Skocz do zawartości

Jakiś niemiły backdoor


Rekomendowane odpowiedzi

Witam,

Mam na imię Problem.

 

 

Na kompie ( Windows XP , SP3 ) antywirus AVG Free Edition 2012 wykrył wirusa o nazwie - Backdoor.Generic26.QP i kilka innych teraz nigdzie nie są widoczne:/

Lokalizacja podana przez AVG - C:\windows\assembly\GAC_MSIL\Desktop.ini

 

Niestety leczenie przez AVG nie daje rezultatu , pojawia się komunikat :

 

"Usunięcie obiektu nie jest możliwe przy użyciu zaawansowanych technik.Przenoszenie obiektu do kwarantanny nie powiodło się.Czy na pewno chcesz usunąć C:\windows\assembly\GAC_MSIL\Desktop.ini "

 

po wyborze "TAK" komunikat :

 

"Skanuj wymaga ponownego uruchomienia "

 

po uruchomieniu sytuacja się powtarza itd.

 

Próbowałem uruchomić ComboFix tak jak w podobnym poście ale ładuje się i nie do końca... i nie moge tak na prawdę z niego skorzystać, odłączałem od sieci, wyłączałem zapory, odinstalowałem kasperskiego i nic. (teraz mam AVG 2012)

 

(załączam 2 logi z OTL, nie wiedziałem jakie funkcje zaznaczyć, pierwsza jest skromna, szybki skan, dużo ograniczeń zaś druga na full pełne wszystko, przepraszam za kłopot) +log z hijackthis

 

nie wytrzymam z tym kompterem:(

Proszę o pomoc.

OTL.Txt

Extras.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
(załączam 2 logi z OTL, nie wiedziałem jakie funkcje zaznaczyć, pierwsza jest skromna, szybki skan, dużo ograniczeń zaś druga na full pełne wszystko, przepraszam za kłopot) +log z hijackthis

 

Wiedziałbyś, gdybyś przeczytał zasady działu i przyjrzał się na konfigurację programu: KLIK. Log jest źle skonfigurowany - wszędzie ma być Użyj filtrowania. A HijackThis nie jest tu przyjmowany (usuwam), to jest program za słaby w bieżących warunkach, w pełni zastępuje go OTL.

 

 

Próbowałem uruchomić ComboFix tak jak w podobnym poście ale ładuje się i nie do końca... i nie moge tak na prawdę z niego skorzystać, odłączałem od sieci, wyłączałem zapory, odinstalowałem kasperskiego i nic. (teraz mam AVG 2012)

 

ComboFix to nie jest narzędzie domowego użytku, stosowane bez żadnych przygotowań i sprawdzenia systemu (!): KLIK. Ponadto, namieszałeś w antywirusach, aktualnie wspólnie działają resztki Kasperskiego z AVG. Bardzo niezdrowa sytuacja.

 

 

AVG Free Edition 2012 wykrył wirusa o nazwie - Backdoor.Generic26.QP i kilka innych teraz nigdzie nie są widoczne:/

Lokalizacja podana przez AVG - C:\windows\assembly\GAC_MSIL\Desktop.ini

 

Niestety leczenie przez AVG nie daje rezultatu

 

Zawartość katalogu C:\Windows\assembly jest niedostępna w pełni spod Windows Explorer, w związku z tym nie widzisz tego co tam faktycznie jest. Folder jest znacznie bardziej rozbudowany. Druga sprawa: to co jest wykryte w tym folderze to obiekt od rootkita ZeroAccess i to jest jedynie podrzędny jego element. Obecność rootkita potwierdzona logiem z OTL. Wstępnie rozpocznij od użycia narzędzia Webroot AntiZeroAccess. Przedstaw log wynikowy z pracy. Dodatkowo, stwórz po tej akcji nowy log z OTL opcją Skanuj, posiłkując się konfiguracją z forum.

 

 

 

.

Odnośnik do komentarza
Teraz chce dodać dwa pliki z logami ale nie widze funkcji załącznik dlatego dodam po edycji.

 

Załączniki widać tylko, gdy otworzy się edytor pełny.

 

 

niestety zrobił mi się tylko jeden log z OTL a nie dwa jak jest w instrukcji

 

Mówiłam: wszystkie opcje ustawione na "Użyj filtrowania". OTL uruchomiony więcej niż raz przestawia "Rejestr - skan dodatkowy" na "Brak", dlatego nie tworzy się Extras. Ale w tym konkretnym przypadku Extras po raz drugi nie jest mi potrzebny, to log główny jest najistotniejszy.

 

Oceniając operacje, zdaje się, że Webroot dał radę i usunął podstawowe komponenty ZeroAccess. Niemniej to nie jest wszystko co należy pod tym kątem wykonać, a jeszcze notowalne inne pliki infekcji na dysku. Kolejne operacje do przeprowadzenia:

 

1. Odinstaluj adware pdfforge Toolbar.

 

2. Usuń szczątki Kasperskiego posługując się firmowym deinstalatorem Kaspersky Remover.

 

3. Pobierz nową kopię ComboFix, uruchom zgodnie ze wskazówkami i przedstaw raport z działania.

 

 

 

.

Odnośnik do komentarza

Przy uruchamianiu COmbofix, wyskakuje mi "wykryto zagrożenie" C:\32788R22FWJF\CMD.3XE typu Malware.gen , nie byłem wstanie wyłączyć AVG (szukałem info na forum) więc wyłączyłem klienta, wyłączyłem zaporę windosowską, kabel od internetu i dalej mi nie działa. Wyskakuje jeszcze komunikat od Combofixa: Warning!! Do not run COmboFix in compatibility Mode. Doing so may damage the machine.

Odnośnik do komentarza
Przy uruchamianiu COmbofix, wyskakuje mi "wykryto zagrożenie" C:\32788R22FWJF\CMD.3XE typu Malware.gen , nie byłem wstanie wyłączyć AVG (szukałem info na forum) więc wyłączyłem klienta

 

Atakuje go AVG. Należy wejść do konfiguracji AVG i wyłączyć wszystkie osłony rezydentne + restart. Dopiero wtedy można uruchomić ComboFix. Nie jest pewne też czy aby AVG nie uszkodził ComboFix. Pobierz nową świeżą kopię.

 

 

Wyskakuje jeszcze komunikat od Combofixa: Warning!! Do not run COmboFix in compatibility Mode. Doing so may damage the machine.

 

A to nie wiem skąd. Chyba nie zmieniałeś we Właściwościach pliku Trybu zgodności?! Jeśli z nowej kopii ComboFix ujrzysz znów ten komunikat, stop, nie idź dalej.

 

 

.

Odnośnik do komentarza

zrobię tak. Chociaż, wczesniej (bez pozwolenia zanim zgłosiłem się na forum a tylko na nim czytałem o bardzo podobnym przypadku), odinstalowałem wszystkie antywiry, odłączyłem kabel. i combo nadal nie działał. No ale spróbuje to zrobić ponownie.

Niestety popołudniu. Wpadłem teraz na pomysł, że to może przez wersje wndowsa? Windows xp speed hacked by saper1972 z 2008roku. Kolega podobno podrasował tego wina kiedyś i tak długo już na nim jade. Może jest mało stabilny? Wiem, że chciałbym uniknać formata. Odezwe się z wynikiem jak wrócę.

Odnośnik do komentarza
Chociaż, wczesniej (bez pozwolenia zanim zgłosiłem się na forum a tylko na nim czytałem o bardzo podobnym przypadku), odinstalowałem wszystkie antywiry, odłączyłem kabel. i combo nadal nie działał. No ale spróbuje to zrobić ponownie.

 

Nie porównuj sytuacji wcześniej. Wcześniej działał rootkit, którego aktywność znosiłeś via Webroot, a który mógł być powodem blokowania narzędzia.

 

 

Wpadłem teraz na pomysł, że to może przez wersje wndowsa? Windows xp speed hacked by saper1972 z 2008roku. Kolega podobno podrasował tego wina kiedyś i tak długo już na nim jade. Może jest mało stabilny? Wiem, że chciałbym uniknać formata. Odezwe się z wynikiem jak wrócę.

 

To inna sprawa, z logów to już od początku wiem, że jeździsz na przeróbce. A posługiwanie się cudzymi przeróbkami jest ogólnie niekorzystne, nie wiadomo co się dzieje jak coś się zaczyna psuć, w rozumieniu diagnostyka musi jeszcze brać pod uwagę co namieszano w źródle Windows.

 

 

 

.

Odnośnik do komentarza

Co to znaczy "wywaliłem znowu"? To Ty w kółko deinstalujesz program?! Miało tu być tylko jedno podejście: deinstalujesz kompletnie na czas leczenia, a nie wstawianie go zaraz po usunięciu.

 

Skoro jest problem z uruchomieniem aplikacji, nie zostanie wykorzystana.

 

1. Jeszcze poprzednio ominęłam do deinstalacji QuickStores-Toolbar (adware doczepione do Unlockera).

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
netsh winsock reset /C
del "\\?\C:\Windows\System32\ " /C
del "\\?\C:\Documents and Settings\JA\Pulpit\Shiro Sagisu - " /C
C:\Documents and Settings\JA\Ustawienia lokalne\Dane aplikacji\3833e736
C:\Documents and Settings\NetworkService\Dane aplikacji\abpzlw.dat
C:\Documents and Settings\JA\Dane aplikacji\avdrn.dat
C:\WINDOWS\System32\drivers\str.sys
C:\WINDOWS\uyodekosubukaqib.dll
C:\WINDOWS\orikojegigudud.dll
C:\WINDOWS\egetacoy.dll
C:\WINDOWS\uholikufevorid.dll
C:\WINDOWS\ewanidopumam.dll
C:\WINDOWS\ikoyevevamiw.dll
C:\WINDOWS\ayiboludos.dll
C:\WINDOWS\ojepavidifex.dll
C:\WINDOWS\ucenopafebo.dll
C:\WINDOWS\icubuxid.dll
C:\WINDOWS\inozavoh.dll
C:\WINDOWS\opogatag.dll
C:\WINDOWS\isizepuf.dll
C:\WINDOWS\elimaqawepewapa.dll
C:\WINDOWS\isoqubub.dll
C:\WINDOWS\ufapahogevopeba.dll
C:\WINDOWS\epegewuxiqeniwa.dll
C:\WINDOWS\uhuguxav.dll
C:\WINDOWS\ofebubovidog.dll
C:\WINDOWS\udexavig.dll
C:\WINDOWS\onunures.dll
C:\WINDOWS\agoyafis.dll
C:\WINDOWS\evoqeqalux.dll
C:\WINDOWS\asuzifowasilare.dll
C:\WINDOWS\aqejugerudane.dll
C:\WINDOWS\idagubelix.dll
C:\WINDOWS\otomemapiqiy.dll
C:\WINDOWS\ezunukifasocuke.dll
C:\WINDOWS\eqizajifohavo.dll
C:\WINDOWS\ihufovavoxosok.dll
C:\WINDOWS\uzowejoguxaboko.dll
C:\WINDOWS\uvugakusa.dll
C:\WINDOWS\ewizosow.dll
C:\WINDOWS\efahuxew.dll
C:\WINDOWS\apahohil.dll
C:\WINDOWS\ejamuyixusumoca.dll
C:\WINDOWS\agisunogewusuya.dll
C:\WINDOWS\uxuwakevadazad.dll
C:\WINDOWS\ikicolalocupuw.dll
C:\WINDOWS\idofoqiwuhu.dll
C:\WINDOWS\ehiziwawazulaxu.dll
C:\WINDOWS\afuzevuladiwoxew.dll
C:\WINDOWS\egunalulin.dll
C:\WINDOWS\ifihopiranohi.dll
C:\WINDOWS\oquziresoxiwuvur.dll
C:\WINDOWS\esuziwawazulaxu.dll
C:\WINDOWS\ogoyafis.dll
C:\WINDOWS\ibawobey.dll
C:\WINDOWS\agiviqeme.dll
C:\WINDOWS\irunaqafotocedo.dll
C:\WINDOWS\icerokowuca.dll
C:\WINDOWS\edolufiwuzo.dll
C:\WINDOWS\udolufiwuzozawu.dll
C:\WINDOWS\alefiyasomizihaw.dll
C:\WINDOWS\oqejugerudane.dll
C:\WINDOWS\oyarojewujo.dll
C:\WINDOWS\eforihesogologiw.dll
C:\WINDOWS\izuzutazetifig.dll
C:\WINDOWS\efarabulezel.dll
C:\WINDOWS\aginerulatoqez.dll
C:\WINDOWS\osunoduse.dll
C:\WINDOWS\eviwosaf.dll
C:\WINDOWS\omihefozujecazuw.dll
C:\WINDOWS\iyoqozuz.dll
C:\WINDOWS\amureheg.dll
C:\WINDOWS\uxipidurayape.dll
C:\WINDOWS\oyiwajur.dll
C:\WINDOWS\ulabecebepaguhey.dll
C:\WINDOWS\uzosefubemobelis.dll
C:\WINDOWS\ijujofuloh.dll
C:\WINDOWS\eliwanulamol.dll
C:\WINDOWS\ucutulivihanofow.dll
C:\WINDOWS\efetokara.dll
C:\WINDOWS\itaqiwogijaniler.dll
C:\WINDOWS\eyobituyihita.dll
C:\WINDOWS\esacacezafit.dll
C:\WINDOWS\ivoruzifu.dll
C:\WINDOWS\oxiveler.dll
C:\WINDOWS\idelefar.dll
C:\WINDOWS\izoqeqalux.dll
C:\WINDOWS\imoquwezanon.dll
C:\WINDOWS\ofopubitukixuyoy.dll
C:\WINDOWS\igibogise.dll
C:\WINDOWS\avequbefova.dll
C:\WINDOWS\epihohilof.dll
C:\WINDOWS\ofeqijol.dll
C:\WINDOWS\uvaquqisef.dll
C:\WINDOWS\itamewome.dll
C:\WINDOWS\erenoduse.dll
C:\WINDOWS\equziresoxiwuvur.dll
C:\WINDOWS\ejibojebuqag.dll
C:\WINDOWS\odoyocozofuqoqiw.dll
C:\WINDOWS\isepadewi.dll
C:\WINDOWS\ayupisozoqoc.dll
C:\WINDOWS\ewezogazin.dll
C:\WINDOWS\ifetokaratiqe.dll
C:\WINDOWS\ohahebafideqube.dll
C:\WINDOWS\ihutitef.dll
C:\WINDOWS\opeyovox.dll
C:\WINDOWS\uzobidukemug.dll
C:\WINDOWS\agegapojuyibox.dll
C:\WINDOWS\acocipihaxiqexej.dll
C:\WINDOWS\izisixejigulu.dll
C:\WINDOWS\ejeworucato.dll
C:\WINDOWS\adogakusa.dll
C:\WINDOWS\otemijig.dll
C:\WINDOWS\ilakedomigiv.dll
C:\WINDOWS\ejalapel.dll
C:\WINDOWS\evoridoz.dll
C:\WINDOWS\eviwosafuzawo.dll
C:\WINDOWS\ezacixaf.dll
C:\WINDOWS\ivawevevuk.dll
C:\WINDOWS\atuwuhuropifatu.dll
C:\WINDOWS\ixawejoguxaboko.dll
C:\WINDOWS\arosivolupuf.dll
C:\WINDOWS\odivarowigesife.dll
C:\WINDOWS\ewejidifeme.dll
C:\WINDOWS\ezawidogodobuvo.dll
C:\WINDOWS\ivagevus.dll
C:\WINDOWS\unalixib.dll
C:\WINDOWS\oqovaxes.dll
C:\WINDOWS\iwefikavup.dll
C:\WINDOWS\oyiwegumesawe.dll
C:\WINDOWS\awoqonof.dll
C:\WINDOWS\eqigajim.dll
C:\WINDOWS\uweyutezezuq.dll
C:\WINDOWS\uwejidifemeyuda.dll
C:\WINDOWS\okoqonofajahiga.dll
C:\Documents and Settings\JA\Dane aplikacji\Mozilla\Firefox\Profiles\26zholxe.default\searchplugins\ask.xml
C:\Program Files\Mozilla Firefox\extensions\quickstores@quickstores.de
C:\PROGRAM FILES\COMMON FILES\SPIGOT
C:\PROGRAM FILES\PDFFORGE TOOLBAR
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
 
:OTL
IE - HKU\S-1-5-21-1343024091-1972579041-682003330-1001\..\URLSearchHook: {B922D405-6D13-4A2B-AE89-08A030DA4402} - No CLSID value found
FF - prefs.js..extensions.enabledItems: pdfforge@mybrowserbar.com:4.7
FF - prefs.js..extensions.enabledItems: quickstores@quickstores.de:1.1.0
FF - prefs.js..extensions.enabledItems: wtxpcom@mybrowserbar.com:4.7
O16 - DPF: {CAFEEFAC-0016-0000-0004-ABCDEFFEDCBA} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_04-windows-i586.cab" (Reg Error: Key error.)
 
:Commands
[emptytemp]

 

Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany i automatycznie otworzy się log z wynikami usuwania.

 

3. Wygeneruj nowy log z OTL na dostosowanym warunku, tzn. w sekcji Własne opcje skanowania / skrypt wklej co podane niżej i klik w Skanuj (a nie Wykonaj skrypt!).

 

C:\Windows\*. /RP /s

 

Dodaj także log z AD-Remover z opcji Scan. Przedstaw również ten log uzyskany z usuwania w punkcie 2.

 

 

 

 

.

Odnośnik do komentarza

Zadania w większości wykonane, ale nie zgadzają się dwie rzeczy: Winsock nie został zresetowany + nadal są obiekty Kasperskiego. Czy na pewno użyłeś Kaspersky Remover (pobrany widzę, ale czy użyty)? Po rootkicie aktualnie widać dwa fragmenty, właśnie nadal przekierowany Winsock oraz ten punkt:

 

========== Hard Links - Junction Points - Mount Points - Symbolic Links ==========

[C:\Windows\$NtUninstallKB8442$] -> Error: Cannot create file handle -> Unknown point type

 

 

 

1. Uruchom GrantPerms i w oknie wklej:

 

C:\Windows\$NtUninstallKB8442$

 

Klik w Unlock.

 

2. Uruchom OTL i w polu Własne opcje skanowania / skrypt wklej:

 

:Processes

killallprocesses

 

:Files

netsh winsock reset /C

fsutil reparsepoint delete C:\Windows\$NtUninstallKB8442$ /C

C:\Windows\$NtUninstallKB8442$

C:\Program Files\Mozilla FireFox\Components\AskSearch.js

C:\Program Files\Application Updater

C:\Documents and Settings\Kasia\Dane aplikacji\pdfforge

C:\Documents and Settings\Kasia\Dane aplikacji\Search Settings

C:\Documents and Settings\JA\Dane aplikacji\QuickStoresToolbar

rd /s /q C:\32788R22FWJFW /C

rd /s /q "C:\Documents and Settings\JA\DoctorWeb" /C

 

:Reg

[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420}]

[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}]

 

:OTL

DRV - [2011-11-30 12:05:06 | 000,133,208 | ---- | M] (Kaspersky Lab ZAO) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\95331952.sys -- (95331952)

DRV - [2011-11-30 12:05:06 | 000,133,208 | ---- | M] (Kaspersky Lab ZAO) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\56451071.sys -- (56451071)

DRV - [2011-11-30 12:05:06 | 000,133,208 | ---- | M] (Kaspersky Lab ZAO) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\46026056.sys -- (46026056)

DRV - [2011-11-30 12:05:06 | 000,133,208 | ---- | M] (Kaspersky Lab ZAO) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\40865138.sys -- (40865138)

O9 - Extra Button: Statystyki dla ochrony WWW - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - Reg Error: Key error. File not found

O20 - Winlogon\Notify\klogon: DllName - (C:\WINDOWS\system32\klogon.dll) - C:\WINDOWS\system32\klogon.dll (Kaspersky Lab ZAO)

 

Klik w Wykonaj skrypt.

 

3. Wykonaj nowy log z OTL opcją Skanuj, tym raz na ustawieniach domyślnych z opisu forum. Dołącz log z wynikami usuwania z punktu 2.

 

 

 

.

Odnośnik do komentarza

Zadanie wykonało się niekompletnie. Winsock nie chce się zresetować .... Ponadto, folder rootkita też nie został skasowany.

 

1. Uruchom GrantPerms ponownie, wklej w nim C:\Windows\$NtUninstallKB8442$ i klik w Unlock. Następnie spróbuj ręcznie przez SHIFT+DEL skasować ten folder z dysku.

 

2. Zastosuj narzędzie Fixit-it z tego artykułu: KB811259. Zresetuj komputer.

 

3. Utwórz nowy log z OTL opcją Skanuj i przedstaw do oceny.

 

 

 

.

Odnośnik do komentarza

Hmmmm, Winsock bez zmian ..... Wprawdzie pozornie gładko zeszły inne obiekty rootkita, ale obserwowane tu zachowanie jest nienormalne. Po ustaniu czynności rootkit reset Winsock powinien odbyć się bez problemu. Zrób skan za pomocą Kaspersky TDSSKiller, zaznaczając do skanu wszystkie dodatkowe opcje. Jeśli narzędzie cokolwiek wykryje, przyznaj akcję Skip i tylko raport zaprezentuj.

 

 

 

.

Odnośnik do komentarza

Mamy więcej elementów infekcji rootkit, działa system plików rootkit:

 

23:22:06.0843 3092	\Device\Harddisk0\DR0 ( TDSS File System ) - skipped by user

23:22:06.0843 3092 \Device\Harddisk0\DR0 ( TDSS File System ) - User select action: Skip

 

1. Uruchom Kaspersky TDSSkiller ponownie i dla wyniku TDSS File System przyznaj akcję Delete, pozostałe ustaw na Skip. Zresetuj system.

 

2. Następnie uruchom ponownie narzędzie Fix-it podane w poprzednim moim poście. Zresetuj system.

 

3. Zrób nowy log z OTL opcją Skanuj (Extras po raz kolejny nie jest mi potrzebny).

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...