Rootkit.NoAccess - brak Internetu

[PierreNik]

Witam.

 

Przeczytałem pokrótce regulamin, a więc na początek przyznaję się do użycia Combofixa i już opowiadam całą historię od początku. Z góry uprzedzam (choć już temat to sugeruje), że mój problem nie jest dość oryginalny. Ten malware zbiera spore żniwa jak widzę..

 

W moim laptopie zagnieździł się szkodnik, który nie był bardzo szkodliwy. Jedyne co robił to przekierowywał każdy wynik z Google na pewną stronę. Szukałem rozwiązania tego konkretnego problemu w Internecie i poinstalowałem 1 lub 2 programy, które wg opinii usuwały ten konkretny problem. Nie pamiętam ich nazw, ale nie były to programy niebezpieczne, ani też ingerujące w cokolwiek. Niestety, nic nie zwojowały. Następnie zrobiłem skan Avastem a potem Spybotem S&D. Również ten szkodnik dalej był.

 

Potem więc zdecydowałem się użyć Combofixa.

Po pierwszym już skanie (dosłownie po chwili) Internetu już nie było. Combofix wielokrotnie informował mnie o wykrytym Rootkit.NoAccess (o którym nie miałem pojęcia wcześniej: nie tykałem go, więc był nieszkodliwy?) i dwukrotnie prosił o restart. Za pierwszym razem coś pokasował, ale zostawił jeden folder. Mam wrażenie, że potem to ten szkodnik przeniósł się na inne pliki.

 

Użyłem Combofixa drugi raz, jednak wtedy już niewiele zmienił.

Następnie użyłem Malwarebytes Anti-Malware (Okres testowy) 1.60.0.1800, który znalazł kolejne zainfekowane pliki przez Rootkit.0Access i dodał je do kwarantanny.

Następnie przeskanowałem programem OTL, który jednak (akurat na tym komputerze!) wyrzucił pusty log, którego już nie mam.

Następnie zrobiłem skan GMER'em

Dziś zrobiłem znów skan Malwarebytes Anti-Malware i znów coś znalazło. Dodałem do kwarantanny 2 pliki.

 

Sieć bezprzewodowa (laptop jest połączony z liveboxem przez wi-fi) jest widoczna, ma bardzo dobry sygnał. Czasem nie może ustalić adresu IP i wtedy dość losowe czynności powodują (np. uruchomienie Combofixa ), że ten adres IP zostaje prawidłowo przydzielony. Niestety, to i tak nic nie zmienia. Strony nie wyświetlają się w przeglądarkach Firefox i IE.

 

Zamieszczam logi i czekam na ratunek

log_COMBOFIX.txt

log_COMBOFIX2.txt

mbam-log-2012-01-04 (01-57-26).txt

GMER-2012-01-04 (04-27-33).txt

mbam-log-2012-01-14 (12-29-39).txt

[picasso]

Log z GMER jest stary, pochodzi sprzed 10 dni i przedstawia aktywność rootkita.

 

 

W moim laptopie zagnieździł się szkodnik, który nie był bardzo szkodliwy.

 

To pozory. Jeden z najbardziej zaawansowanych rootkitów aktualnie w obiegu.

 

 

Następnie przeskanowałem programem OTL, który jednak (akurat na tym komputerze!) wyrzucił pusty log, którego już nie mam.

 

Wątpię w to. Coś musiało być źle zaznaczone. Log z OTL i tak tu będzie potrzebny. Przyjrzyj się jeszcze raz na konfigurację w przyklejonym temacie i podejmij się kolejnej próby.

 

 

Użyłem Combofixa drugi raz, jednak wtedy już niewiele zmienił.

 

To było niepotrzebne.

 

 

Dziś zrobiłem znów skan Malwarebytes Anti-Malware i znów coś znalazło. Dodałem do kwarantanny 2 pliki.

 

Skutki instalacji wtyczki vShare. Wtyczka wątpliwa, śmieci w instalatorze (jako "Recommended" jest zaznaczona ingerencja szajsem w konfiguracje stron przeglądarek).

 

 

Sieć bezprzewodowa (laptop jest połączony z liveboxem przez wi-fi) jest widoczna, ma bardzo dobry sygnał. Czasem nie może ustalić adresu IP i wtedy dość losowe czynności powodują (np. uruchomienie Combofixa ), że ten adres IP zostaje prawidłowo przydzielony. Niestety, to i tak nic nie zmienia. Strony nie wyświetlają się w przeglądarkach Firefox i IE.

 

Uruchom Farbar Service Scanner, zaznacz wszystkie opcje i klik w Scan. Przedstaw log wynikowy.

 

 

 

 

 

.

[PierreNik]

To pozory. Jeden z najbardziej zaawansowanych rootkitów aktualnie w obiegu.

Dotychczas myślałem, że szkodnik dokonujący przekierowań na hxxp://95p.com/cośtam nie ma nic wspólnego z głównym aktorem Rootkit.NoAccess, jednak teraz przejrzałem inne tematy na forum i widzę, że te objawy często przy nim występują. Ten 95p wziął się stąd, że mój tato kliknął na komunikat o wygraniu loterii (podobno na onecie). Możliwe, że wszystko zaczęło się od aktualizacji wtyczki VShare. Jednak tę wtyczkę aktualizowałem także na swoim PC, z którego piszę i jedyne co się stało, to zmieniło stronę startową (jednak w tym przypadku podczas instalacji nie zgodziłem się na niektóre zmiany, gdy zapytał mnie o nie Spybot S&D).

 

Wątpię w to. Coś musiało być źle zaznaczone. Log z OTL i tak tu będzie potrzebny. Przyjrzyj się jeszcze raz na konfigurację w przyklejonym temacie i podejmij się kolejnej próby.

Prawdopodobnie tak wyszło wcześniej, gdyż odpaliłem OTL z płyty CD. Teraz jest dobrze

 

Zamieszczam świeże skany z GMER, FSS i OTL. FSS odpaliłem podczas ponad godzinnego skanowania GMERem, to chyba nie problem? Potem przeskanowałem także OTL'em, co wyszło dużo krócej.

 

Aha! W trakcie skanu GMER wyłączyłem monitorowanie Avasta. Dalsze skany były już przy zdezaktywowanym Avaście. Wszystkie przy wyłączonym firewallu windowsowym. Wszystkie przy włączonym monitorowaniu Malwarebytes Anti-Malware.

gmer14sty2012.txt

FSS.txt

OTL.Txt

Extras.Txt

[picasso]

GMER nadal widzi czynności rootkita, jego urządzenie i zmodyfikowany sterownik sieciowy AFD:

 

---- Kernel code sections - GMER 1.0.15 ----
 
.INIT           C:\WINDOWS\System32\drivers\afd.sys           entry point in ".INIT" section [0xF78E3A22]
 
---- Devices - GMER 1.0.15 ----
 
Device          \Driver\00000951 \GLOBAL??\ACPI#PNP0303#2&da1a3ff&0          866DAB80

 

To właśnie modyfikacja sterownika AFD jest przyczyną braku sieci. Skaner Farbar też to widzi, AFD jest pozbawiony sygnatury Microsoftu:

 

C:\WINDOWS\system32\Drivers\afd.sys
[2006-03-02 13:00] - [2011-08-17 14:49] - 0138496 ____A () 172EC741F7D7E36E1FA6F962AC608FAB

 

 

Przeprowadź skanowanie za pomocą Kaspersky TDSSKiller, zaznaczając w nim wszystkie dodatkowe opcje. Jeżeli cokolwiek wykryje, omiń wyniki opcją Skip i przedstaw tyllko raport skanowania.

 

 

Możliwe, że wszystko zaczęło się od aktualizacji wtyczki VShare

 

Wtyczka vShare to kompletnie inny temat tutaj. Komentowałam drugą porcję wyników z MBAM (przejęcie stron przez śmieć-wyszukiwarkę startsear.ch), bo te nie pochodzą od rootkita, tylko są pokłosiem instalacji vShare.

 

 

(jednak w tym przypadku podczas instalacji nie zgodziłem się na niektóre zmiany, gdy zapytał mnie o nie Spybot S&D)

 

Na przyszłość: w instalatorze vShare należy odznaczyć śmieci, to Spybot nie będzie miał nic do gadania. A sam Spybot to lamus.

 

 

 

.

[PierreNik]

Zdaję raport z TDSS Killera

TDSS_log.txt

[picasso]

Jest konieczna ręczna podmiana sterownika afd.sys niezainfekowaną kopią.

 

1. Pobierz czystą kopię afd.sys wyekstraktowaną z fabrycznego pakietu SP3: KLIK. Plik ulokuj w umownym folderze C:\Tmp, ta ścieżka zostanie zutylizowana w skrypcie.

 

2. Otwórz Notatnik i wklej w nim:

 

FCopy::
C:\Tmp\afd.sys | C:\Windows\system32\dllcache\afd.sys
C:\Tmp\afd.sys | C:\Windows\system32\drivers\afd.sys

 

Plik zapisz pod nazwą CFScript.txt. Przeciągnij go i upuść na ikonę ComboFixa.

 

 

3. Przedstaw wyniki pracy ComboFix oraz nowy log z GMER.

 

 

 

.

[PierreNik]

Zrobiłem tak jak należało ComboFixem.

Na początku znów ostrzegł mnie o tym Rootkit.NoAccess.

Następnie w związku z nim poprosił o restart.

Po restarcie laptop się zawiesił przy starcie. Wyjąłem baterię, włożyłem, włączyłem. Combofix dokończył procedurę i zapodał log, który załączam.

 

Następnie robiłem skan GMER'em, jednak po ponad 1h skanowania laptop wszedł w stan wstrzymania z powodu słabej baterii (nie zauważyłem, że jest nie podpięty, a ta jego bateria starczy na 1h najdłużej :/) i niestety już z tego stanu nie wyszedł (zawiesił się w tym samym momencie co przy Combofixie podczas wznawiania systemu). Logu prawdopodobnie nie mam z tego skanowania.

 

Dziś już nie dam rady tego powtórzyć - jutro zamieszczę log z GMER'a, a na dziś na razie Combofix

CFlog.txt

[picasso]

Wg odczytu z ComboFix zamiana sterownika afd.sys odbyła się pomyślnie, na dysku jest jeszcze folder po konfiguracji ZeroAccess. Konieczna jest jednak weryfikacja w GMER potwierdzająca zdjęcie modyfikacji rootkit, toteż oczekuję na jego log.

 

 

 

.

[PierreNik]

OK, dziękuję na razie za pomoc. W takim razie jutro jeszcze zapodam log GMER, pomęczę i miejmy nadzieję, że sukces jest już bliski Dobranoc

[PierreNik]

Witam ponownie. Mam nadzieję, że wybaczy mi Pani double-posting w celu upnięcia tematu

Dołączam 2 nowe logi z GMER

GMER_15.01.12.txt

GMER_16.01.12.txt

[picasso]

Jest dobrze. Wszystkie czynności rootkit ustąpiły. Czy sieć wróciła na miejsce? Dalsze czyszczenie, folder po rootkicie oraz vShare z wprowadzoną przez niego wyszukiwarką startsear.ch w Firefox.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKU\S-1-5-21-1645522239-1004336348-682003330-1004\..\URLSearchHook: {472734EA-242A-422b-ADF8-83D1E48CC825} - No CLSID value found 
FF - prefs.js..browser.search.defaultengine: "Web Search"
FF - prefs.js..browser.search.defaultenginename: "Web Search"
FF - prefs.js..browser.search.order.1: "Web Search"
FF - prefs.js..extensions.enabledItems: vshare@toolbar:1.0.0
FF - prefs.js..keyword.URL: "http://startsear.ch/?aff=1&src=sp&cf=857c9458-2694-11e1-ba04-0060b38f6a3a&q="
[2010-12-13 21:32:15 | 000,000,000 | ---D | M] (vShare) -- C:\Documents and Settings\JA\Dane aplikacji\Mozilla\Firefox\Profiles\bu7sca0d.default\extensions\vshare@toolbar
[2011-12-14 21:45:30 | 000,000,792 | ---- | M] () -- C:\Documents and Settings\JA\Dane aplikacji\Mozilla\Firefox\Profiles\bu7sca0d.default\searchplugins\startsear.xml
[2011-10-03 10:14:54 | 000,083,456 | ---- | M] (vShare.tv ) -- C:\Program Files\mozilla firefox\plugins\npvsharetvplg.dll
O16 - DPF: Microsoft XML Parser for Java "file://C:\WINDOWS\Java\classes\xmldso.cab" (Reg Error: Key error.)
[2012-01-01 17:05:51 | 000,000,000 | -HSD | C] -- C:\Documents and Settings\JA\Ustawienia lokalne\Dane aplikacji\b52a7b6b
 
:Commands
[emptytemp]

 

Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany, automatycznie otworzy się raport z wynikami usuwania.

 

2. Wykonaj nowy log z OTL opcją Skanuj (Extras już nie potrzebuję po raz drugi) + dodaj log z wynikami z punktu 1.

 

 

 

 

 

.

[PierreNik]

Niestety, naciśnięcie klawisza "Wykonaj skrypt" powoduje zawieszkę systemu. Komputer nic nie pracuje, ikonki na pulpicie znikają, kursor-klepsydra tylko w obszarze okna programu OTL. Wciąż komunikat "Killing processes. DO NOT INTERRUPT...". Ile to powinno trwać?

[picasso]

Jeżeli to wisi "godzinami", przerwij proces. Przejdź w Tryb awaryjny Windows i z jego poziomu uruchom skrypt w OTL.

[PierreNik]

Z awaryjnego poszło. Zamieszczam log z tego oraz późniejszy zwykły skan z OTL. Zapomniałem zaznaczyć dwóch checkboxów z infekcjami LOP i Purity. Jeżeli będzie potrzeba zrobić skan z nimi, to właśnie się robi. Podczas tego skanowania wyskoczył błąd Windows z prośbą o wysłanie raportu do Microsoft. Log z niego też załączam. OTL jednak po wyłączeniu tego komunikatu wznowił skanowanie.

 

Sieci niestety nie ma.

 

Edycja: dołączam raport OTL z drugiego skanowania, w którym o checkboxach nie zapomniałem

01162012_214825_OTL.txt

OTL(1).Txt

Blad_Windows.txt

PelnyLogOTL.Txt

[picasso]

Sieci niestety nie ma.

 

1. Rozpocznij od deinstalacji wszystkich programów zabezpieczających, które operują na sterownikach z funkcjami sieciowymi, czyli próchna Avast4 oraz PC Tools Security. Przy okazji, wywal też Spybot Search & Destroy, jest lepszy MBAM już w systemie. Popraw z poziomu Trybu awaryjnego firmowym narzędziem Avast Uninstall Utility.

 

2. Wykonaj reset sieci. Otwórz Notatnik i wklej w nim:

 

reg delete HKLM\SYSTEM\CurrentControlSet\Control\Network /v Config /f
ipconfig /flushdns
netsh firewall reset
netsh winsock reset
netsh int ip reset c:\resetlog.txt
PAUSE

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT > Uruchom ten plik

 

Sfinalizuj restartem systemu. Rezultaty?

 

 

 

.

[PierreNik]

Próchna wykasowane w pełni, reset sieci zrobiony. Potem restart. Niestety, nie ma sieci wciąż.

 

Czy jeżeli mam już czysty system, czy mogę spróbować przeinstalować oprogramowanie Neostrady? Pamiętam, że na tym laptopie już raz z niewiadomych powodów była taka sytuacja jak teraz i taki krok pomógł . No chyba że ten malware mógł coś jeszcze namieszać w samym systemie.

[picasso]

Czy jeżeli mam już czysty system, czy mogę spróbować przeinstalować oprogramowanie Neostrady? Pamiętam, że na tym laptopie już raz z niewiadomych powodów była taka sytuacja jak teraz i taki krok pomógł

 

Po pierwsze: nie skończyliśmy jeszcze sprawdzania systemu. Po drugie: to mogą być szkody po ZeroAccess, a w takim przypadku przeinstalowanie Neostrady nic nie da.

 

1. Wstępne porządki. Przez SHIFT+DEL skasuj folder C:\_OTL. Odinstaluj w prawidłowy sposób ComboFix w Start > Uruchom > wklejając komendę:

 

"C:\Documents and settings\JA\Pulpit\ComboFix.exe" /uninstall

 

2. Przeskanuj system za pomocą Kaspersky Virus Removal Tool. W konfiguracji skanera zaznacz wszystkie obszary do skanu. Zaprezentuj wykryte zagrożenia, o ile takowe zostaną znalezione.

 

3. Pod kątem sieci: dostarcz do analizy pełne Dzienniki zdarzeń. Start > Uruchom > eventvwr.msc, z prawokliku na gałęzie System + Aplikacje zapisz je do nowych plików EVT, pliki zzipuj i umieść na jakimś hostingu podając tu link do paczki.

 

 

 

.

[PierreNik]

1. Wstępne porządki. Przez SHIFT+DEL skasuj folder C:\_OTL. Odinstaluj w prawidłowy sposób ComboFix w Start > Uruchom > wklejając komendę:

 

"C:\Documents and settings\JA\Pulpit\ComboFix.exe" /uninstall

Gotowe

 

2. Przeskanuj system za pomocą Kaspersky Virus Removal Tool. W konfiguracji skanera zaznacz wszystkie obszary do skanu. Zaprezentuj wykryte zagrożenia, o ile takowe zostaną znalezione.

Zamieszczam log.

 

3. Pod kątem sieci: dostarcz do analizy pełne Dzienniki zdarzeń. Start > Uruchom > eventvwr.msc, z prawokliku na gałęzie System + Aplikacje zapisz je do nowych plików EVT, pliki zzipuj i umieść na jakimś hostingu podając tu link do paczki.

http://megaherc.net/dz.zip (mój własny wykupiony hosting)

KasperskyVRTLogWykryte.txt

[PierreNik]

Przypominam się - mam nadzieję, że nie zapomniała Pani o moim problemie z laptopem i brakiem Internetu . Zdecydowanie bardziej mi zależy na rozwiązaniu tego problemu niż na uporządkowaniu PC

[picasso]

Nie musisz mi się przypominać. Skoro nie ma odpowiedzi, to znaczy że nie zanalizowałam Dzienników zdarzeń (to nie jest sprawa na 5 minut) i nie mam o czym pisać na razie. To nie jest zapomnienie.

[PierreNik]

OK, w takim razie cierpliwie czekam

[picasso]

Skaner Kasperskiego tylko notuje programy wymagające aktualizacji ze względu na luki. W Dziennikach zdarzeń nie ma tropu, żadnych bieżących błędów związanych bezpośrednio / sugerujących kierunek (pomijam błędy z czasu zmodyfikowanego AFD oraz wynikowe startu w awaryjnym). Do wypróbowania reinstalacja: odinstaluj oprogramowanie sieciowe, uruchom Menedżer urządzeń, w menu Widok ustaw pokazywanie ukrytych urządzeń, odinstaluj wszystkie obiekty związane z siecią (oraz i te, które mogą tam wystąpić z wykrzyknikiem / pytajnikiem), sprawdzając w obszarach Kart sieciowych i Sterowników niezgodnych z Plug and Play. Restart ....

Mam jednak nieprzyjemne podejrzenie, że to nie zadziała..... Był na forum jeden temat z uszkodzoną siecią po ZeroAccess, w którym nie pomogło nawet przeładowanie całego stosu TCP/IP.

 

 

.

[PierreNik]

W Dziennikach zdarzeń nie ma tropu, żadnych bieżących błędów związanych bezpośrednio / sugerujących kierunek (pomijam błędy z czasu zmodyfikowanego AFD oraz wynikowe startu w awaryjnym).

Czy gdybym podał dokładną datę i godzinę momentu, w którym odłączył się Internet - czy to by coś pomogło?

 

Do wypróbowania reinstalacja: odinstaluj oprogramowanie sieciowe, uruchom Menedżer urządzeń, w menu Widok ustaw pokazywanie ukrytych urządzeń, odinstaluj wszystkie obiekty związane z siecią (oraz i te, które mogą tam wystąpić z wykrzyknikiem / pytajnikiem), sprawdzając w obszarach Kart sieciowych i Sterowników niezgodnych z Plug and Play. Restart ....

Mam problem z odinstalowaniem niektórych pozycji z "Karty sieciowe", gdyż instalują się same po restarcie komputera (screen). Czy w tym przypadku również (tak jak w przypadku sterowników do myszki) usunąć odpowiednie oemy?

 

Mam jednak nieprzyjemne podejrzenie, że to nie zadziała..... Był na forum jeden temat z uszkodzoną siecią po ZeroAccess, w którym nie pomogło nawet przeładowanie całego stosu TCP/IP.

Niestety na razie to tak wygląda, gdyż wykasowałem wszystko z menadżera urządzeń, co ma związanego z Internetem - oczywiście po restarcie wróciły. Po instalacji oprogramowania Livebox'a i Sagem'a (USB wifi adapter) żadnych zmian. Siła sygnału znakomita, jednak strony nie działają. Czy lekarstwo na prawie wszystko, czyli format, by tu pomogło? A może jeszcze jakieś pomysły?

 

 

.

Edytowane 24 Stycznia 2012 przez PierreNik

[picasso]

Czy gdybym podał dokładną datę i godzinę momentu, w którym odłączył się Internet - czy to by coś pomogło?

 

Nic mi to nie pomoże. Dziennik zdarzeń mam i z niego nie wynika nic.

 

Wypróbuj manualnego brutalnego przeładowania Winsock i TCP/IP (poprzednio szło przez netsh i właściwie nie wiadomo jakie zwroty z tych komend miałeś). Tzn.: KLIK. Jeżeli to zawiedzie, to zmierzałabym do formatu.

 

 

.

[PierreNik]

Jeszcze tylko dopytam. W którym połączeniu mam tak zrobić? Tym, które pojawia się po instalacji adaptera Sagem + oprogramowania Livebox (Połączenie bezprzewodowe [nr]), czy tym które jest zawsze (Połączenie 1394)? Bo to bezprzewodowe to zawsze instaluje się od nowa (dodaje się nowe połączenie z nowym numerkiem, czyli inną nazwą). Na screenie wyżej pokazałem jakie są połączenia. I nie wiem po co ich tam tyle