Podejrzenie ZeroAccess

[Kainmaze9]

Witam. Infekcja była 'dokonana' 25.11.2011 w godzinach wieczornych. Buszowałem po internecie, aż zdecydowałem odwiedzić się stronę stalker(dot)pl. Java zaczęła wyczyniać cuda i ogólnie zaczęły dziać się dziwne rzeczy, więc postanowiłem wyłączyć zakładkę. Jak na złośliwość rzeczy martwych przystało, właśnie wtedy pojawiło się okienko pytające z funkcją tak/nie. Niechcący kliknąłem 'tak' i na moim pulpicie pojawiła się ikonka fałszywego antywirusa który wszystko blokował. Wiedziałem, że to wirus, więc wykonałem w trybie awaryjnym skan hijackiem i usunąłem wadliwe komponenty.

 

Wydawać się mogło, że sprawa załatwiona, gdyby nie przekierowania z google na niewłaściwe strony. Malwarebytes pokazywał przy tym komunikaty o blokowaniu połączenia wychodzącego. Zainstalowałem aktualizację i wykonałem skan. Usunęło 7 pomniejszych wirusików. Przekierowania ustały, ale wciąż od czasu do czasu pokazywał się komunikat, choćby podczas logowania na pocztę (spokojnie, mam tyle oleju w głowie, żeby nie logować się na swoją główną pocztę jeżeli podejrzewam infekcję . Komunikat wygląda tak:

 

 

Wykonywane były skany:

 

OTL Log ; Extras

 

TDSSKiller Log

 

Antizeroaccess Log

 

Malwarebytes Anti-Malware

 

Combofix

 

Sprawa z Combofixem jest o tyle dziwna, że podczas pierwszego skanowania wyskoczył komunikat o obecności ZeroAccess. Chwilę potem komunikat o usunięciu go. Chciałem kontynuować skanowanie, ale nie pojawił się nawet etap 1, wciąż stało w miejscu, nawet po upływie godziny. To samo w trybie awaryjnym, choć wspomnę, że później komunikaty o znalezieniu ZA nie pojawiały się. Niestety na pclabie twierdzą inaczej - zeroaccess wciąż istnieje w systemie.

[picasso]

Nie podałeś linka gdzie pierwotnie obrabiano temat.

 

 

Sprawa z Combofixem jest o tyle dziwna, że podczas pierwszego skanowania wyskoczył komunikat o obecności ZeroAccess. Chwilę potem komunikat o usunięciu go. Chciałem kontynuować skanowanie, ale nie pojawił się nawet etap 1, wciąż stało w miejscu, nawet po upływie godziny. To samo w trybie awaryjnym, choć wspomnę, że później komunikaty o znalezieniu ZA nie pojawiały się.

 

Wejdź do C:\Qoobox i sprawdź czy jest sekwencja logów.

 

ZeroAccess oczywiście tu był, tylko nie został precyzyjnie usunięty. Trzymając się logów z TDSSKiller oraz Webroot brak już czynności na poziomie sterowników (leczenie tej partii już musiało się ukończyć). Po ZeroAccess pozostało:

 

---- to przekierowanie w Winsock, nie widać jednak, by fałszywy moduł był załadowany, może tu wystarczy tylko zresetować łańcuch:

 

O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000006 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000007 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000008 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000009 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000010 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000011 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000012 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000013 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000014 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000015 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000016 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000017 - mswsock.dll File not found

 

- ten folder i plik o wadliwej nazwie niewidzialnej dla systemu:

 

[2011-11-24 19:35:56 | 000,000,000 | -HSD | C] -- C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\9bc21910
File not found -- C:\WINDOWS\System32\

 

- przypuszczalnie i brak sygnatury tego sterownika systemowego to też konsekwencja infekcji:

 

DRV - [2008-06-16 14:28:36 | 000,456,576 | ---- | M] () [File_System | System | Running] -- C:\WINDOWS\system32\drivers\mrxsmb.sys -- (MRxSmb)

 

Pytaniem jest czy to jakiś sztucznie tweakowany Windows, gdyż notuję następujące uszczerbki w usługach (a Dziennik zdarzeń pluje niemożnością startu usług):

 

SRV - File not found [Auto | Stopped] --  -- (wscsvc)
SRV - File not found [Auto | Stopped] --  -- (ERSvc)
SRV - File not found [On_Demand | Stopped] --  -- (cisvc)
SRV - File not found [On_Demand | Stopped] --  -- (ALG)

 

 

---

1. Odinstaluj śmieci paskowe: Ask Toolbar, Conduit Engine, NCH Toolbar, SHOUTcast Radio Toolbar, XfireXO Toolbar. Usuwanie przeprowadź w dwóch miejscach: menedżer rozszerzeń Firefox oraz Dodaj / Usuń programy. Dodatkowo, w Firefox przy pasku wyszukiwania rozwiń strzałkę > Zarządzaj wyszukiwarkami > ustaw np. Google na pierwszej pozycji domyślnej a "XfireXO Customized Web Search" odinstaluj. Przy okazji, możesz też wywalić w Dodaj / Usuń Logitech Desktop Messenger (to śmietnik newsów producenta, zbędny do pracy sprzętu).

 

2. Przesyłam plik mrxsmb.sys w wersji XP SP3, ulokuj go w umownym katalogu C:\Pliki: KLIK. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Processes
killallprocesses
 
:Files
C:\WINDOWS\system32\dllcache\mrxsmb.sys|C:\Pliki\mrxsmb.sys /replace
C:\WINDOWS\system32\drivers\mrxsmb.sys|C:\Pliki\mrxsmb.sys /replace
C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\9bc21910
del "\\?\C:\WINDOWS\System32\ " /C
netsh winsock reset /C
 
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\WINDOWS\explorer.exe"=-
"C:\Documents and Settings\User\Ustawienia lokalne\Temp\0.20413331784234623fdrgs.exe"=-
"C:\Documents and Settings\User\Ustawienia lokalne\Temp\~!#550.tmp"=-
"C:\Documents and Settings\All Users\Dane aplikacji\privacy.exe"=-
"C:\Documents and Settings\User\Dane aplikacji\WMPRWISE.EXE"=-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc]
"Start"=dword:00000004
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc]
"Start"=dword:00000004
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cisvc]
"Start"=dword:00000004
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ALG]
"Start"=dword:00000004
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\helpsvc]
"Start"=dword:00000004
 
:OTL
SRV - [2011-06-26 07:45:56 | 000,256,000 | R--- | M] () [Auto | Stopped] -- C:\ComboFix\pev.3XE -- (PEVSystemStart)

 

Rozpocznij przez Wykonaj skrypt. System zostanie zrestartowany i otworzy się log z wynikami.

 

3. Wykonaj nowe logi do oceny: OTL z opcji Skanuj (Extras już nie potrzebuję) oraz AD-Remover z opcji Scan. Dorzuć i log z wynikami usuwania pozyskany w punkcie 2.

 

 

 

 

.

[Kainmaze9]

Krok 1 wykonany.

 

Krok 2:

Po wykonaniu skryptu system nie restartuje się, znika jedynie proces explorer.exe i pojawia się komunikat:

Żadnego logu z wynikami nie ma. Taką samą sytuację miałem podczas wykonywania innego skryptu z pclabu [Link]

 

3. Nowego logu z OTL nie wykonuje, ponieważ nie zaszły żadne zmiany, gdyż skrypt nie został wykonany (jeżeli się mylę to mnie naprostuj).

 

Log z Ad-removera:

http://wklej.org/hash/66b3d661197/

[picasso]

Wejdź w Tryb awaryjny Windows i zastosuj skrypt obcięty o komendę zabijania procesów:

 

:Files
C:\WINDOWS\system32\dllcache\mrxsmb.sys|C:\Pliki\mrxsmb.sys /replace
C:\WINDOWS\system32\drivers\mrxsmb.sys|C:\Pliki\mrxsmb.sys /replace
C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\9bc21910
del "\\?\C:\WINDOWS\System32\ " /C
netsh winsock reset /C
 
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\WINDOWS\explorer.exe"=-
"C:\Documents and Settings\User\Ustawienia lokalne\Temp\0.20413331784234623fdrgs.exe"=-
"C:\Documents and Settings\User\Ustawienia lokalne\Temp\~!#550.tmp"=-
"C:\Documents and Settings\All Users\Dane aplikacji\privacy.exe"=-
"C:\Documents and Settings\User\Dane aplikacji\WMPRWISE.EXE"=-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc]
"Start"=dword:00000004
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc]
"Start"=dword:00000004
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cisvc]
"Start"=dword:00000004
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ALG]
"Start"=dword:00000004
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\helpsvc]
"Start"=dword:00000004
 
:OTL
SRV - [2011-06-26 07:45:56 | 000,256,000 | R--- | M] () [Auto | Stopped] -- C:\ComboFix\pev.3XE -- (PEVSystemStart)

 

 

PS. ZeroAccess to nie jest bootkit. Bootkit oznacza infekcję w sektorze startowym dysku.

 

 

.

[Kainmaze9]

Log po wykonaniu skryptu:

http://wklej.org/hash/690a06cbb39/

[picasso]

Skrypt wykonany w całości prawidłowo. Wykonaj proszę nowy pełny log z OTL opcją Skanuj.

[Kainmaze9]

Proszę bardzo:

http://wklej.org/hash/afa471a13ff/

[picasso]

Wszystko zostało wykonane, nie ma już zadnych śladów ZeroAccess w raporcie. Możemy się zająć szczątkami adware pobocznych. Akcje, które nie wyglądają na przeprowadzone: deinstalacja Ask Toolbar (nadal siedzi w IE i Firefox) oraz wyrzucenie wyszukiwarki "XfireXO Customized Web Search" z Firefox. To już zaadresuje ta kombinacja:

 

1. Zamknij Firefox. Uruchom AD-Remover w trybie Clean.

 

2. Poprawka na wpisy, których powyższy proces nie ruszy. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
SRV - File not found [Auto | Stopped] --  -- (PEVSystemStart)
IE - HKCU\..\URLSearchHook: {c2db4fe6-8409-45ce-8010-189a7b5cce86} - No CLSID value found
FF - prefs.js..browser.search.defaultthis.engineName: "XfireXO Customized Web Search"
FF - prefs.js..browser.search.selectedEngine: "XfireXO Customized Web Search"
FF - prefs.js..extensions.enabledItems: {12e4c684-c03e-4e4d-85bc-0c065e7a9489}:5.23.2.10
FF - prefs.js..extensions.enabledItems: {c2db4fe6-8409-45ce-8010-189a7b5cce86}:2.7.2.0
FF - prefs.js..extensions.enabledItems: {5e5ab302-7f65-44cd-8211-c1d4caaccea3}:3.2.5.2
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.)

 

Klik w Wykonaj skrypt.

 

3. Przedstaw do oceny nowy log z AD-Remover z opcji Scan. Tyle wystarczy.

 

 

 

.

[Kainmaze9]

Log z OTL:

http://wklej.org/hash/e952234391f/

 

Log z Ad-remover:

http://wklej.org/hash/ab040c6e771/

[picasso]

Kolejna porcja operacji:

 

1. AD-Remover widzi jeszcze drobne kluczyki Ask Toolbar, toteż ponownie wywołaj akcję Clean.

 

2. Posprzątaj po używanych narzędziach, w tej a nie innej kolejności:

• Odinstaluj AD-Remover
  
• Odinstaluj ComboFix w Start > Uruchom > wklejając komendę: "C:\Documents and Settings\User\Pulpit\ComboFix.exe" /uninstall
  
• W OTL uruchom Sprzątanie.
  

3. Wyczyść foldery Przywracania systemu: INSTRUKCJE.

 

4. Przeskanuj system przez Kaspersky Virus Removal Tool. Przedstaw wyniki typu "Detected threats", o ile takowe będą.

 

 

 

.

[Kainmaze9]

Wszystko zrobione.

 

Kaspersky pod koniec zachowywał sie dość dziwnie, bo co 2 plik zacinał się i pomagało tylko skipowanie. Wyniki nie są niepokojące (a przynajmniej wg. mnie), bo niby wykryło zagrożenia typu Trojan.Win32.Patched.mf ale znajduje się ono w plikach znanych mi programów takich jak InCD, Spyware Terminator, Malwarebytes, Java, Hamachi. Niepokoi mnie tylko 1 ścieżka, a mianowicie rzekomy wirus w ścieżce C:/Windows/system32/nvsvc32.exe

 

O ile się nie mylę, to nie jest to plik systemowy, ponieważ w tym folderze powinny być głównie pliki .dll?

[picasso]

O ile się nie mylę, to nie jest to plik systemowy, ponieważ w tym folderze powinny być głównie pliki .dll?

 

Skąd ta teoria?

 

 

Wyniki nie są niepokojące (a przynajmniej wg. mnie), bo niby wykryło zagrożenia typu Trojan.Win32.Patched.mf ale znajduje się ono w plikach znanych mi programów takich jak InCD, Spyware Terminator, Malwarebytes, Java, Hamachi. Niepokoi mnie tylko 1 ścieżka, a mianowicie rzekomy wirus w ścieżce C:/Windows/system32/nvsvc32.exe

 

Nie bez kozery dałam skan Kasperskym, by przekonać się czy nie ma tu więcej naruszeń przez infekcję. Otóż wyniki są niepokojące. Wszystkie te wyniki to infekcja ZeroAccess. Tak, trojan infekuje procesy prawidłowych programów, wyniki w Kasperskym "patched" to dokładnie to co mówi opis. A ten wg Ciebie "rzekomy wirus" wygląda na naruszone przez ZeroAccess oprogramowanie nVidia (to usługa NVIDIA Driver Helper Service, która operuje właśnie na pliku w system32), instalacja nVidia potwierdzona na Twoim systemie. Przy okazji, to może wyjaśniać zachowanie skryptów z komendą zabijania procesów i ów błąd MBAM. Teraz pytanie: co Kaspersky robił z tymi plikami, leczył / kasował?

 

PS. Tak w ogóle to miałeś tu wkleić raport z Kasperskiego 1:1 przedstawiający ten rodzaj wyników, a nie próbować słownie opisywać co widzisz.

 

 

 

.

[Kainmaze9]

Nie mogłem zamieścić logu, gdyż nie powstał. Zaraz spróbuję jeszcze raz i zedytuję posta. Co do czynności Kaspersky'ego - miałem do wyboru leczenie bądź kasowanie, lecz leczenie nie skutkowało, a kasować się bałem.

 

@Edit 1:

Przy skanowaniu Kasperskym coś się zepsuło. Gdy próbuję odpalić dowolny program, czy to notatnik, czy paint, wyskakuje mi informacja, że plik nie jest prawidłową aplikacją systemu win32 i od czasu do czasu podczas używania opery informacja o pliku w bibliotece DLL. Ścieżką jest windows32/Macromedia/Flash.

 

Dokładna treść komunikatu:

Aplikacja lub biblioteka DLL C://WINDOWS/system32/Macromed/Flash/NPSWF32.dll nie jest obrazem systemu Windows NT. Sprawdź z dyskietką informacyjną

 

Mam pobrać plik z dll-files.com?

 

Skanowanie nadal w toku, 5 threatsów, strasznie spowolniło przy 97%.

 

Log:

http://wklej.org/hash/cc1bc106476/

[picasso]

Co do czynności Kaspersky'ego - miałem do wyboru leczenie bądź kasowanie, lecz leczenie nie skutkowało, a kasować się bałem.

 

Programy są zainfekowane, leczenie nie skutkuje, kasuj te pliki, a oprogramowanie przeinstaluj.

 

 

 

Przy skanowaniu Kasperskym coś się zepsuło. Gdy próbuję odpalić dowolny program, czy to notatnik, czy paint, wyskakuje mi informacja, że plik nie jest prawidłową aplikacją systemu win32 i od czasu do czasu podczas używania opery informacja o pliku w bibliotece DLL. Ścieżką jest windows32/Macromedia/Flash.

 

 

Dokładna treść komunikatu:

Cytat

 

Aplikacja lub biblioteka DLL C://WINDOWS/system32/Macromed/Flash/NPSWF32.dll nie jest obrazem systemu Windows NT. Sprawdź z dyskietką informacyjną

 

Mam pobrać plik z dll-files.com?

 

 

Hmmm, komunikat "nie jest prawidłową aplikacją systemu win32" jest charakterystyczny dla uszkodzenia plików, czy ten komunikat występuje także po restarcie? Natomiast NPSWF32.dll to jest Flash, przeinstaluj Flash posługując się w pierwszej kolejności firmowym deinstalatorem, który linkuję w temacie przyklejonym: KLIK.

 

 

 

,

[Kainmaze9]

Rozpoczynam usuwanie plików Kasperskym, błąd występował jedynie podczas skanowania, naprawił się sam

[Kainmaze9]

Przepraszam za double posta, ale chciałem dać znać, że pojawiła się aktywność w temacie (edycja czegoś takiego nie daje)

 

Usunąłem zagrożenia w Kasperskym. Co teraz?

[picasso]

Nie było potrzeby podbijać tematu, ja wiem co mam we własnym dziale i sprawdzam okresowo tematy, w których odpowiedź sugeruje dalsze wykonywanie działań i pojawienie się nowych informacji.

 

 

Usunąłem zagrożenia w Kasperskym. Co teraz?

 

Rozumiem, że wykonałeś reinstalację wszystkich naruszonych programów (MBAM, Nero, nVidia, Hamachi, Java, Flash), zaś Kaspersky nic już nie wykrywa. Tylko w takim przypadku można przejść do:

 

1. Czyszczenie lokalizacji tymczasowych za pomocą TFC - Temp Cleaner. Program wdraża identyczny mechanizm jak komenda w OTL, która nie była pomyślna. Dla wszelki wypadek uruchom program z poziomu Trybu awaryjnego Windows.

 

2. Czyszczenie folderów przywracania systemu: INSTRUKCJE.

 

3. Dla bezpieczeństwa wymiana haseł logowania w serwisach.

 

4. Aktualizacja oprogramowania: INSTRUKCJE. Na Twojej liście zainstalowanych były widoczne w OTL Extras:

 

Internet Explorer (Version = 7.0.5730.11)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
""{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java™ 6 Update 27
"{AA59DDE4-B672-4621-A016-4C248204957A}" = Skype™ 5.5
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player 11.6
"Mozilla Firefox (3.6.23)" = Mozilla Firefox (3.6.23)
"Spyware Terminator_is1" = Spyware Terminator

 

- Wątek Java i Flash już zdaje się być nie na czasie, gdyż miała być wykonana reinstalacja, w zamiarze wstawiająca najnowsze wersje. Tylko, czy Flash na pewno był aktualizowany w obu wersjach IE i Firefox/Opera?

- Spyware Terminator to w mojej opinii biedne zabezpieczenie. Soft nie jest też najnowszy. Zostaw MBAM jako skaner na żądanie, za to doinstaluj pełnowartościowe dedykowane oprogramowanie antywirusowe i firewall.

 

 

 

 

.

[Kainmaze9]

Wszystko zrobione, Kaspersky niczego nie wykazuje. Dziękuję za pomoc