Skocz do zawartości

Rootkit ZeroAccess - po naprawie brak internetu


Rekomendowane odpowiedzi

Witam!

Ostatnio miałem problem z Rootkitem Zero Access, który już zażegnałem kierując się tutejszymi intrukcjami, ale po usunięciu infekcji pozostaje słaby net ( gg i skype dają rade, ale na przeglądarke już jest za słaby). Zainstalowałem nowe sterowniki jednak brak poprawy. Proszę o pomoc.

Logi z GMER i OTL:

 

 

http://wklej.org/id/662788/

 

http://wklej.org/id/662792/

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Zabrakło drugiego loga z OTL - ekstras. Podczas skanowania opcja "Rejestr - skan dodatkowy" ma być ustawiona na "Użyj filtrowania". W obecnych logach są jeszcze drobne pozostałości.

 

1. Przedstaw raport z Kaspersky TDSSKiller

 

2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
SRV - File not found [Auto | Stopped] --  -- (SpyHunter 4 Service)
SRV - File not found [Auto | Stopped] --  -- (Pml Driver HPZ12)
SRV - File not found [Auto | Stopped] --  -- (JavaQuickStarterService)
FF - prefs.js..browser.search.defaultthis.engineName: "2Shared Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2447621&SearchSource=3&q={searchTerms}"
FF - prefs.js..keyword.URL: "http://vshare.toolbarhome.com/search.aspx?srch=ku&q="
[2010-10-12 18:00:58 | 000,000,917 | ---- | M] () -- C:\Documents and Settings\ja\Dane aplikacji\Mozilla\Firefox\Profiles\5rz9xv2i.default\searchplugins\conduit.xml
[2009-11-04 18:12:30 | 000,002,059 | ---- | M] () -- C:\Documents and Settings\ja\Dane aplikacji\Mozilla\Firefox\Profiles\5rz9xv2i.default\searchplugins\daemon-search.xml
[2010-09-22 20:48:49 | 000,001,583 | ---- | M] () -- C:\Documents and Settings\ja\Dane aplikacji\Mozilla\Firefox\Profiles\5rz9xv2i.default\searchplugins\web-search.xml
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - No CLSID value found.
[2012-01-03 14:22:37 | 000,000,000 | -HSD | C] -- C:\Documents and Settings\ja\Ustawienia lokalne\Dane aplikacji\e8ddb82c
[2012-01-03 19:07:00 | 000,014,386 | -HS- | M] () -- C:\Documents and Settings\All Users\Dane aplikacji\41b87rq567jovso44c8ir1c5nwa6u3fypsmq7s4t4x024
 
 
:Commands
[emptytemp]

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Odnośnik do komentarza

Nadal brak połączenia...

 

1. Jeszcze raz log przed wykonaniem skryptu:

http://wklej.org/id/662837/

http://wklej.org/id/662838/

 

2. Raport z Kaspersky'iego:

http://wklej.org/id/662840/

 

3. Log po wykonaniu skryptu:

http://wklej.org/id/662841/

 

4. Log z OTL:

http://wklej.org/id/662844/

http://wklej.org/id/662845/

 

p.s. podczas wykonywania skryptu nie chciał usunąć folderu Dc30.

Odnośnik do komentarza
Ostatnio miałem problem z Rootkitem Zero Access, który już zażegnałem kierując się tutejszymi intrukcjami

 

Pokaż co wykonałeś, dokładnie które instrukcje i co było usuwane. Był tu stosowany ComboFix, a nie ma wyników jego pracy z tamtego uruchomienia (NIE uruchamiaj narzędzia ponownie, chodzi o log uzyskany wtedy = jest?).

 

 

słaby net ( gg i skype dają rade, ale na przeglądarke już jest za słaby)

 

Nadal brak połączenia...

 

Widzę tu sprzeczność słownikową. Wg opisu sieć jest, w przeciwnym wypadku komunikatory nie byłyby zdolne się połączyć. Efekt zbliżony albo do niewydolności DNS, albo filtrowania czymś strony web. Ingerencje ZeroAccess są globalne, zaś skutkami ubocznymi może być usunięcie przez antywirusa usług sieciowych (jeśli wykryje w nich infekcję), jednakże to miałoby odbicie raczej w konsekwentnym padzie całego podsystemu sieci, bez smaku selektywnego.

 

Ja tu jednak proponuję zacząć od całkiem innej strony, typuję innego podejrzanego: Zone Alarm. Aplikacja silnie związana z filtrowaniem sieci i wg logów co dopiero instalowana lub aktualizowana (pliki utworzone wczoraj, 6 stycznia). Odinstaluj testowo program, zresetuj system i przedstaw jak się zachowuje sieć.

 

 

p.s. podczas wykonywania skryptu nie chciał usunąć folderu Dc30.

 

? W logu z wykonania skryptu nie widać nic tego typu.

 

 

.

Odnośnik do komentarza

Nie mam jego wyników... zostały nadpisane podczas próby deinstalacji ComboFixa (uruchomił się ponownie, prawdopodobnie przez pomyłkę).

 

Nie jasno sie wyraziłem("Nadal brak połączenia"). Sytuacja poprostu bez zmian. Przeglądarka wyświetla brak połączenia.

 

Odinstalowałem Zone Alarm, ale nadal bez zmian.

 

Wyskoczył komunikat, że nie może usunąć folderu. Po zakończeniu procesu dał znać, że niektóre elementy do usunięcia wymagają restartu, więc być może wtedy został usunięty.

Odnośnik do komentarza

Nie przedstawiłeś jakimi instrukcjami konkretnie się posługiwałeś lecząc system na własny rachunek.

 

 

Nie mam jego wyników... zostały nadpisane podczas próby deinstalacji ComboFixa (uruchomił się ponownie, prawdopodobnie przez pomyłkę).

 

Deinstalacja ComboFix usuwa raporty ....

 

 

Odinstalowałem Zone Alarm, ale nadal bez zmian.

 

Zakładam, że sterowniki ZoneAlarm zostały kompletnie usunięte.

 

1. Wypróbuj resetu ustawień sieci. Otwórz Notatnik i wklej w nim:

 

reg delete HKLM\SYSTEM\CurrentControlSet\Control\Network /v Config /f
ipconfig /flushdns
netsh firewall reset
netsh winsock reset
netsh int ip reset c:\resetlog.txt
PAUSE

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT > Uruchom ten plik

 

Sfinalizuj restartem systemu. Jeśli nie będzie poprawy:

 

2. Uruchom Farbar Service Scanner, zaznacz wszystkie opcje i kliknij w Scan, przedstaw log wynikowy.

 

 

 

.

Odnośnik do komentarza

Włączyłem ComboFixa, ale w trakcie pracy system restartował się, a przy ekranie logowania już dało się zauważyć, że mysz i klawiatura nie działają (jak poźniej okazało się strowniki byl zainfekowane). Kierowałem się instrukcjami z podobnego tematu (http://www.fixitpc.p...kit-zeroaccess/) i naprawiłem problem klawiatury i myszy. Po zalogowaniu ComboFix dokończył robote, ale jak już wspomniałem efektów jego pracy nie ma...

 

Reset nie pomógł.

Zone Alarm gruntownie usunięty.

 

 

Odnośnie tego co robiłem podczas naprawy:

Zastosowałem w OTL ten skrypt:

 

 

 

:Files

C:\Windows\system32\drivers\i8042prt.sys|C:\Pliki\i8042prt.sys /replace

C:\Windows\system32\dllcache\i8042prt.sys|C:\Pliki\i8042prt.sys /replace

C:\Windows\system32\mswsock.dll|C:\Pliki\mswsock.dll /replace

C:\Windows\system32\dllcache\mswsock.dll|C:\Pliki\mswsock.dll /replace

C:\Windows\system32\drivers\acpi.sys|C:\Pliki\acpi.sys /replace

C:\Windows\system32\dllcache\acpi.sys|C:\Pliki\acpi.sys /replace

C:\Windows\system32\drivers\klif.cab

C:\Documents and Settings\Trzy\Dane aplikacji\f-secure

C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software

C:\Documents and Settings\All Users\Dane aplikacji\ESET

C:\Documents and Settings\All Users\Dane aplikacji\F-Secure

 

:OTL

DRV - File not found [Kernel | On_Demand] -- -- (F-Secure Standalone Minifilter)

DRV - File not found [Kernel | On_Demand] -- -- (dd17994e)

O4 - HKLM..\Run: [combofix] File not found

O4 - HKU\B_ON_C..\Run: [userinit] File not found

O4 - HKLM..\RunOnce: [combofix] File not found

O4 - HKLM..\RunOnceEx: [flags] Reg Error: Invalid data type. File not found

 

:Commands

[emptyflash]

[emptytemp]

 

 

 

Wiem, żę niektóre elementy wogóle nie mają związku z moim problemem ( skopiowałem skrypt z tamtego tematu), ale postanowiłem zaryzykować.

Wymiana sterowników pomogła.

FSS.txt

Odnośnik do komentarza
Odnośnie tego co robiłem podczas naprawy:

Zastosowałem w OTL ten skrypt

(...)

Wiem, żę niektóre elementy wogóle nie mają związku z moim problemem ( skopiowałem skrypt z tamtego tematu), ale postanowiłem zaryzykować.

 

Ten skrypt nie miał u Ciebie zastosowania (z wyjątkiem jak rozumiem podmiany i8042prt.sys). Jedyne co w nim jest wspólnego z Twoim systemem to komenda czyszczenia plików tymczasowych, a jeśli podstawiono prawidłowe pliki względnie komendy /replace ujdą, tylko brak potwierdzenia, by cokolwiek innego niż i8042prt.sys miało tu uzasadnienie...

 

 

Po zalogowaniu ComboFix dokończył robote, ale jak już wspomniałem efektów jego pracy nie ma...

 

Tylko nie wiadomo co ComboFix usuwał lub gdzie podmieniał pliki. Jego deinstalacja była niestety zbyt szybko wykonanym krokiem.

 

 

Skaner Farbar nie widzi oczywistych wad, które mogą być skutkami aktywności ZeroAccess (nie notuje dysfunkcji usług, podaje poprawne pliki związane z działaniem sieci, nie wygląda by czegoś tu brakowało). Deinstalacja ZoneAlarm nie pomogła, reset nie pomógł, w OTL nie widać żadnego ustawienia proxy dla przeglądarek.

Rozumiem, że potwierdzasz łączenie na Firefox. Sprawdź jak się zachowuje otwieranie stron w systemowym Internet Explorer oraz wersji przenośnej Opera@USB. Ta akcja ma na celu ustalić czy problem jest związany z konkretną przeglądarką czy ogólnym ustawieniem Windows.

 

 

 

.

Odnośnik do komentarza

Tylko nie wiadomo co ComboFix usuwał lub gdzie podmieniał pliki. Jego deinstalacja była niestety zbyt szybko wykonanym krokiem.

.

 

Trochę się uniosłem i z rozpędu odinstalowałem przed sprawdzeniem sieci.

 

Nie łączy: Firefox, Internet Explorer, Opera USB ani zwykła Opera.

 

Ten skrypt nie miał u Ciebie zastosowania (z wyjątkiem jak rozumiem podmiany i8042prt.sys). Jedyne co w nim jest wspólnego z Twoim systemem to komenda czyszczenia plików tymczasowych, a jeśli podstawiono prawidłowe pliki względnie komendy /replace ujdą, tylko brak potwierdzenia, by cokolwiek innego niż i8042prt.sys miało tu uzasadnienie...

 

zainfekowany był równiez acpi.sys

 

Przyznaje, że działałem na oślep bo nie bawiłem się w temacie skryptów, ale schematycznie dodałem jedynie wymiane acpi.sys.

 

 

Istnieje jakiś poradnik dotyczący np czytania logów czy właśnie związany ze skryptami, bo zainterosowałem się podczas tego problemu?

Odnośnik do komentarza

Komentarz do poprzedniego:

 

Odnośnie tego co robiłem podczas naprawy:

Zastosowałem w OTL ten skrypt

(...)

Wiem, żę niektóre elementy wogóle nie mają związku z moim problemem ( skopiowałem skrypt z tamtego tematu), ale postanowiłem zaryzykować.

 

+

 

zainfekowany był równiez acpi.sys

 

Czy wymieniałeś plik mswsock.dll (skrypt ma tę linię)? W jaki sposób oceniłeś, że acpi.sys jest zainfekowany? I skąd brałeś pliki na wymianę i czy pliki były w identycznej wersji z XP w stanie SP3? Pokaż aktualnie zlokalizowane w systemie pliki, uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej co niżej podane i klik w Skanuj (a nie Wykonaj skrypt!).

 

/md5start
mswsock.dll
acpi.sys
/md5stop

 

Wykonaj skanowanie za pomocą Kaspersky Virus Removal Tool. Do skanowania zaznacz wszystkie obszary. Zaprezentuj raport z wykrytymi zagrożeniami (Detected threats), o ile takowe zostaną znalezione. Nie interesują mnie inne typy wyników (OK/Archive/Packed/Password protected).

 

 

Istnieje jakiś poradnik dotyczący np czytania logów czy właśnie związany ze skryptami, bo zainterosowałem się podczas tego problemu?

 

Jest przecież w przyklejonym temacie skierowanie do oficjalnego tutoriala OTL. A sprawność w czytaniu logów wymaga sporej wiedzy o systemie i lat praktyki. Logi to tylko umowna wizualizacja, skrawek danych wyeksportowany z systemu.

 

 

 

.

Odnośnik do komentarza

Coś szybko ten skan Kasperskym wykonał się. Na pewno w konfiguracji zaznaczyłeś do skanowania wszystkie obszary?

 

Na temat plików: nie wiem skąd brałeś je, ale to stare pliki niezgodne z XP SP3. Przywrócę z kopii systemowych nowsze wersje. Nie sądzę, by to coś zmieniło ale (piję do mswsock.dll związanego z siecią).... Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Processes
killallprocesses
 
:Files
C:\WINDOWS\system32\dllcache\mswsock.dll|C:\WINDOWS\ServicePackFiles\i386\mswsock.dll /replace
C:\WINDOWS\system32\mswsock.dll|C:\WINDOWS\ServicePackFiles\i386\mswsock.dll /replace
C:\WINDOWS\system32\dllcache\acpi.sys|C:\WINDOWS\ServicePackFiles\i386\acpi.sys /replace
C:\WINDOWS\system32\drivers\acpi.sys|C:\WINDOWS\ServicePackFiles\i386\acpi.sys /replace

 

Klik w Wykonaj skrypt. Przedstaw log z wynikami przetwarzania skryptu.

 

 

.

Odnośnik do komentarza

Plik główny nie został podmieniony:

 

Unable to replace file: C:\WINDOWS\system32\mswsock.dll with C:\WINDOWS\ServicePackFiles\i386\mswsock.dll without a reboot.

 

Zrób wymianę ComboFixem. Otwórz Notatnik i wklej w nim:

 

FCopy::
C:\WINDOWS\system32\dllcache\mswsock.dll | C:\WINDOWS\system32\mswsock.dll

 

Plik zapisz pod nazwą CFScript.txt. Przeciągnij go i upuść na ikonę ComboFixa.

 

cfscript.gif

 

Przedstaw wynikowy raport z ComboFix.

 

 

Przy okazji zeskanowałem Kaspersky'im innego kompa. Rzuciłabyś okiem na raport? plik:08012012

 

To tylko wskaźnik luk w oprogramowaniu. Wyliczane należy po prostu zaktualizować do najnowszych wersji. W przyklejonym masz także program Secunia do takich rodzajów skanowania: KLIK.

 

 

.

Odnośnik do komentarza

1. W Twoim logu z ComboFix jest bardzo duża ilość plików oznaczonych jako niesygnowane. To niekoniecznie może być problem plików, mógł nawalić układ Usług kryptograficznych. Zresetuj Catroot, ta operacja jest częścią automatycznego naprawiacza Fix-it do resetu Windows Update: KLIK.

 

2. Na temat sieci, mówisz: "gg i skype dają rade". Skaner Farbar oznaczył pomyślnie statusy dla:

 

Connection Status:

==============

Localhost is accessible.

LAN connected.

Google IP is accessible.

Yahoo IP is accessible.

 

Sprawdź ustawienia DNS w Windows, spróbuj je zresetować (przestawić, np. jeśli jest na auto, ustaw sztywne na np. Google i reset): KLIK.

 

 

.

Odnośnik do komentarza

Próbowałem ręcznie, ale wykłada się na dwóch pierwszych poleceniach: nie działa net stop bits oraz przy poleceniu: Del "%ALLUSERSPROFILE%\Application Data\Microsoft\Network\Downloader\qmgr*.dat" - brak folderu Microsoft.

 

 

podczas wpisywania polecenia: Ren %systemroot%\SoftwareDistribution\...(DataStore,Download) *.bak -"Nazwa pliku, nazwa katalogu lub składnia etykiety woluminu niepoprawna." (catroot2 - nie próbowałem). Foldery i plik isntnieją.

 

DNS zmieniałem ale nic to nie dało.

 

 

Nie wiem czy to ma jakieś znaczenie, ale nie mogę wyłączyć połączeń (zarówno lokalnego jak bezprzewodowego): "W tej chwili nie można wyłączyć połączenia. Być może to połączenie korzysta z jednego lub więcej protokołów nie obsługujących standardu Plug and Play lub zostało zainicjowane przez innego użytkownika lub konto systemowe"

 

Masz jeszcze jakieś pomysły? W sumie to zajmuje się nieswoim kompem i się zastanawiam czy nie zrobić w końcu formata bo przydało by się go już oddać...

Odnośnik do komentarza
Próbowałem ręcznie, ale wykłada się na dwóch pierwszych poleceniach: nie działa net stop bits oraz przy poleceniu: Del "%ALLUSERSPROFILE%\Application Data\Microsoft\Network\Downloader\qmgr*.dat" - brak folderu Microsoft.

 

podczas wpisywania polecenia: Ren %systemroot%\SoftwareDistribution\...(DataStore,Download) *.bak -"Nazwa pliku, nazwa katalogu lub składnia etykiety woluminu niepoprawna." (catroot2 - nie próbowałem). Foldery i plik isntnieją.

 

Ale ... co Ty wykonujesz. Próbujesz resetować wszystko co związane z Windows Update. Nie mówiłam nic o resecie obiektów innych niż obszar Kryptograficznych (Catroot). Masz zresetować tylko Kryptograficzne, czyli w Start > Uruchom > services.msc zatrzymać Usługi kryptograficzne (Cryptsvc), zmienić nazwę katalogu C:\Windows\system32\Catroot2 na dowolną, ponownie uruchomić Usługi kryptograficzne.

 

 

DNS zmieniałem ale nic to nie dało.

 

Nie wiem czy to ma jakieś znaczenie, ale nie mogę wyłączyć połączeń (zarówno lokalnego jak bezprzewodowego): "W tej chwili nie można wyłączyć połączenia. Być może to połączenie korzysta z jednego lub więcej protokołów nie obsługujących standardu Plug and Play lub zostało zainicjowane przez innego użytkownika lub konto systemowe"

 

Podsumujmy: w raportach brak oznak usterki, OTL nie notuje też błędów w Dzienniku zdarzeń na ten temat, skaner Farbar nie widzi problemu, reset sieci oraz DNS nie pomaga, deinstalacja ZoneAlarm nie miała skutków. Problem i w tym, że kompletnie nie wiadomo co robił ComboFix za pierwszym razem. Niestety usunąłeś te informacje i nie można potwierdzić nawet poprawności wykonania akcji.

 

Podaj skan na wygląd kluczy usług sieciowych. Uruchom OTL, wszystkie opcje ustaw na Brak + Żadne, za to w sekcji Własne opcje skanowania / skrypt wklej:

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dhcp /S
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache /S
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AFD /S
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec /S
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT /S
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip /S
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Winsock /S
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2 /S

 

Klik w Skanuj. Przedstaw log.

 

 

 

.

Odnośnik do komentarza
Reset nic nie dał.

 

Oczywiście, przecież to nie ma żadnego związku z problemem łączenia z siecią. Reset obszaru kryptograficznego był tylko i wyłącznie pod kątem ogromnej grupy plików występujących jako niesygnowane w ComboFix. To odrębna poboczna sprawa.

 

 

A ze skanu OTL nic nie wynika. Wszystkie klucze zdają się być poprawne. Spróbuj jeszcze:

- Przeinstalowanie kart sieciowych: Start > Uruchom > devmgmt.msc > w menu Widok włącz pokazywanie ukrytych urządzeń > odinstaluj wszystko co związane z siecią. Po restarcie powinna nastąpić przebudowa.

- Weryfikacji plików systemowych za pomocą komendy Start > Uruchom > sfc /scannow. Wymagana płyta CD XP.

- Reinstalacja stosu TCP/IP na chama wg tych kroków: KLIK. To jest ostateczna brutalna metoda resetu, normalne przeładowanie TCP/IP + Winsock (wcześniej stosowany FIX.BAT) było nieskuteczne.

 

Jeśli to nie przyniesie rezultatów, skłaniam się ku reinstalacji Windows.

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...