Rootkit ZeroAccess

[Jawor86]

C:\Users\Jawor\Downloads\ComboFix.exe /uninstall

Wyświetla mi się umowa licencyjna, jak wcześniej przed uruchomieniem, kiedy skanowałem kompa program combofix, tak ma być?

[picasso]

Tak ma być, tylko początek zdaje się wyglądać jak normalne uruchomienie.

[Jawor86]

combofix wykrył, że ochrona rezydenta Antyvir Desktop jest aktywna i mam ją zamknąć przed wciśnięciem ok?

Aviry nie instalowałem od czasu jej usunięcia.

Dałem ok, pojawił się okno błędu bez informacji oraz później kolejne okno, że combofix został odinstalowany.

 

Hasła bankowe, które nie zapamiętują się w wyszukiwarkach też mam zmienić? Od czasu pojawienia się rootkita nie logowałem się do banku ani razu.

[picasso]

Jest przyklejony temat z opisem działania ComboFix KLIK, który mogłeś zastosować jako porównanie. Deinstalacja w początkowej fazie, gdy to narzędzie się uruchamia, wygląda tak samo jak start programu w celu skanowania. Jest tam również w spoilerze pewna uwaga na temat detekcji rezydenta w sytuacji, gdy program jest odinstalowany. I właśnie:

 

Avirę wywalaliśmy z systemu, jeśli nie instalowałeś jej ponownie, zgłoszony tu komunikat jest całkowicie bez znaczenia. ComboFix pobiera dane o czynnym rezydencie z WMI. Dane te mogą pozostać nawet po deinstalacji aplikacji i ComboFix jest wprowadzany w błąd. W takiej sytuacji: zignoruj co mówi ComboFix + usuń rejestrację Avira z WMI za pomocą narzędzia wbemtest.exe KLIK.

[Jawor86]

katalogi config.msi, MSOCache, Recovery są dalej widoczne na partycji C po sprzątaniu wykonanym OTLem.

Mogę usunąć ze wszystloch partycji katalog $RecycleBin?

[picasso]

katalogi config.msi, MSOCache, Recovery są dalej widoczne na partycji C po sprzątaniu wykonanym OTLem.

 

Ukryj je sobie ręcznie w Opcjach folderów.

 

 

Mogę usunąć ze wszystloch partycji katalog $RecycleBin?

 

To Kosze. Jaki cel usuwania? Katalogi Koszy i tak zostaną po skasowaniu zregenerowane, przy pierwszej podjętej akcji kasacji na danej partycji.

 

 

 

 

.

[Jawor86]

Jest zaznaczona opcja ukryj chronione pliki systemu operacyjnego oraz nie pokazuj ukrytych plików, folderów i dysków. Ponowne wyłączenie i załączenie tych opcji nie daje żadnego efektu.

 

EDIT: Wszedłem we właściwości każdego z folderów i wybrałem atrybut ukryty. Pliki zostały ukryte.

 

Co do RecycleBin, mogę je chociaż ukryć? Po generalnie one wnoszą tylko bałagan w strukturę folderów na partycji, więc nie muszę ich widzieć?

[picasso]

To nie jest prawidłowe, że pewne foldery utraciły atrybuty. Recovery, $Recycle.Bin i Config.Msi powinny mieć dodatkowo atrybut "S" (Systemowy) i znikać z widoku po zaznaczeniu opcji "Ukrywaj chronione pliki systemu operacyjnego". Nałóż ponownie atrybuty. Otwórz Notatnik i wklej w nim:

 

ATTRIB +S C:\Recovery
ATTRIB +S C:\Config.Msi
ATTRIB +S +H C:\$Recycle.Bin
ATTRIB +S +H D:\$Recycle.Bin
ATTRIB +S +H E:\$Recycle.Bin
PAUSE

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT

 

Z prawokliku na plik BAT wybierz Uruchom jako Administrator.

 

 

 

.

[Jawor86]

Recycle zniknęły. Pozostałe katalogi bez zmian, nie został dodany atrybut systemowy.

 

Rozumiem, że w katalogu MSOCache, mogę dodać ręcznie atrybut ukryty we właściwościach folderu?

[picasso]

Pozostałe katalogi bez zmian, nie został dodany atrybut systemowy.

 

Dodałam tylko atrybut S, bo mówiłeś, że H sam już dorobiłeś. Zrób kolejny BAT (Uruchomić należy jako Administrator) asygnujący dwa atrybuty na raz:

 

ATTRIB +S +H C:\Recovery
ATTRIB +S +H C:\Config.Msi
ATTRIB +S +H C:\MSOCache

 

 

Rozumiem, że w katalogu MSOCache, mogę dodać ręcznie atrybut ukryty we właściwościach folderu?

 

Można i tak, ale ta opcja adresuje tylko atrybut H, atrybut S jest niemożliwy do przypisana z poziomu tego okna dialogowego. To tylko z linii komend wykonalne. Toteż w powyższym BAT dodałam do zestawu i MSOCache.

 

 

 

.

[Jawor86]

Wielkie dzięki za pomoc. Temat można chyba zamknąć. Obym jak najrzadziej zakład tematy na forum w tym dziale

[Jawor86]

Cześć,

 

Jakiś czas temu miałem problem z rootkitem zero access, ale dzięki Picasso został on rozwiązany.

 

Dzisiaj przeskanowałem laptopa aplikacją Malwarabytes AntiMalware (pełne skanowanie) i niby znalazł 2 rootkity zero access, w tych miejscach:

C:\Windows\ServiceProfiles\LocalService\AppData\Local\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb (Rootkit.Zeroaccess) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.

C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb (Rootkit.Zeroaccess) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.

 

Chciabym się zapytać czy jest to powód do niepokoju, powód do przedstawienia specjalistycznych logów na forum. Chciałbym zaznaczyć, że laptop zachowuję się w porządku. Zainstalowany avast niczego nie sygnalizował. Nie wiem skąd tym razem pojawił się ten plik, może była to jakaś pozostałość po starej infekcji

[picasso]

Tematy łączę. Ja sądzę, że to są stare niedoczyszczone wyniki z tamtego okresu.

[Jawor86]

Dziękuję za szybką odpowiedź. Wykonuję teraz pełne skanowanie Avastem, jakby były jakieś niepokojące rezultaty, to je umieszczę. Pozdrawiam

Edytowane 13 Lutego 2012 przez picasso
13.02.2012 - Upłynęło trochę czasu, brak dodatkowych komentarzy, temat uznaję za ukończony. //picasso