Skocz do zawartości

ZeroAccess


Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Sprawa wygląda tak. ComboFix coś usunął i nie chciał się włączyć żaden program w systemie. Musiałem przywrócić system i pewnie całe działanie ComboFixa poszło na marne... Ogólnie zawsze jak jeszcze walczyłem antywirusem i usunąłem robaka to trzeba było przywrócić system bo nie śmigał.

 

Załączam logi.

 

OTL:

 

http://www.wklej.org/hash/cedade17e57/

http://www.wklej.org/hash/6b28f2707b2/

 

Combofix w załączniku.

ComboFix.txt

Odnośnik do komentarza

Teraz sprawa jest nejasna. Log z ComboFixa wskazuje na usunięcie infekcji, ale log z OTL pokazuje że nadal nie jest dobrze i to może być kwestia przywrócenia systemu. Proszę tego nie robić(!) Tak możemy usuwać bez końca. Nie spotkałem sie z przypadkiem aby po usunięciu tej infekcji był taki problem jak u ciebie. Może wystarczy tylko zrestartować system. Jeszcze raz powtórz wszystkie kroki od początku a więc ponownie stosujesz ComboFix, a potem wykonujesz nowe logi z OTL i pokazujesz raporty.

Odnośnik do komentarza

Landuss

 

Tu nie jest pewne czy ComboFix w ogóle dał radę. Na forum ostatnio przypadki, że ComboFix usuwa tylko częściowo ZeroAccess na systemie 64-bit, nie resetuje wartości w rejestrze (coś musi mu przeszkadzać) i po usunięciu pliku consrv.dll system nie może startować. Być może dlatego, że to jest inny wariant ZeroAccess, który jako dodatkowy element ma także tę podrobioną usługę:

 

SRV:64bit: - [2009-07-14 02:39:46 | 000,005,120 | ---- | M] (Iomega) [Auto | Running] -- C:\Windows\SysNative\NTIDrvr.dll -- (sandradatasrv)

 

W logu z ComboFix żadnych znaków, by narzędzie wyczuło ten obiekt i usuwało go. ComboFix podaje obecność tej usługi tylko w wartości NetSvcs, nie podaje jej w spisie usług. Ostatni OTL pokazuje ją w formie całkowitej.

 

 

nootpl

 

ComboFix coś usunął i nie chciał się włączyć żaden program w systemie.

 

Czy to był błąd "wykonano próbę niedozwolonej operacji na kluczu rejestru, który został oznaczony do usunięcia"? To się czasem dzieje po użyciu ComboFix i wystarczy zrestartować system.

 

W związku z tym, że cofnąłeś system, usuwanie od początku, ale inną metodą.

 

1. Przygotuj skrypt naprawczy. Otwórz Notatnik i wklej w nim:

 

SubSystems: [Windows] ==> ZeroAccess
2 sandradatasrv; C:\Windows\system32\NTIDrvr.dll [5120 2009-07-14] (Iomega)
NETSVC: sandradatasrv
C:\Windows\system32\NTIDrvr.dll
C:\Windows\system32\consrv.dll
C:\Windows\assembly\tmp\U

 

Plik zapisz pod nazwą fixlist.txt.

 

2. Na pendrive umieść narzędzie FRST x64 i plik fixlist.txt. Przy starcie komputera F8 > Napraw komputer > w linii komend uruchamiasz zgodnie z opisem narzędzie FRST i w nim wybierasz opcję Fix. Na pendrive powstanie plik fixlog.txt.

 

3. Restartujesz do Windows. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wpisz komendę netsh winsock reset.

 

4. Do oceny nowe logi: OTL opcją Skanuj + Farbar Service Scanner z zaznaczonymi wszystkimi opcjami. Dołącz też plik Fixlog.txt.

 

 

 

.

Odnośnik do komentarza
Zrestartowałem system no ale teraz ponownie nie chce się włączyć. Jedynie tryb przywracania.

 

To jest to o czym mówię = ComboFix niepoprawnie niecałkowicie usunął ZeroAccess.

 

 

Robić to co poradziłaś? Wpierw ponownie musiałbym przywrócić system...

 

Rób co podałam, skrypt pewnie nie znajdzie kilku obiektów (ComboFix uruchomiony po raz drugi się nimi zajął), ale to nie ma znaczenia. Nie, systemu nie trzeba przywracać, przecież narzędzie FRST działa z poziomu środowiska zewnętrznego, jest dedykowane właśnie przypadkom niestartujących Windows. Gdy zrobisz co podałam, Windows wstanie, start zostanie odblokowany.

 

 

 

.

Odnośnik do komentarza

Skrypt zmiótł ZeroAccess, z wyjątkiem pliku consrv.dll ("not found"), co było spodziewane, bo to była przyczyna niestartującego Windows. Skrypt wymazał w rejestrze informację, która wskazywała do ładowania ów plik. Log z Farbar Service Scanner twierdzi, ze nie ma uszkodzeń w obszarze usług Windows. Możemy przejść do dalszych czynności, tzn. kolejne korekty Winsock, gdyż po ZeroAccess jest jeszcze to uszkodzenie:

 

O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - %SystemRoot%\System32\nwprovau.dll File not found

 

Oraz usunięcie szczątków Facemoods (ComboFix na brutala to kasował) + wątpliwej wyszukiwarki startsear.ch z konfiguracji przeglądarek (śmieć wprowadzony instalacją vShare, które będzie tu też likwidowane).

 

Niepokoją mnie jeszcze te ukryte katalogi:

 

[2012-01-05 20:08:57 | 000,000,000 | -HSD | C] -- C:\Windows\SysWow64\%APPDATA%

[2012-01-05 20:06:52 | 000,000,000 | -HSD | C] -- C:\Windows\SysNative\%APPDATA%

 

Widzę je w wielu logach i nie wiem co to wygenerowało i czy nazwa na pewno wygląda jak zmienna z procentami. Wejdź do obu katalogów, SysWow64 + system32, i sprawdź jak te foldery wyglądają i co w nich jest.

 

 

 


1. Naprawa Winsock części NameSpace, oczyszczenie konfiguracji Internet Explorer oraz usuwanie Facemoods ze startu i listy zainstalowanych. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5]
"Num_Catalog_Entries"=dword:00000006
"Serial_Access_Num"=dword:00000020
"Num_Catalog_Entries64"=dword:00000006
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000001]
"LibraryPath"="%SystemRoot%\\system32\\NLAapi.dll"
"DisplayString"="@%SystemRoot%\\system32\\nlasvc.dll,-1000"
"ProviderId"=hex:3a,24,42,66,a8,3b,a6,4a,ba,a5,2e,0b,d7,1f,dd,83
"SupportedNameSpace"=dword:0000000f
"Enabled"=dword:00000001
"Version"=dword:00000000
"StoresServiceClassInfo"=dword:00000001
"ProviderInfo"=hex:
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000002]
"LibraryPath"="%SystemRoot%\\System32\\mswsock.dll"
"DisplayString"="@%SystemRoot%\\system32\\wshtcpip.dll,-60103"
"ProviderId"=hex:40,9d,05,22,9e,7e,cf,11,ae,5a,00,aa,00,a7,11,2b
"SupportedNameSpace"=dword:0000000c
"Enabled"=dword:00000001
"Version"=dword:00000000
"StoresServiceClassInfo"=dword:00000001
"ProviderInfo"=hex:
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000003]
"LibraryPath"="%SystemRoot%\\System32\\winrnr.dll"
"DisplayString"="NTDS"
"ProviderId"=hex:ee,37,26,3b,80,e5,cf,11,a5,55,00,c0,4f,d8,d4,ac
"SupportedNameSpace"=dword:00000020
"Enabled"=dword:00000001
"Version"=dword:00000000
"StoresServiceClassInfo"=dword:00000000
"ProviderInfo"=hex:
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000004]
"LibraryPath"="%SystemRoot%\\system32\\napinsp.dll"
"DisplayString"="@%SystemRoot%\\system32\\napinsp.dll,-1000"
"ProviderId"=hex:a2,cb,4a,96,bc,b2,eb,40,8c,6a,a6,db,40,16,1c,ae
"SupportedNameSpace"=dword:00000025
"Enabled"=dword:00000001
"Version"=dword:00000000
"StoresServiceClassInfo"=dword:00000001
"ProviderInfo"=hex:
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000005]
"LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll"
"DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1000"
"ProviderId"=hex:ce,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d
"SupportedNameSpace"=dword:00000027
"Enabled"=dword:00000001
"Version"=dword:00000000
"StoresServiceClassInfo"=dword:00000001
"ProviderInfo"=hex:
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000006]
"LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll"
"DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1001"
"ProviderId"=hex:cd,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d
"SupportedNameSpace"=dword:00000026
"Enabled"=dword:00000001
"Version"=dword:00000000
"StoresServiceClassInfo"=dword:00000001
"ProviderInfo"=hex:
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000001]
"LibraryPath"="%SystemRoot%\\system32\\NLAapi.dll"
"DisplayString"="@%SystemRoot%\\system32\\nlasvc.dll,-1000"
"ProviderId"=hex:3a,24,42,66,a8,3b,a6,4a,ba,a5,2e,0b,d7,1f,dd,83
"SupportedNameSpace"=dword:0000000f
"Enabled"=dword:00000001
"Version"=dword:00000000
"StoresServiceClassInfo"=dword:00000001
"ProviderInfo"=hex:
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000002]
"LibraryPath"="%SystemRoot%\\System32\\mswsock.dll"
"DisplayString"="@%SystemRoot%\\system32\\wshtcpip.dll,-60103"
"ProviderId"=hex:40,9d,05,22,9e,7e,cf,11,ae,5a,00,aa,00,a7,11,2b
"SupportedNameSpace"=dword:0000000c
"Enabled"=dword:00000001
"Version"=dword:00000000
"StoresServiceClassInfo"=dword:00000001
"ProviderInfo"=hex:
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000003]
"LibraryPath"="%SystemRoot%\\System32\\winrnr.dll"
"DisplayString"="NTDS"
"ProviderId"=hex:ee,37,26,3b,80,e5,cf,11,a5,55,00,c0,4f,d8,d4,ac
"SupportedNameSpace"=dword:00000020
"Enabled"=dword:00000001
"Version"=dword:00000000
"StoresServiceClassInfo"=dword:00000000
"ProviderInfo"=hex:
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000004]
"LibraryPath"="%SystemRoot%\\system32\\napinsp.dll"
"DisplayString"="@%SystemRoot%\\system32\\napinsp.dll,-1000"
"ProviderId"=hex:a2,cb,4a,96,bc,b2,eb,40,8c,6a,a6,db,40,16,1c,ae
"SupportedNameSpace"=dword:00000025
"Enabled"=dword:00000001
"Version"=dword:00000000
"StoresServiceClassInfo"=dword:00000001
"ProviderInfo"=hex:
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000005]
"LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll"
"DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1000"
"ProviderId"=hex:ce,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d
"SupportedNameSpace"=dword:00000027
"Enabled"=dword:00000001
"Version"=dword:00000000
"StoresServiceClassInfo"=dword:00000001
"ProviderInfo"=hex:
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000006]
"LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll"
"DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1001"
"ProviderId"=hex:cd,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d
"SupportedNameSpace"=dword:00000026
"Enabled"=dword:00000001
"Version"=dword:00000000
"StoresServiceClassInfo"=dword:00000001
"ProviderInfo"=hex:
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{21FA44EF-376D-4D53-9B0F-8A89D3229068}"=-
"{7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA}"=-
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"facemoods"=-
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\facemoods]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku na plik wybierz funkcję Scal

 

 

2. Oczyszczenie konfiguracji Firefox. Zamknij Firefox, uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL

FF - prefs.js..browser.search.defaultengine: "Web Search"

FF - prefs.js..browser.search.defaultenginename: "Web Search"

FF - prefs.js..browser.search.order.1: "Web Search"

FF - prefs.js..keyword.URL: "http://startsear.ch/?aff=1&q="

[2011-12-26 20:29:27 | 000,000,792 | ---- | M] () -- C:\Users\Dawid Szewczyk\AppData\Roaming\Mozilla\Firefox\Profiles\fbp5cp4b.default\searchplugins\startsear.xml

 

Klik w Wykonaj skrypt.

 

 

3. Oczyszczenie konfiguracji Google Chrome:

 

========== Chrome  ==========

 

CHR - default_search_provider: Web Search (Enabled)

CHR - default_search_provider: search_url = "http://startsear.ch/?aff=1&q={searchTerms}"

CHR - default_search_provider: suggest_url =

 

CHR - Extension: Facemoods = C:\Users\Dawid Szewczyk\AppData\Local\Google\Chrome\User Data\Default\Extensions\ihflimipbcaljfnojhhknppphnnciiif\1.4.0_0\

 

Skrypty OTL nie mogą konfigurować domyślnego dostawcy wyszukiwania. Uruchom przeglądarkę i w Opcjach w zestawie wyszukiwarek ustaw jako domyślną np. Google, zaś "Web Search" skasuj. Następnie: wymontuj rozszerzenie Facemoods.

 

 

4. Na koniec odinstaluj vShare.tv plugin całkowicie przez Panel sterowania Windows.

 

 

5. Wygeneruj do oceny nowy log z OTL opcją Skanuj + log z AD-Remover z opcji Scan.

 

 

 

 

.

Odnośnik do komentarza
Folderu SysNative w ogóle nie widze.

 

A mówiłam:

 

Wejdź do obu katalogów, SysWow64 + system32, i sprawdź jak te foldery wyglądają i co w nich jest.

 

Folder SysNative nie istnieje, to jest alias jakim 32-bitowe programy (takim jest niestety OTL, nie jest natywnie 64-bitowy i musi używać sztuczek) uzyskują dostęp do części natywnie 64-bitowych. SysNative = system32. Tutaj bogatsze wyjaśnienia o co chodzi z SysNative: KLIK.

 

 


1. Podejrzane są te dwa katalogi, skasuj z dysku foldery %Appdata%.

 

2. W Google Chrome nadal ta badziewna wyszukiwarka stoi, zaś vShare się nie odmontowało do końca:

 

========== Chrome  ==========

 

CHR - default_search_provider: Web Search (Enabled)

CHR - default_search_provider: search_url = "http://startsear.ch/?aff=1&q={searchTerms}"

CHR - default_search_provider: suggest_url =

 

CHR - plugin: vShare.tv plug-in (Enabled) = C:\Users\Dawid Szewczyk\AppData\Local\Google\Chrome\User Data\Default\Extensions\kpionmjnkbpcdpcflammlgllecmejgjj\1.3_0\chvsharetvplg.dll

CHR - plugin: vShare.tv plug-in (Enabled) = C:\Program Files (x86)\Mozilla Firefox\plugins\npvsharetvplg.dll

 

Wchodzisz do opcji Google Chrome i usuwasz wyszukiwarkę "Web Search". Natomiast wycięcie wtyczek vShare z konfiguracji wymaga większych sztuk. Przeprowadź proces rozpisany tutaj w punkcie 3: KLIK.

 

3. AD-Remover dopatrzył się szczątków po vShare, zamknij Firefox i uruchom AD-Remover z opcji Clean. I drobna poprawka na wpisy, których nie usunie sam z siebie, tzn. zmontuj sobie nowy plik FIX.REG o poniższej zawartości i go Scal.

 

Windows Registry Editor Version 5.00
 
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{859D0534-7C4F-453A-82E3-BF56ED292534}]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{FFDF9EF3-3C3A-4f05-9A6E-5D3B778EC567}]

 

4. Dla potwierdzenia wykonania zadania zrób nowy log z OTL opcją Skanuj.

 

 

 

.

Odnośnik do komentarza

1. vShare w Google Chrome to już szczegół. Czy przeglądarka Google Chrome była otwarta podczas manipulacji na pliku konfiguracji? W Google Chrome wklep adres chrome://plugins i wyłącz tam oba wystąpienia wtyczki vShare. Następnie zamknij przeglądarkę i powtórz edycję pliku konfiguracji Google Chrome.

 

2. Porządki po używanych narzędziach, w tej a nie innej kolejności:

  • Odinstaluj AD-Remover, normalnie przez Panel sterowania.
  • Odinstaluj ComboFix, klawisz z flagą Windows + R i w Uruchom wklej polecenie:
    "C:\Users\Dawid Szewczyk\Downloads\ComboFix.exe" /uninstall
  • W OTL uruchom Sprzątanie, co skasuje z dysku OTL z kwarantanną oraz RSIT.
  • Przez SHIFT+DEL skasuj następujące katalogi: C:\FRST + C:\Windows\ERDNT

3. Wykonaj skanowanie systemu dowodujące usunięcie wszystkich składników ZeroAccess, za pomocą aplikacji Kaspersky Virus Removal Tool. W razie wykrycia zagrożeń przedstaw raport je prezentujący.

 

 

 

.

Edytowane przez picasso
29.02.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...