Users\Andrzej\AppData\Local\Conduit C:\Users\Andrzej\AppData\LocalLow\Conduit C:\Users\Andrzej\AppData\Roaming\OpenCandy C:\Users\Andrzej\AppData\Local\OpenCandy C:\Users\Andrzej\AppData\LocalLow\Toolbar4 C:\Program Files\mozilla firefox\plugins\npdap.dll :OTL FF - prefs.js..browser.search.defaultthis.engineName: "SFT_eng7 Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT3031607&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.selectedEngine: "SFT_eng7 Customized Web Search" SRV - File not found [On_Demand | Stopped] -- -- (hpqcxs08) DRV - [2011-09-28 12:08:18 | 000,049,016 | ---- | M] (G Data Software AG) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\PktIcpt.sys -- (GDPkIcpt) :Services szserver SpiderG3 kncyasbj 5016 Klik w Wykonaj skrypt. 4. Na dysku jest dużo szczątków po skanerach, sprawdź czy da się je usunąć ręcznie (jeśli nie, powklejaj te ścieżki do GrantPerms i dopiero po tym usuwaj): [2011-10-28 18:32:30 | 000,000,000 | ---D | C] -- C:\sh4ldr[2011-10-28 18:32:30 | 000,000,000 | ---D | C] -- C:\Program Files\Enigma Software Group[2011-10-28 14:53:24 | 000,000,000 | ---D | C] -- C:\Program Files\Spyware Doctor[2011-10-28 14:53:24 | 000,000,000 | ---D | C] -- C:\ProgramData\PC Tools[2011-10-28 14:36:54 | 000,000,000 | ---D | C] -- C:\Users\Andrzej\AppData\Roaming\SUPERAntiSpyware.com[2011-10-28 14:36:43 | 000,000,000 | ---D | C] -- C:\ProgramData\SUPERAntiSpyware.com[2011-10-28 13:43:19 | 000,000,000 | ---D | C] -- C:\Users\Andrzej\Doctor Web[2011-10-28 13:41:19 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\Doctor Web[2011-10-28 13:40:43 | 000,000,000 | ---D | C] -- C:\Program Files\DrWeb[2011-10-28 13:40:43 | 000,000,000 | ---D | C] -- C:\ProgramData\Doctor Web[2011-10-28 12:24:54 | 000,000,000 | ---D | C] -- C:\ProgramData\NoVirusThanks[2011-10-28 11:21:29 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\iS3[2011-10-27 21:30:51 | 000,030,256 | ---- | M] (G Data Software) -- C:\Windows\System32\drivers\GRD.sys[2011-10-27 20:57:28 | 000,052,440 | ---- | M] (G Data Software AG) -- C:\Windows\System32\drivers\gdwfpcd32.sys[2011-10-28 16:36:23 | 000,041,272 | ---- | M] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbamswissarmy.sys[2011-09-28 12:08:11 | 000,000,000 | ---D | M] (G Data BankGuard) -- C:\Program Files\Mozilla Firefox\extensions\{906305f7-aafc-45e9-8bbd-941950a84dad}[2011-10-29 09:27:44 | 000,000,000 | ---D | M] (G Data WebFilter) -- C:\Program Files\Mozilla Firefox\extensions\{9AA46F4F-4DC7-4c06-97AF-5035170633FE} 5. Do oceny prezentujesz: raport z SFC pozyskany w punkcie 2, log z usuwania OTL pozyskany w punkcie 3 oraz po wszystkim nowy log z OTL z opcji Skanuj (bez Extras). Dodatkowo daję log skanu Kasperskiego z zaznaczonymi dodatkowymi opcjami. We wcześniejszym etapie to przeoczyłem... To nie było konieczne. . Odnośnik do komentarza
Rwakabubu Opublikowano 30 Października 2011 Autor Zgłoś Udostępnij Opublikowano 30 Października 2011 1. Nie udało się skasować tego folderu, komunikat: Potrzebujesz uprawnień do wykonania tej akcji. Uzyskaj uprawnienia od administratora w celu wprowadzenia zmian 2. sfc.txt sfc2.txt 3. OTL_usuwanie.txt 4. Nie wszystkie szczątki udało się usunąć, również z użyciem GrantPerms, komunikaty takie jak w puncie 1. OTL_skan.Txt Odnośnik do komentarza
picasso Opublikowano 30 Października 2011 Zgłoś Udostępnij Opublikowano 30 Października 2011 Dla uspokojenia, jesteśmy na prostej i tu tylko kwestia reperacji szkód po rootkicie. SFC naprawił dwa pliki: 2011-10-30 13:59:14, Info CSI 000001f1 [sR] Repaired file \SystemRoot\WinSxS\Manifests\\[l:22{11}]"netbios.sys" by copying from backup2011-10-30 13:59:15, Info CSI 000001f8 [sR] Repaired file \SystemRoot\WinSxS\Manifests\\[l:14{7}]"tdx.sys" by copying from backup Nie wykrył jednak blbdrive.sys, oraz są nieprawione te: 2011-10-30 13:59:13, Info CSI 000001ec [sR] Cannot repair member file [l:48{24}]"SportsMainBackground.wmv" of Microsoft-Windows-OpticalMediaDisc-Style-Sports, Version = 6.1.7600.16385, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch2011-10-30 13:59:13, Info CSI 000001ed [sR] This component was referenced by [l:192{96}]"Microsoft-Windows-OpticalMediaDisc-Package~31bf3856ad364e35~x86~~6.1.7600.16385.OpticalMediaDisc"2011-10-30 13:59:14, Info CSI 000001f0 [sR] Could not reproject corrupted file [ml:520{260},l:108{54}]"\??\C:\Program Files\DVD Maker\Shared\DvdStyles\Sports"\[l:48{24}]"SportsMainBackground.wmv"; source file in store is also corrupted 2011-10-30 13:59:14, Info CSI 000001f3 [sR] Cannot repair member file [l:22{11}]"bckgRes.dll" of Microsoft-Windows-Shell-MultiplayerInboxGames-Backgammon, Version = 6.1.7600.16385, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch2011-10-30 13:59:14, Info CSI 000001f4 [sR] This component was referenced by [l:220{110}]"Microsoft-Windows-Shell-MultiplayerInboxGames-Package~31bf3856ad364e35~x86~~6.1.7600.16385.Internet Backgammon"2011-10-30 13:59:15, Info CSI 000001f7 [sR] Could not reproject corrupted file [ml:520{260},l:118{59}]"\??\C:\Program Files\Microsoft Games\Multiplayer\Backgammon"\[l:22{11}]"bckgRes.dll"; source file in store is also corrupted 1. Nie udało się skasować tego folderu, komunikat: Potrzebujesz uprawnień do wykonania tej akcji. Uzyskaj uprawnienia od administratora w celu wprowadzenia zmian GrantPerms uruchomiłeś jako Administrator? Sprawdź czy jesteś w stanie przejąć ten folder wraz z jego składową na Własność wg tej instrukcji: KLIK. Powątpiewam, ale .... Nie wszystkie szczątki udało się usunąć, również z użyciem GrantPerms, komunikaty takie jak w puncie 1. Rozumiem, że chodzi o te: [2011-10-28 17:32:30 | 000,000,000 | ---D | C] -- C:\Program Files\Enigma Software Group[2011-10-28 15:41:09 | 000,000,000 | ---D | C] -- C:\TDSSKiller_Quarantine[2011-10-28 13:53:24 | 000,000,000 | ---D | C] -- C:\Program Files\Spyware Doctor[2011-10-28 12:41:19 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\Doctor Web[2011-10-28 12:40:43 | 000,000,000 | ---D | C] -- C:\ProgramData\Doctor Web[2011-10-28 10:21:29 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\iS3[2011-10-27 21:49:26 | 000,000,000 | ---D | C] -- C:\Program Files\Malwarebytes' Anti-Malware Wypróbuj jeszcze powklejać w GrantPerms po kolei składowe folderów. Z innej strony, spróbujmy zablokowane obiekty skasować z poziomu płyty startowej opartej na silniku Linux. I tak SFC nie potrafił naprawić niektórych plików, toteż płyta się przyda i do bezbólowej zamiany bez babrania się w uprawnieniach. 1. Paczka czystych plików w wersji Windows 7: KLIK. Zapisz je sobie np. w umownym folderze C:\Pliki. 2. Pobierz płytę Kaspersky Rescue Disk. 3. Po zbootowaniu z płyty wejdź do menedżera plików: na pasku zadań z "menu start" wybierz pozycję "File Manager", w lewym panelu kliknij w pozycję disks, która ujawni listę dysków, a Ty wchodzisz na systemowy. Skasuj C:\Windows\$NtUninstallKB27480$ oraz wszystkie zablokowane przez rootkita obiekty. Oraz wykonaj zamianę plików. Pliki z paczki masz wstawić w następujące miejsca: C:\Windows\system32\drivers\blbdrive.sys C:\Program Files\Microsoft Games\Multiplayer\Backgammon\bckgRes.dll C:\Windows\winsxs\x86_microsoft-windows-s..boxgames-backgammon_31bf3856ad364e35_6.1.7600.16385_none_0a6e67948d2aa502\bckgRes.dll C:\Program Files\DVD Maker\Shared\DvdStyles\Sports\SportsMainBackground.wmv C:\Windows\winsxs\x86_microsoft-windows-o..iadisc-style-sports_31bf3856ad364e35_6.1.7600.16385_none_65a9a90d09b41838\SportsMainBackground.wmv 4. Uruchom Windows, usuń stary CBS.LOG, ponów komendę sfc /scannow i przefiltruj wyniki. Jeśli żadnych błędów nie znajdzie, sprawa z plikami Windows załatwiona. . Odnośnik do komentarza
Rwakabubu Opublikowano 2 Listopada 2011 Autor Zgłoś Udostępnij Opublikowano 2 Listopada 2011 GrantPerms uruchomiłeś jako Administrator? Dokładnie tak. Sprawdź czy jesteś w stanie przejąć ten folder wraz z jego składową na Własność Nic to nie pomogło... Wszystkie zablokowane obiekty usunąłem przy pomocy Kaspersky Rescue Disc. Zamieniłem również pliki Windowsa, po przeskanowaniu nie wykrył żadnych błędów w plikach. Jeżeli to wszystko, co było do zrobienia w tej kwestii, to bardzo dziękuję za pomoc w rozwiązaniu problemu. Odnośnik do komentarza
picasso Opublikowano 3 Listopada 2011 Zgłoś Udostępnij Opublikowano 3 Listopada 2011 (edytowane) Jeszcze nie skończyliśmy. 1. Prawidłowa deinstalacja ComboFix, która również czyści foldery Przywracania systemu. Z klawiatury kombinacja klawisz z flagą Windows + R i w Uruchom wklej: C:\Users\Andrzej\Desktop\ComboFix.exe /uninstall 2. W OTL uruchom Sprzątanie, które z kolei usunie kwarantannę z OTL i OTL z dysku. AD-Remover także odinstaluj. 3. Wykonaj pełne skanowanie za pomocą Kaspersky Virus Removal Tool. W konfiguracji skanera zaznacz wszystkie obszary do skanu. Jeśli zostaną znalezione jakieś zagrożenia, przeklej raport. Nie wklejaj mi jednak wyników typu OK/Archive/Packed/Password Protected. . Edytowane 10 Grudnia 2011 przez picasso 10.12.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi