Przekierowywanie na abnow.com i mediashifting.com

[Kimi1908]

Witam.

 

Mój problem polega na przekierowywaniu google na abnow.com.

Ponadto przy przechodzeniu w tryb pełnoekranowy na przykład playera youtube, nagle otwiera się nowa karta z adresem mediashifting.com.

 

System: Windows XP Pro 32 bit

 

Zamieszczam log z TDSSKiller'a, oraz logi z OTL

TDSSKiller.2.7.9.0_03.02.2012_15.32.52_log.txt

OTL.Txt

Extras.Txt

[picasso]

TDSSKiller wskazuje aż dwa rootkity, ZeroAccess oraz infekcję ACPI. W OTL ZeroAccess jest objawiony w postaci tych elementów:

 

SRV - [2004-08-03 22:44:28 | 000,005,120 | ---- | M] (Iomega) [Auto | Running] -- D:\WINDOWS\system32\Ndisipo.dll -- (tfsnudfa)
 
MOD - [2004-08-03 22:44:06 | 000,246,784 | ---- | M] () -- \\?\globalroot\systemroot\system32\mswsock.dll
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000006 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000007 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000008 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000009 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000010 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000011 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000012 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000013 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000014 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000015 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000016 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000017 - mswsock.dll File not found
 
O20 - HKU\S-1-5-21-1547161642-527237240-839522115-1001 Winlogon: Shell - (D:\Documents and Settings\JA\Ustawienia lokalne\Dane aplikacji\3fc7f003\X) -D:\Documents and Settings\JA\Ustawienia lokalne\Dane aplikacji\3fc7f003\X ()

 

 

1. Uruchom TDSSKiller i dla wyników Virus.Win32.Rloader.a + Virus.Win32.ZAccess.g przyznaj akcję Cure. Natomiast wynik SPTD omijasz, to od wirtualnych napędów. Resetujesz system. Po restarcie upewnij się, że TDSSKiller nic już nie widzi.

 

2. Następnie uruchom zgodnie ze wskazówkami ComboFix. On doczyści po rootkicie ZeroAccess usuwając zakreślone powyżej elementy i resetując Winsock.

 

3. Prezentujesz: raport utworzony z pracy ComboFix oraz nowy log z OTL (nie potrzebny Extras po raz drugi).

 

 

.

[Kimi1908]

TDSSKiller oprócz STPD nadal wykrywa Virus.Win32.ZAccess.g mimo przyznania akcji Cure.

[picasso]

Przejdź do akcji z ComboFix. Jest możliwe, że usługa o znaczniku "Iomega" odpowiada za proces reinfekowania. ComboFix jest w stanie ją likwidować na systemach 32-bit oraz leczyć sterowniki systemowe.

 

 

.

[Kimi1908]

Próbowałem zainstalować ComboFix'a, jednak po potwiedzeniu licencji i rozpakowaniu na dysk twardy następuje restart explorera, brak niebieskiego okienka programu.

 

Brak folderu Qoobox na dysku systemowym, powstał jedynie folder o nazwie: 32788R22FWJFW a w nim występuje NirCmd.

 

Co do samego problemu przekierowywania to już go nie ma. TDSSKiller załatwił sprawę

Spróbuje jeszcze pokombinować z ComboFix-em, jednak każda próba poprawnej instalacji kończy się fiaskiem.

 

W każdym bądź razie serdecznie dziękuje Picasso za szybką reakcje i poinstruowanie we wszystkich działaniach.

Jak zawsze fachowa pomoc z Twojej strony

[picasso]

Tutaj nie skończona wcale sprawa. TDSSKiller widzi ZeroAccess tylko na poziomie zainfekowanych sterowników systemowych, to nie oznacza wyleczenia infekcji i zainfekowane sterowniki mogą "przeskoczyć" - kolejny może zostać zainfekowany.....

 

 

Spróbuje jeszcze pokombinować z ComboFix-em, jednak każda próba poprawnej instalacji kończy się fiaskiem.

 

Zastartuj do Trybu awaryjnego Windows i ponów próbę. Jeśli to się nie powiedzie, trzeba będzie sprawę rozwiązać ręcznie.

 

 

.

[Kimi1908]

TDSSKiller załatwił sprawę ... Niestety tylko do ponownego uruchomienia, za wcześnie uznałem problem za zakończony

 

Tak jak wyżej napisałaś poprzednia infekcja przerzuciła się na inny sterownik.

Tym razem TDSSKiller wykrył: Virus.Win32.ZAccess.c

Zainfekowany okazał się redbook.sys.

 

Niestety ani w normalnym ani w awaryjnym trybie uruchamiania ComboFix nie pokazuje niebieskiego okienka

[picasso]

1. Pobierz czysty redbook.sys wyekstraktowany z SP2 (tak przedstawia się Twój system): KLIK. Ulokuj go bezpośrednio na D:\.

 

2. Uruchom BlitzBlank i w karcie Script wklej:

 

CopyFile:
D:\redbook.sys D:\WINDOWS\system32\drivers\redbook.sys
 
DeleteFile: 
D:\WINDOWS\system32\Ndisipo.dll
 
DeleteFolder: 
"D:\Documents and Settings\JA\Ustawienia lokalne\Dane aplikacji\3fc7f003"
 
DeleteRegKey:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tfsnudfa
 
DeleteRegValue: 
"HKEY_USERS\S-1-5-21-1547161642-527237240-839522115-1001\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell"

 

Klik w Execute Now. Zatwierdź restart komputera.

 

3. Po restarcie Start > Uruchom > cmd i wpisz komendę netsh winsock reset.

 

4. Sprawdź co powie Kaspersky TDSSKiller. Zrób nowy log z OTL na warunku dostosowanym, w sekcji Własne opcje skanowania / skrypt wklej:

 

D:\Windows\*. /RP /s

 

Klik w Skanuj. Dorzuć też log z wynikami przetwarzania skryptu BlitzBlank.

 

 

 

.

[Kimi1908]

Teraz ja tu trochę napsociłem ... Chciałem jeszcze poczytać co nieco o problemach z ZeroAccess na stronach anglojęzycznych więc po raz kolejny na moment załatwiłem problem TDSSKillerem żeby móc swobodnie poruszać się po google.

 

Tym razem infekcja przerzuciła się na Cdrom.sys.

Wyszukałem i pobrałem już plik http://www.dll-file-.../cdrom.sys.html

Jednak nie jestem pewien czy wystarczy tylko zmienić ścieżkę CopyFile: którą wyżej podałaś.

 

Przepraszam za kłopot.

[picasso]

Owszem, psocisz. Infekcja w sterownikach to jedynie część tej infekcji i nie pomoże tylko leczenie jednego pliku, to jest bardzo złożona i skomplikowana infekcja rootkit. Nie podejmuj żadnych działań poza podanymi. Wskazany cdrom.sys to build 5.1.2600.5512 (XP SP3). Posiadasz XP SP2 i plik cdrom.sys z SP2 to 5.1.2600.2180. Tu ode mnie: KLIK. Skrypt idzie identycznie z wyjątkiem tej partii:

 

CopyFile:
D:\cdrom.sys D:\WINDOWS\system32\drivers\cdrom.sys

[Kimi1908]

Gdy wklejam skrypt i klikam Execute Now wyskakuje komunikat: Syntax error in line 14, Invalid registry value.

 

Poza tym nie mogę odnaleźć folderu o nazwie 3fc7f003.

A w kluczu Winlogon nigdzie nie występuje Shell.

[picasso]

Kimi1908

 

Gdy wklejam skrypt i klikam Execute Now wyskakuje komunikat: Syntax error in line 14, Invalid registry value.

 

To wytnij dwie ostatnie linijki ze skryptu. Ostatni sprawdzany log miał jednak te obiekty:

 

O20 - HKU\S-1-5-21-1547161642-527237240-839522115-1001 Winlogon: Shell - (D:\Documents and Settings\JA\Ustawienia lokalne\Dane aplikacji\3fc7f003\X) -D:\Documents and Settings\JA\Ustawienia lokalne\Dane aplikacji\3fc7f003\X ()

 

Skoro jednak skrypt tego nie widzi, to może zaszły tu dodatkowe okoliczności (były podejmowane próby z ComboFix).

 

 

 

joschua

 

Proszę się dostosować do zasad działu: KLIK. Tu nie wolno się dopisywać do cudzych tematów. Post wydzielam w osobny: KLIK. Nie podane także żadne obowiązkowe logi, nie można w ogóle stwierdzić co się dzieje i podjąć się zadania.

 

 

.

[Kimi1908]

Zatwierdziłem skrypt i zrobiłem restart komputera.

 

Po wpisaniu komendy netsh winsock reset pojawia się komunikat: Nazwa 'netsh' nie jest rozpoznawana jako polecenie wewnętrzne lub zewnętrzne, program wykonywalny lub plik wsadowy.

[picasso]

Czy na dysku jest plik D:\Windows\system32\netsh.exe? Jeśli tak, to być może masz naruszone Zmienne środowiskowe, w takiej sytuacji wpisz "pełnym zdaniem": D:\Windows\system32\netsh.exe winsock reset. Jeśli nie, to jest przyczyna dla niemożliwości użycia komendy.

 

Niezależnie od wyników działań logi nadal aktualne (weryfikacja co widzi TDSSKiller, wyniki BlitzBlank oraz log z OTL na podanym warunku).

 

 

 

.

[Kimi1908]

Brak pliku netsh.exe

TDSSKiller wykrył jedynie STPD.

blitzblank.txt

OTL.Txt

[picasso]

Chyba za bardzo pociąłeś skrypt BlitzBlank. Nie ma żadnego znaku wykonania tego:

 

DeleteRegKey:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tfsnudfa

 

Skutki to usługa infekcji w stanie "not found". Nadal uszkodzony Winsock i załadowany moduł rootkita:

 

========== Modules (No Company Name) ==========
 
MOD - [2004-08-03 22:44:06 | 000,246,784 | ---- | M] () -- \\?\globalroot\systemroot\system32\mswsock.dll
 
 
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000006 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000007 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000008 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000009 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000010 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000011 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000012 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000013 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000014 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000015 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000016 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000017 - mswsock.dll File not found

 

Winsock nie może być tu zresetowany ze względu na brak systemowego netsh.exe = być może dlatego, że jest to modyfikowany Windows i naruszone jest zbyt dużo. Niestety, mamy negatywne skutki uboczne modyfikacji. Dla porównania temat: KLIK.

 

 

1. Wykonaj reset Winsock poprzez kasację kluczy z rejestru: KB811259 (Windows XP without Service Pack 2 instructions). Reset komputera.

 

2. Uruchom GrantPerms, w oknie wklej co poniżej i klik w Unlock.

 

D:\Windows\$NtUninstallKB12347$

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL

SRV - File not found [Auto | Stopped] --  -- (tfsnudfa)
NetSvcs: tfsnudfa -  File not found
 
:Files
del "\\?\D:\Windows\System32\ " /C
fsutil reparsepoint delete D:\Windows\$NtUninstallKB12347$ /C
rd /s /q D:\Windows\$NtUninstallKB12347$ /C
rd /s /q D:\32788R22FWJFW /C
rd /s /q D:\TDSSKiller_Quarantine /C
del /q D:\WINDOWS\System32\dds_log_trash.cmd /C
 
:Commands
[emptytemp]

 

Klikb w Wykonaj skrypt.

 

4. Przedstawiasz: log z wynikami usuwania OTL oraz nowy log z OTL z opcji Skanuj zrobiony na tym samym warunku co poprzednio.

 

 

 

 

 

.

[Kimi1908]

Po skasowaniu klucza tfsnudfa wszystko wróciło do normy, brak jakichkolwiek przekierowań

[picasso]

Co Ty tu tylko o tym kluczu mówisz? Nie dość, że skrypt miał się tym automatycznie zająć (usuwając także serwis z NetSvcs), to przecież od rootkita są jeszcze: łącze symboliczne, plik z wadliwą nazwą w system32 .... Nie podałeś wcale wyników o które proszę. I to nie jest koniec czyszczenia.

 

 

.

[Kimi1908]

Przepraszam Picasso ale w tej chwili nie mam dostępu do komputera.

 

Jak tylko wrócę do domu to pierwsze co zrobię po jego włączeniu to wykonanie czterech punktów które podałaś

 

EDIT:

 

Witam po dłuższej przerwie, nareszcie w domu

 

Już pierwszy punkt przyniósł problem. Po skasowaniu kluczy Winsock i Winsock2 zabrałem się za zainstalowanie protokołu poprzez wybranie folderu C:\Windows\inf tak jak napisano w instrukcji. Jednak po ponownym uruchomieniu komputera straciłem połączenie z internetem, na całe szczęście przed całym zabiegiem zrobiłem kopie gałęzi rejestru gdzie znajdowały się powyższe klucze.

Edytowane 19 Lutego 2012 przez Kimi1908

[picasso]

Przy zamykaniu tematów odkryłam, że doedytowałeś:

 

 

Już pierwszy punkt przyniósł problem. Po skasowaniu kluczy Winsock i Winsock2 zabrałem się za zainstalowanie protokołu poprzez wybranie folderu C:\Windows\inf tak jak napisano w instrukcji. Jednak po ponownym uruchomieniu komputera straciłem połączenie z internetem, na całe szczęście przed całym zabiegiem zrobiłem kopie gałęzi rejestru gdzie znajdowały się powyższe klucze.

 

Winsock musi zostać zresetowany, nie może wrócić do stanu który niestety odtworzyłeś. Stan ten bowiem to Winsock zmodyfikowany przez infekcję. Alternatywnie spróbuj tego: KLIK.

 

Poza tym, nadal brak reszty danych (punkty od 2 do 4).

 

 

.

Edytowane 17 Kwietnia 2012 przez picasso
17.04.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso