Przekierowania na mediashifting.com (ZeroAccess?)

[xennon]

Cześć,

 

Oryginalny wątek znajduje się pod linkiem http://forum.pcformat.pl/Przekierowania-na-mediashifting-com-t Wygląda na to, że stałem się kolejną ofiarą ZeroAccess.

Po przeczytaniu zasad forum, odinstalowałem DaemonTools wraz ze sterownikiem. Niestety nie udało mi się usunąć go z rejestru do końca. RegDelNull nie wykrył żadnych kluczy zerowych. SWReg po wskazaniu ścieżki stwierdził, że nie jest to klucz zerowy. Metoda zmiany uprawnień również zawiodła - w kroku 4tym dostałem komunikat, że nie udało się podmienić właściciela dla części z podkluczy (nie próbowałem każdego z osobna ustawiać, tylko na folderze stpd).

Załączam najświeższe logi z OTL, po odinstalowaniu częściowym sterowników.

Extras3.Txt

OTL.3Txt.txt

[picasso]

Temat źle prowadzony. Idiotyczny skrypt do OTL (z kuriozalnym zestawem komend = zabija wszystkie procesy prowadzące do restartu, następnie chce startować powłokę, i jeszcze raz restartować), podczas gdy tu z całkiem innej strony należy się zabierać. I nic dziwnego, że nie widzisz folderu C:\Windows\SysNative = taki nie istnieje. To tylko sposób w jaki OTL przedstawia skan części stricte 64-bitowych. Sysnative to alias używany przez 32-bitowe aplikacje, by dorwać się do komponentów 64-bit. Sysnative = system32. OTL jest 32-bitowym narzędziem i widzi prawdę tylko poprzez sztuczkę.

 

W pierwszej kolejności należy ustalić czy w rejestrze jest zapis biblioteki ZeroAccess i czy biblioteka jeszcze rezyduje na dysku (Avira ją widziała). Plus dodatkowy skan na skasowane usługi, bo na pewno (wg Dziennika zdarzeń) conajmniej brakuje BFE.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
c:\Windows\system32\consrv.dll /64
C:\Windows\assembly\GAC_64\*.*
C:\Windows\assembly\GAC_32\*.*
C:\Windows\*. /RP /s
dir /s /a C:\Windows\assembly\tmp /C

 

Klik w Skanuj (nie Wykonaj skrypt!).

 

2. Uruchom Farbar Service Scanner, zaznacz wszystkie sekcje do skanowania i klik w Scan.

 

Przedstaw logi.

 

 

.

[xennon]

Proszę, o to i logi.

FSS.txt

OTL4.Txt

[picasso]

Są skasowane trzy usługi Windows: Centrum zabezpieczeń + Zapora systemu Windows + Podstawowy aparat filtrowania. Ich rekonstrukcja potem. Natomiast w kwestii biblioteki ZeroAccess: któryś mechanizm ochronny musiał powstrzymać modyfikację (być może Avira, bo: "C:\Windows\System32\consrv.dll. Action performed: Deny access"), gdyż w rejestrze nie ma odnośnika do consrv.dll. To oznacza, że bibliotekę można skasować z dysku.

 

W takiej sytuacji pobierz i użyj zgodnie ze wskazówkami ComboFix. Powinien skasować consrv.dll + składniki infekcji z assembly i alfanumeryczny folder. Przedstaw raport z jego pracy.

 

Na wszelki wypadek, gdyż Avira musi być wstrzymana na czas pracy ComboFix, a nie potrafię przewidzieć rezultatów i zapewnić, że nie dojdzie do niepożądanej modyfikacji rejestru: jeżeli po użyciu ComboFix system odmówi startu, F8 > "Napraw komputer" > z linii komend stwórz log za pomocą FRST x64 zlokalizowanego na pendrive.

 

 

 

.

[xennon]

W takiej sytuacji pobierz i użyj zgodnie ze wskazówkami ComboFix. Powinien skasować consrv.dll + składniki infekcji z assembly i alfanumeryczny folder. Przedstaw raport z jego pracy.

 

Oto i on.

ComboFix.txt

[picasso]

AV: Avira Desktop *Enabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
SP: Avira Desktop *Enabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}

 

Czy na pewno wyłączyłeś Avirę na czas usuwania? Brak znaków, by biblioteka consrv.dll została skasowana z dysku. ComboFix usunął jedynie elementy z assembly i 48967cac. Rezydent Avira nie może być czynny, ani przed ani po restarcie. Ponów próbę bez Aviry.

 

 

 

.

[xennon]

Kliknąłem prawym na trayu aviry i odhaczyłem "Realtime protection enable", parasol się złożył.

Niemniej Combofix faktycznie wskazał, że Avira jest włączona. Przejrzałem opcje Aviry, ale nie znalazłem jeszcze jakiejś innej, więc odpaliłem ComboFixa mimo to. Teraz jak daję podwójny klik na traya to mam komunikat OnDblClick() failed. Jednak odpalone z menu start działa i tam wyłączyłem Avirę - efekt taki sam - parasol się złożył.

Mimo to dalej Combofix pokazuje, że Avira jest włączona. Nie wciskam OK jednak i pozostawiam dialog otwarty w międzyczasie szukając jak to ustrojstwo jeszcze można wyłączyć "bardziej" :-)

 

 

Aha - po restarcie Avira się faktycznie włączyła sama (parasol otwarty). Może ją odinstaluję i wtedy uruchomię Combofixa?

 

update: restart nie pomógł, jedyna zmiana, to że dwuklik na trayu już działa :/

 

dodam też, że sprawdziłem i ten consrv.dll siedzi dalej w system32. może go ręcznie usunąć? nie odpalałem combofixa raz jeszcze przez ten komunikat o Avirze :/

[picasso]

xennon, do uzupełniania posta służy "Edytuj" a nie pisanie nowej odpowiedzi. Sklejam. Nie odpowiadam błyskawicznie, gdyż musiałam Avirę pobrać i na wirtualnej maszynie zainstalować w celu prezentacji gdzie się deaktywuje rezydenta na trwałe. Panel sterowania > Odinstaluj program > podświetl pozycję Avira i wybierz Zmień > odfajkuj w komponentach rezydenta. Po ukończeniu czyszczenia systemu potem sobie go z powrotem tam zaptaszkujesz.

 

 

dodam też, że sprawdziłem i ten consrv.dll siedzi dalej w system32. może go ręcznie usunąć?

 

Oczywiście, że consrv.dll siedzi, przecież to powiedziałam już. Skoro go nie skasował ComboFix, wątpliwe byś dał radę ręcznie. W normalnych okolicznościach ComboFix usuwa ten plik bez mrugnięcia okiem, tu Avira go blokowała i wygląda na to, że nie dopuszcza skanera do tego pliku.

 

 

 

.

[xennon]

Sorki. Dziwna sprawa, odfaktowałem wszystkie komponenty Aviry poza samą Avirą a Combofix dalej pokazuje, że ochrona rezydentna jest aktywna

[picasso]

ComboFix bierze dane z WMI i to nie musi się zgadzać. To już opuść, po odznaczeniu komponentu rezydenta jest odcięta funkcjonalność która mnie tu interesowała. Przypominam: jeżeli tym razem po użyciu ComboFix system nie wstanie, masz podane narzędzie do tworzenia raportu z poziomu niestartującego Windows (i tymże narzędziem spokojnie skoryguję szkodę).

 

 

.

[xennon]

Przy pierwszym skanie Combofixem po wciśnięciu OK (że Avira chodzi) miałem "niewiele" mówiący komunikat błędu. Po wciśnięciu OK Combofix ruszył dalej. Sądziłem, że to wina Aviry. Tym razem jednak znów ten sam błąd był. Wrzucam screenshota, choć niewiele jest do pokazania...

http://www.fotosik.p...54ff97f9cd.html

ComboFix.txt

[picasso]

ComboFix nie potrafi pliku namierzyć, coś mu przeszkadza (i nadal sądzę, że to konsekwencja użycia Avira). Usuwanie przeprowadzimy z poziomu środowiska zewnętrznego.

 

1. Otwórz Notatnik i wklej w nim:

 

C:\Windows\system32\consrv.dll
C:\Users\Yommie\AppData\Local\48967cac

 

Plik zapisz pod nazwą fixlist.txt. Plik ten ułóż wspólnie z narzędziem FRST x64 na pendrive.

 

2. Restart komputera > F8 i wybierz opcję "Napraw komputer". Uruchom zgodnie z opisem FRST i klik w Fix. Na pendrive powstanie plik fixlog.txt.

 

3. Restartujesz do Windows. Prezentujesz fixlog.txt oraz nowy skan z OTL.

 

 

 

.

[xennon]

partycja systemowa została zmapowana na G. podejrzałem log działania programu jeszcze w WinRe i zobaczyłem, że nie znaleziono plików do usunięcia. Podmieniłem więc w fixlist.txt ścieżki zmieniając dysk z C na G, ale wynik jest ten sam (dalej szuka na C)

Fixlog.txt

[picasso]

partycja systemowa została zmapowana na G. podejrzałem log działania programu jeszcze w WinRe i zobaczyłem, że nie znaleziono plików do usunięcia. Podmieniłem więc w fixlist.txt ścieżki zmieniając dysk z C na G, ale wynik jest ten sam (dalej szuka na C)

 

Ale w czym zmapowana jako "G"? W WinRE przed użyciem narzędzia? Nic nie zmieniaj w skrypcie, skaner Farbar nie działa w taki sposób jak myślisz i zawsze przemontowuje partycję systemową jako "C" na czas usuwania, niezależnie od tego jak daleką literę faktyczną partycja otrzymała w WinRE. Jest o tym wyraźnie napisane w opisie narzędzia. Skąd uruchomiłeś narzędzie FRST, z jakiego nośnika, czy na pewno to był osobny nośnik a nie narzędzie ulokowane na systemowym dysku?

 

 

 

.

[xennon]

W sensie jak odpaliłem notepada i chciałem niby otworzyć jakiś plik, to partycja z systemem Windows 7 pokazała się jako G. Mam jeszcze Windows XP 64bit i to partycja z tym systemem pokazała się jako C. Chyba więc FRST zostało wprowadzone w błąd :-)

Dokładnie rzecz biorąd to FRST nagrane jest na kartę pamięci microSD, która siedzi w adapterze podpinanym pod USB. Typowego pendrive'a nie mam w tej chwili pod ręką.

Btw, od razu pokazała mi się EULA, nie było żadnych ukrytych partycji.

[picasso]

W sensie jak odpaliłem notepada i chciałem niby otworzyć jakiś plik, to partycja z systemem Windows 7 pokazała się jako G. Mam jeszcze Windows XP 64bit i to partycja z tym systemem pokazała się jako C. Chyba więc FRST zostało wprowadzone w błąd :-)

 

Ale to układ przed uruchomieniem FRST? Skoro FRST ogłupiony z niewyjaśnionych powodów, ręcznie usuniesz obiekty ZeroAccess z poziomu WinRE. Upewniasz się przez Notatnik jaką literę ma partycja z Windows 7, następnie w linii komend wklepujesz:

 

X:

del /q X:\Windows\system32\consrv.dll

rd /s /q "X:\Users\Yommie\AppData\Local\48967cac"

 

Gdzie X = litera dysku z Windows 7.

 

 

 

.

[xennon]

Ale to układ przed uruchomieniem FRST?

 

Tak. Usunąłem ręcznie ten plik i katalog. Sprawdziłem po zalogowaniu się i ani widu ani słychu po nich (w sensie "fizycznie" odwiedziłem lokacje na dysku szukając ich).

[picasso]

Podstawowy problem z głowy. Przechodzimy do odtworzenia trzech brakujących usług Windows:

 

1. Rekonstrukcja usługi Centrum zabezpieczeń systemu Windows: KLIK.

 

2. Rekonstrukcja usług Podstawowy aparat filtrowania + Zapora systemu Windows: KLIK.

 

3. Sprawdź czy działają komponenty Centrum zabezpieczeń + Zapora. Zrób nowy log za pomocą Farbar Service Scanner.

 

 

.

[xennon]

Wygląda na to, że działają. Swoją drogą muszę włączyć przywracanie systemu, nie chce mi się wierzyć, że świadomie wyłączyłem kiedyś :-)

 

Edit, a nie jednak jest włączony system restore...

 

Edit2: nie wiem, czy to zamyka sprawę, więc nie mówię "hop". póki co jednak zwijam się, bo za 5.5 godz pobudka. Zajrzę tu przed południem pewnie. :-)

FSS.txt

[picasso]

Naprawa wygląda na ukończoną.

 

1. Odinstaluj w prawidłowy sposób ComboFix (co także czyści foldery Przywracania systemu) za pomocą komendy:

 

C:\Users\Yommie\Desktop\Antysyf\ComboFix.exe /uninstall

 

Gdy ukończy, użyj funkcję Sprzątanie w OTL, która zlikwiduje z dysku OTL/RSIT/TDSSKiller.

 

2. Wykonaj potwierdzający skan za pomocą mini skanera Kaspersky Virus Removal Tool. Przedstaw ewentualne wykryte zagrożenia, o ile będą.

 

3. Po ocenie wyników, zamknij okno Kasperskiego (równoważne z deinstalacją) oraz ożyw wyeliminowany rezydent Avira.

 

 

 

PS. Drobny komentarz "historyczny" dla rozwiania wątpliwości:

 

 

 

Przyjrzałam się bliżej co tam dziabali na innym forum. Skrypt się nie wykonał wcale i dobrze. Pomijając to co już mówiłam, na usuwanie zadano wpis rzekomo "not found". PDBoot.exe (skanowanie Boot Time od Perfect Disk) to nie jest wpis "not found", to tylko kwestia jak to OTL zczytuje z rejestru.

 

O34 - HKLM BootExecute: (PDBoot.exe) -  File not found

 

Ponadto, to co typowano jak rozumiem jako "podejrzane" (JulaPAN.exe) to ESI Juli@.

 

========== Driver Services (SafeList) ==========
 
DRV:64bit: - [2009-10-23 12:19:20 | 000,043,552 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\JulaWDM.sys -- (JulaWDM.sys)
DRV:64bit: - [2009-10-23 12:19:18 | 000,058,400 | ---- | M] () [Kernel | System | Running] -- C:\Windows\SysNative\drivers\Jula.sys -- (Jula.sys)
 
O4:64bit: - HKLM..\Run: [JulaPAN.exe] C:\Windows\SysNative\JulaPAN.exe ()

 

 

 

 

 

.

[xennon]

Kaspersky nie wykrył zagrożeń.

Rozumiem, że to finito.

 

Dziękuję serdecznie, wiszę Ci nieeezłe piwo :-)

[picasso]

Na koniec:

 

1. Zaktualizuj aplikacje (KLIK), z Twojej listy zainstalowanych:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java™ 6 Update 24
"{87CC8013-56D1-43E1-A0A5-AD406B4EBA95}" = Opera 10.63
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Opera 11.52.1100" = Opera 11.52

 

Dla podkreślenia: Flash w wersji IE 32-bit wymaga aktualizacji.

 

2. Prewencyjna wymiana haseł w serwisach logowania, dla bezpieczeństwa

 

 

 

.

[xennon]

Poinstalowane. Teraz trochę zabawy w zmiany haseł, bo trochę ich jest, w tym do banku...

 

Jeszcze raz dzięki. Życzę miłego dnia i samych sukcesów w potyczkach z infekcjami. Bylem tylko nie musiał być sekundantem