Powtarzające się infekcje W32/Katusha i Artemis!

[alfa4ce]

Skaner a/v McAfee regularnie, po każdym restarcie komputera, wykrywa i usuwa infekcje wirusa W32/Katusha i trojana Artemis!1FF93...

 

Szkodniki próbują zainstalować się odpowiednio w:

• windows\system32\wuauclt.exe
  
• documents and settings\..\ustawienia lokalne\dane aplikacji\f9a687bd\4\8000cs.$
  

Komputer często ma zblokowane procesy i użycie procesora na poziomie 100%.

Skaner Malwarebytes' Anti-Malware nic nie znajduje.

Emulatory napędów CD zostały odinstalowane, jednak nie udało się usunąć ścieżki SPTD z rejestru - występuje błąd przy usuwaniu klucza.

RegASSASSIN nie był w stanie usunąć klucza automatycznie.

 

Raporty

Programy OTL i OTS nie uruchamiają się w żadnym trybie systemu. Nie pomaga użycie OTH.

 

Logi z DDS

DDS.txt

Attach.txt

 

Log z GMER

gmer-full.txt

 

Log z Security Check

 

Results of screen317's Security Check version 0.99.24

Windows XP Service Pack 3 x86

Internet Explorer 8

``````````````````````````````

Antivirus/Firewall Check:

McAfee AntiVirus Plus

Antivirus up to date!

```````````````````````````````

Anti-malware/Other Utilities Check:

Malwarebytes' Anti-Malware

CCleaner

Java™ 7 Update 1

Java™ SE Development Kit 7 Update 1

Out of date Java installed!

Adobe Flash Player 11.0.1.152

Mozilla Firefox (x86 pl..)

````````````````````````````````

Process Check:

objlist.exe by Laurent

``````````End of Log````````````

 

Podczas procedury skanowania wystąpił taki komunikat:

[Landuss]

Objawy, które u ciebie występują oraz to co wspominasz na temat wuauclt.exe + folder f9a687bd w Dane aplikacji wskazują na rootkita ZeroAccess choć logi, które dałeś nie dają na to gwarancji.

 

Rozpocznij od użycia Kaspersky TDSSKiller. Jeśli coś wykryje, wybierz opcję Skip (pomiń) a tu wklej tylko raport.

[alfa4ce]

TDSSKiller znalazł jeden obiekt - Rootkit.Win32.ZAccess

 

Oto raport ze skanowania:

tdsskiller.txt

 

Dziś antywirus wyłapał trojana Generic BackDoor'd2p ulokowanego w

system volume information\_restore{C1...}\rp11\A0002824.ini

[picasso]

1. W Kasperskym dla tego wyniku wybierz opcję Cure i zresetuj system.

 

2. Następnie uruchom zgodnie ze wskazówkami ComboFix i przedstaw raport wynikowy.

 

 

 

.

[alfa4ce]

1. W Kasperskym dla tego wyniku wybierz opcję Cure i zresetuj system.

Zrobione.

 

2. Następnie uruchom zgodnie ze wskazówkami ComboFix i przedstaw raport wynikowy.

ComboFix.txt

[Landuss]

ComboFix skasował obiekty infekcji. Spróbuj jeszcze teraz uruchomić OTL i wkleić z niego logi, aby można było zobaczyć co tam jest jeszcze do zrobienia kosmetycznie.

[alfa4ce]

Programów OTL i OTS nie udało mi się uruchomić i tym razem. Oba programy pobrałem jeszcze raz, wcześniej kasując poprzednie wersje.

 

Sygnatura błędu wygląda następująco:

AppName: otl.exe	 AppVer: 3.2.31.0	 ModName: kernel32.dll
ModVer: 5.1.2600.5781	 Offset: 00012afb

 

Załączam raporty z DDS

DDS.txt

Attach.txt

[Landuss]

Z DDS to są za słabe logi. Prawdopodobnie to wina rootkita, że nie można uruchomić OTL, ale wykonaj naprawę tego problemu.

 

Uruchom GrantPerms i w oknie wklej:

 

ścieżka do zablokowanego OTL

 

(jako ściezkę wpisujesz lokalizacje OTL jaka jest u Ciebie)

 

Zastosuj opcję Unlock. Po tej akcji powinien ruszyć OTL bez problemu.

[alfa4ce]

Niestety, nie zadziałało.

[picasso]

Programów OTL i OTS nie udało mi się uruchomić i tym razem. Oba programy pobrałem jeszcze raz, wcześniej kasując poprzednie wersje.

 

Te błędy nie pochodzą od infekcji ZeroAccess (błędy od ZeroAccess to "Nie można uzyskać dostępu ...." bądź "Odmowa dostępu" = czyli błędy uprawnień, bo programy tracą listę ACL). A te co tu widać to ja też przerabiałam na jednej z wirtualnych maszyn (niczym nie zainfekowanej) i na forum ktoś też miał taki przypadek: KLIK. Do dziś nie wiem o co tu chodzi, bo już nie udało mi się zreplikować po raz drugi tego błędu w wirtualnej maszynie. Na wszelki wypadek zapytam: najnowsza wersja OTL pobrana z linków w przyklejonym temacie (a nie z serwisów pośrednich)?

 

Mogą być i logi z DDS, różnica między tymi z OTL nie jest znowóż porażająca i dane mogę zaakceptować. Z tego co tu widzę zostały już czynności sprzątające i skanujące:

 

1. Po rootkicie pozostał ukryty folder:

 

2011-11-07 13:03:38	--------	d-sh--w-	c:\documents and settings\alfa\ustawienia lokalne\dane aplikacji\f9a6b7bd

 

Włącz pokazywanie ukrytych w Mój komputer > Narzędzia > Opcje folderów > Widok: zaznacz Pokaż ukryte pliki i foldery + odptaszkuj Ukryj chronione pliki systemu operacyjnego. Przez SHIFT+DEL skasuj obiekt f9a6b7bd z podanej tu ścieżki.

 

2. Odinstaluj w prawidłowy sposób ComboFix, co także wyczyści foldery Przywracania systemu. Start > Uruchom > wklej komendę:

 

"C:\Documents and settings\alfa\Pulpit\ComboFix.exe" /uninstall

 

3. Wykonaj pełne skanowanie za pomocą Kaspersky Virus Removal Tool. W konfiguracji skanera zaznacz wszystkie obszary do skanowania. jeśli jakieś zagrożenia zostaną znalezione, przedstaw ten fragment raportu. Nie przeklejaj wyników typu OK/Archive/Packed/Password Protected.

 

 

Emulatory napędów CD zostały odinstalowane, jednak nie udało się usunąć ścieżki SPTD z rejestru - występuje błąd przy usuwaniu klucza.

RegASSASSIN nie był w stanie usunąć klucza automatycznie.

 

Widocznie nie zresetowałeś wszystkich uprawnień. A RegASSASSIN to z praktyki mi wiadome, że nie daje rady przetworzyć tego klucza poprawnie. Możemy to odblokować jeszcze innym narzędziem. Uruchom narzędzie MiniRegTool. W oknie wklej:

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd

 

Zaznacz opcję Delete Keys/Values including Locked/Null embedded i klik w Go. Wynikowo powstanie log delete.txt, który zaprezentujesz.

 

 

.

[alfa4ce]

Na wszelki wypadek zapytam: najnowsza wersja OTL pobrana z linków w przyklejonym temacie (a nie z serwisów pośrednich)?

Tak, najnowsza z Fixitpc - zawsze 'dzisiejsze' wersje.

 

ad1. Po rootkicie pozostał ukryty folder: [...]

Usunięty.

 

ad2. Odinstaluj w prawidłowy sposób ComboFix [...]

 

Odinstalowany, ale... w katalogu głównym widzę, że pozostało coś takiego:

C:\ComboFix\NircmdB.exe

Usunąłem ręcznie.

 

ad3. Wykonaj pełne skanowanie [...]

 

Wszystkie obszary są przeskanowane. Znalezione obiekty były w katalogach 'wysypiska śmieci', które już dawno powinienem usunąć.

Raport: kasperski-vrt.txt

 

 

Uruchom narzędzie MiniRegTool.

Raport:

 

MiniRegTool by Farbar

Ran by alfa (administrator) on 2011-11-11 07:21:37

 

====================================

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd deleted successfully.

[picasso]

Akcje wykonane. Wyniki z Kasperskiego nie należą do omawianej tu infekcji, a też nie wiem na ile są one zgodne z rzeczywistością. Zamknięcie sprawy:

 

1. Wymiana haseł logowania w serwisach.

 

2. Drobne aktualizacje. Na Twojej liście zainstalowanych widzę:

 

==== Installed Programs ======================
.
Adobe Flash Player 11 Plugin
Adobe Reader 9.4.6 - Polish
Google Chrome
Mozilla Firefox 7.0.1 (x86 pl)
Skype™ 5.5

 

Brak precyzyjnych danych jakie wersje Flash i Google Chrome są zainstalowane. Dla porównania: KLIK.

 

Podsumuj czy wszystko działa (poza nieszczęsnym OTL) i czy coś jeszcze należy naprawiać.

 

 

 

.

[alfa4ce]

ad1. Wymiana haseł logowania w serwisach.

Te ważne i najczęściej używane już zmieniłem. To bardzo dobry powód do modyfikacji.

 

ad2. Brak precyzyjnych danych jakie wersje Flash i Google Chrome są zainstalowane.

Chrome jest w najświeższej wersji, ale Adobe Flash Player 11 jest w wersji 11.0.1.152, a najnowsza to 11.1.102.55. Niestety, nie mogę pobrać tej aktualizacji ze strony http://get.adobe.com/pl/flashplayer/

 

Po kliknięciu Pobierz otrzymuję stronę z komunikatem

Not Found

 

The requested URL /bin/install_flashplayer11x32_mssd_aih.exe was not found on this server.

Secunia PSI2 również zgłasza w tym punkcie problem: Error downloading file.

Czy rzeczywiście nie można pobrać tego pliku?

 

Podsumuj czy wszystko działa (poza nieszczęsnym OTL) i czy coś jeszcze należy naprawiać.

Anomalia zauważyłem w dwóch sprawach:

 

1. zawieszanie się pobierania plików w Firefox 8.0 - problem rozwiązany - pomogła dopiero reinstalacja programu z usunięciem wszystkich jego składników, katalogów i profili. Informacyjnie dodam, że problem dotyczył zawieszania się pobierania pliku, w momencie dodania do kolejki kolejnego pliku. Internet w tym czasie działał stabilnie.

 

2. dotyczy Skype v5.6.59.110 - program był reinstalowany i w tym przypadku nic nie pomogło. Problem wygląda tak, że podczas zamykania systemu Skype nie zamyka się prawidłowo, system czeka na zamknięcie się programu, a potem przerywa jego działanie. Skype ładowany jest przy starcie systemu, jednak nie ląduje on w zasobniku systemowym, tak jak zwykle, mimo to jest uruchomiony w tle - widać go w uruchomionych procesach, jednak nie ma do niego bezpośredniego dostępu, chyba że uruchomimy go jeszcze raz. Jeśli zakończę manualnie działanie programu przed zamknięciem systemu, to Skype po ponownym starcie systemu ląduje w zasobniku.

 

Nie wiem czy jest to pochodną infekcji, jednak jest to jedyne zauważalne działanie nieprawidłowe, które na innych komputerach nie występuje.

[picasso]

Niestety, nie mogę pobrać tej aktualizacji ze strony http://get.adobe.com/pl/flashplayer/ Po kliknięciu Pobierz otrzymuję stronę z komunikatem

 

Czy to nadal ma miejsce? U mnie pobieranie na Firefox dzisiaj idzie bez problemu.

 

 

2. dotyczy Skype v5.6.59.110 - program był reinstalowany i w tym przypadku nic nie pomogło. Problem wygląda tak, że podczas zamykania systemu Skype nie zamyka się prawidłowo, system czeka na zamknięcie się programu, a potem przerywa jego działanie. Skype ładowany jest przy starcie systemu, jednak nie ląduje on w zasobniku systemowym, tak jak zwykle, mimo to jest uruchomiony w tle - widać go w uruchomionych procesach, jednak nie ma do niego bezpośredniego dostępu, chyba że uruchomimy go jeszcze raz. Jeśli zakończę manualnie działanie programu przed zamknięciem systemu, to Skype po ponownym starcie systemu ląduje w zasobniku.

 

Hmmm, a sprawdź co się stanie po całkowitej deaktywacji McAfee AntiVirus Plus. To też może nie być kompletny test, gdyż jedyną gwarancję, że nie koliduje oprogramowanie zabezpieczające, daje jego testowa deinstalacja. Nie wiem też w jakiej wersji masz to oprogramowanie, gdyż w logach z DDS nie ma dat tak jak w OTL.

 

 

 

.

[alfa4ce]

Potwierdzam, dziś mogę już pobrać aktualizację Flash Player'a. Zaktualizowałem.

McAfee jest świeżo zaktualizowany w wersji 3.4.0.143.

 

Wracając do problemu ze Skypem...

Sprawdziłem jak się zachowuje Skype po wyłączeniu antywirusa oraz po jego całkowitym odinstalowaniu, i tak:

• wyłączenie skanera antywirusowego było bez wpływu, Skype nie zamyka się prawidłowo, a po restarcie nie ląduje w zasobniku systemowym;
  
• całkowita deinstalacja skanera spowodowała, że Skype ładował się do zasobnika systemowego, lecz nie miało to wpływu na sposób jego wyłączenia podczas zamykania systemu, tzn. pokazuje się okno systemowe z komunikatem Trwa kończenie programu... Czekaj, a następnie komunikat Program nie odpowiada, po którym system zostaje zamknięty. Sprawdziłem to dla kilku wariantów zamknięcia systemu, za każdym razem Skype ładował się do zasobnika.
  
• zainstalowałem McAfee ponownie, jednak problem powrócił.
  
• deinstalacja programu, który wymaga restartu, np. odinstalowanie sterowników powoduje, że system jest zamykany natychmiast i Skype po takim restarcie ładuje się do zasobnika - sprawdzone z zainstalowanym McAfee.
  
• instalacja Skype w starej wersji 3.1 była pozbawiona trudności z zakończeniem programu podczas zamykania systemu i za każdym razem ładowała się do zasobnika. Po aktualizacji do najnowszej wersji problem jednak wrócił.
  

Powyższe operacje nie miały wpływu na OTL - dalej się nie uruchamia.

Nie zauważyłem też żadnych innych problemów w działaniu systemu.

[picasso]

Z tym Skype to dla mnie tajemnica co się dzieje, ale Skype w wersji 3.1 nie może pozostać w systemie (luki).

 

1. Wypróbuj jeszcze czy ma znaczenie dla zamykania Skype podczas kończenia pracy systemu zestaw innych procesów chodzących w tle. Tzn. przeprowadź test z czystym rozruchem: KB331796.

 

2. Dostarcz pełne Dzienniki zdarzeń do analizy. Tzn. Start > Uruchom > eventvwr.msc > z prawokliku na gałązki SYSTEM i Aplikacje zapisz je do nowych plików EVT, pliki te do ZIP > na hosting > podaj link.

 

 

Powyższe operacje nie miały wpływu na OTL - dalej się nie uruchamia.

 

Ktoś mi przekazał informację, co sądzi o tym błędzie autor narzędzi OTL/OTS. W jednym przypadku podejrzewał McAfee, inna możliwa przyczyna wg jego słów to "brakujący, uszkodzony lub wyrejestrowany plik systemowy, niestety nie ma możliwości precyzyjnej weryfikacji o który może chodzić".

 

 

 

.

[alfa4ce]

Powyższe punkty będę realizował, gdy tylko będę miał dostęp do tego komputera.

 

Chciałem natomiast dodać informację o tym, że dziś McAfee znalazł i usunął trojana Artemis!3270CB86F79B, ulokowanego w pliku OTL.exe, którego pobrałem podczas ostatnich testów uruchomienia tego programu (czyli świeża wersja z wczoraj). O co może tu chodzić?

 

 

Pierwszy Artemis był w:

C:\documents and settings\alfa\ustawienia lokalne\dane aplikacji\f9a687bd\4\8000cs.$

 

(uzupełniłem tylko usera w lokalizacji z pierwszego postu)

Edytowane 15 Listopada 2011 przez alfa4ce

[picasso]

Chciałem natomiast dodać informację o tym, że dziś McAfee znalazł i usunął trojana Artemis!3270CB86F79B, ulokowanego w pliku OTL.exe, którego pobrałem podczas ostatnich testów uruchomienia tego programu (czyli świeża wersja z wczoraj). O co może tu chodzić?

 

Może o to, że ów Artemis tytułowy (nie podałeś precyzyjnie gdzie on był wykrywany) od początku był fałszywym alarmem McAfee na OTL. Takie wnioski się nasuwają. To nie byłby pierwszy program skanujący, który błędnie wykrywa strukturę OTL (np. czepia się OTL także Dr. Web widząc w nim niesłusznie "backdoora").

 

EDIT: Doedytowałeś, czyli Artemis jednak był gdzie indziej. Ale podtrzumuję, jeśli infekcja zostało usunięta, to wykrycie samego nowo pobranego OTL jako trojana dzwoni nieprawidłową detekcją.

 

 

.

Edytowane 15 Listopada 2011 przez picasso

[alfa4ce]

1. Wypróbuj jeszcze czy ma znaczenie dla zamykania Skype podczas kończenia pracy systemu zestaw innych procesów chodzących w tle. Tzn. przeprowadź test z czystym rozruchem: KB331796.

 

Wyłączenie wszystkich usług (poza usługami Microsoft) przy wyłączonych wszystkich aplikacjach w zakładce Uruchamianie - zamykanie się Skype, takie jak wcześniej. Natomiast bez problemu ładuje się on do zasobnika systemowego.

 

Podobnie jest dla wyłączonych usług i załączonych wszystkich aplikacji z Uruchamiania.

 

Inny test

Jeśli z całego zbioru usług wyłączę te poniższe (przy wszystkich załączonych z zakładki Uruchamianie):

1. McAfee Network Agent
   
2. McAfee Proxy Service
   
3. McAfee Validation Trust Protection Service
   

to Skype ładuje się do zasobnika.

 

Jednak podczas tych prób, Skype nigdy nie zamknął się prawidłowo.

 

2. Dostarcz pełne Dzienniki zdarzeń do analizy...

 

Oto dzienniki: event.zip

[picasso]

Tak patrząc na Twoje Dzienniki, to nie tylko OTL/OTS zwraca ten błąd z kernel32.dll, Pajączek także:

 

Event ID: 1000 Source: Application Error
Faulting application pajaczek.exe, version 5.0.2.839, faulting module kernel32.dll, version 5.1.2600.5781, fault address 0x00012afb.

 

Chwilowo nie mam pomysłu jak to precyzyjnie zdiagnozować.

 

 

Jeśli z całego zbioru usług wyłączę te poniższe (...) to Skype ładuje się do zasobnika.

 

Wątpię czy tu się da coś zrobić. Przyczynę znasz = McAfee.

 

 

Jednak podczas tych prób, Skype nigdy nie zamknął się prawidłowo.

 

W Dziennikach zdarzeń brak danych na ten temat. Ale możliwe, że to jest bug Skype, otóż na forum supportu Skype taki problem zgłosiło kilka osób: KLIK / KLIK.

 

Ostatecznie, jako obejście problemu można spróbować wymuszonego zabijania procesu Skype przy zamykaniu, za pomocą systemu skryptów gpedit.msc (posiadasz XP Pro):

 

1. Otwórz Notatnik i wklej w nim (do wypróbowania po kolei dwa rodzaje komend):

 

"C:\Program Files\Skype\Phone\Skype.exe" /shutdown

 

lub:

 

taskkill /IM Skype.exe /F

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako ZAMKNIJ.BAT

 

2. Start > Uruchom > gpedit.msc. Przejdź do Konfiguracja komputera > Ustawienia Windows > Skrypty > Zamykanie > przez Dodaj wskaż utworzony przez Ciebie plik BAT.

 

3. Przetestuj czy to działa zgodnie z planem.

 

 

 

.

[alfa4ce]

Zadziałał wariant drugi zabijania procesu Skype.

 

Co do McAfee, to moja licencja na aktualizacje wygasa z końcem roku, więc w takim razie nie ma się co tym martwić.

 

Błąd w module kernel32.dll i Pajączek - rzeczywiście, potwierdzam też się wysypuje.

 

----------------------------

Dziękuję Picasso i Landuss za pomoc w dezynfekcji. Gdyby pojawiło się jakieś rozwiązanie błędu w kernel32, to proszę o info na PW.

Jeszcze raz dzięki.

Edytowane 27 Listopada 2011 przez alfa4ce