Marek63 Opublikowano 6 Lutego 2012 Zgłoś Udostępnij Opublikowano 6 Lutego 2012 Witam, przeczytałem przyklejony wpis: "zakładanie tematu" i trochę się obawiam, czy admin mnie nie pogoni. Dlaczego? Bo nie zauwazyłem, by mój system się sypał, czy w jakiś dziwny sposób zachowywał, jak dotychczas, więc może nie jest spełniony podstawowy warunek założenia tutaj nowego tematu. Jeżeli tak, to proszę wykasować mój temat. Trochę poczytałem o zeroaccess i nie mam pewności na pewno czy komputer jest czysty, pomimo że MBAM usunął owe rootkity - przynajmniej tak zakomunikował. Oto log z MBAM: Malwarebytes Anti-Malware 1.60.1.1000 www.malwarebytes.org Wersja bazy: v2012.02.06.01 Windows XP Service Pack 3 x86 NTFS Internet Explorer 8.0.6001.18702 Admin :: TOMASZ [administrator] 2012-02-06 09:52:59 mbam-log-2012-02-06 (09-52-59).txt Typ skanowania: Pełne skanowanie Zaznaczone opcje skanowania: Pamięć | Rozruch | Rejestr | System plików | Heurystyka/Dodatkowe | Heuristyka/Shuriken | PUP | PUM | P2P Odznaczone opcje skanowania: Przeskanowano obiektów: 223293 Upłynęło: 19 minut(y), 26 sekund(y) Wykrytych procesów w pamięci: 0 (Nie znaleziono zagrożeń) Wykrytych modułów w pamięci: 0 (Nie znaleziono zagrożeń) Wykrytych kluczy rejestru: 0 (Nie znaleziono zagrożeń) Wykrytych wartości rejestru: 0 (Nie znaleziono zagrożeń) Wykryte wpisy rejestru systemowego: 0 (Nie znaleziono zagrożeń) wykrytych folderów: 0 (Nie znaleziono zagrożeń) Wykrytych plików: 3 C:\Documents and Settings\Administrator\Ustawienia lokalne\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb (Rootkit.Zeroaccess) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem. C:\Documents and Settings\LocalService\Ustawienia lokalne\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb (Rootkit.Zeroaccess) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem. C:\Documents and Settings\NetworkService\Ustawienia lokalne\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb (Rootkit.Zeroaccess) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem. (zakończone) ================================= Czy mogę uznać na podstawie powyższego logu, że mój komputer nie wymaga dodatkowej diagnostyki? Przeskanowałem również cały komputer Avirą i nic po MBAM nie wykryła. Odnośnik do komentarza
picasso Opublikowano 6 Lutego 2012 Zgłoś Udostępnij Opublikowano 6 Lutego 2012 Dlaczego? Bo nie zauwazyłem, by mój system się sypał, czy w jakiś dziwny sposób zachowywał, jak dotychczas, więc może nie jest spełniony podstawowy warunek założenia tutaj nowego tematu. To nie jest powód dla którego omija się tworzenie logów. Trochę poczytałem o zeroaccess i nie mam pewności na pewno czy komputer jest czysty, pomimo że MBAM usunął owe rootkity - przynajmniej tak zakomunikował. To na pewno są składniki ZeroAccess. Możliwe, że to stare szczątki w Tempach kiedyś tam nie doczyszczone lub nastąpiło tylko "pobranie" a nie "wykonanie". Przeczyść zbiorczo pliki tymczasowe za pomocą TFC - Temp Cleaner. . Odnośnik do komentarza
Marek63 Opublikowano 6 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 6 Lutego 2012 Czyli dać OTL i GMER, czy wystarczy przeczyścić TFC-Temp Cleaner? Odnośnik do komentarza
picasso Opublikowano 6 Lutego 2012 Zgłoś Udostępnij Opublikowano 6 Lutego 2012 Po prostu na wszelki wypadek je pokaż, mimo iż zgadzam się, że czynny rootkit miałby większy oddźwięk w systemie. Czyszczenie TFC to odrębna sprawa. Odnośnik do komentarza
Marek63 Opublikowano 6 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 6 Lutego 2012 Po prostu na wszelki wypadek je pokaż, mimo iż zgadzam się, że czynny rootkit miałby większy oddźwięk w systemie. Czyszczenie TFC to odrębna sprawa. Załączam raporty. Na razie nie czyszczę za pomocą TFC. OTL.Txt Extras.Txt gmer.txt Odnośnik do komentarza
picasso Opublikowano 6 Lutego 2012 Zgłoś Udostępnij Opublikowano 6 Lutego 2012 Na razie nie czyszczę za pomocą TFC. A to dlaczego? To była rzecz do wykonania od ręki. Ale owszem możesz to opuścić, zrobię to zbiorczo, bo tu mamy co czyścić: I widzisz, logi jednak istotne, niezależnie od tego co Ci się wydaje. W systemie jest więcej śladów ZeroAccess. Musiałeś mieć tę infekcję i nie wyczyścić tego za dobrze. GMER pokazuje zablokowany przez uprawnienia reparse point rootkita: ---- Files - GMER 1.0.15 ---- File C:\WINDOWS\$NtUninstallKB57294$\317862595 0 bytesFile C:\WINDOWS\$NtUninstallKB57294$\317862595\@ 2048 bytesFile C:\WINDOWS\$NtUninstallKB57294$\317862595\click.tlb 2144 bytesFile C:\WINDOWS\$NtUninstallKB57294$\317862595\L 0 bytesFile C:\WINDOWS\$NtUninstallKB57294$\317862595\L\bziadtav 62976 bytesFile C:\WINDOWS\$NtUninstallKB57294$\317862595\loader.tlb 2540 bytesFile C:\WINDOWS\$NtUninstallKB57294$\317862595\U 0 bytesFile C:\WINDOWS\$NtUninstallKB57294$\317862595\U\@00000001 45968 bytesFile C:\WINDOWS\$NtUninstallKB57294$\317862595\U\@000000c0 3584 bytesFile C:\WINDOWS\$NtUninstallKB57294$\317862595\U\@000000cb 3072 bytesFile C:\WINDOWS\$NtUninstallKB57294$\317862595\U\@000000cf 1536 bytesFile C:\WINDOWS\$NtUninstallKB57294$\317862595\U\@80000000 26112 bytesFile C:\WINDOWS\$NtUninstallKB57294$\317862595\U\@800000c0 35840 bytesFile C:\WINDOWS\$NtUninstallKB57294$\317862595\U\@800000cb 27648 bytesFile C:\WINDOWS\$NtUninstallKB57294$\317862595\U\@800000cf 27648 bytesFile C:\WINDOWS\$NtUninstallKB57294$\589441654 0 bytes Jest także naruszony przez rootkita Winsock: O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - %SystemRoot%\System32\mswsock.dll File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000005 - %SystemRoot%\System32\mswsock.dll File not found 1. Uruchom GrantPerms i w oknie wklej: C:\WINDOWS\$NtUninstallKB57294$ Klik w Unlock. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files fsutil reparsepoint delete C:\WINDOWS\$NtUninstallKB57294$ /C rd /s /q C:\WINDOWS\$NtUninstallKB57294$ /C netsh winsock reset /C :OTL O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} "http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab" (Reg Error: Key error.) O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab" (Reg Error: Key error.) O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.) :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\Program Files\SopCast\adv\SopAdver.exe"=- "C:\WINDOWS\explorer.exe"=- :Commands [emptytemp] Klik w Wykonaj skrypt. System zostanie zrestartowany. 3. Dziennik zdarzeń dręczy błędy uszkodzeń sterownika SPTD od napędów wirtualnych: Error - 2012-02-06 12:51:02 | Computer Name = TOMASZ | Source = sptd | ID = 262148Description = Sterownik wykrył błąd wewnętrzny w swoich strukturach danych dla . Error - 2012-02-06 12:52:32 | Computer Name = TOMASZ | Source = Service Control Manager | ID = 7026Description = Nie można załadować następujących sterowników startu rozruchowego lub systemowego: sptd Odinstaluj go posiłkując się narzędziem SPTDinst. 4. Do oceny: log z wynikami usuwania pozyskany w punkcie 2 oraz nowe logi z OTL i GMER. . Odnośnik do komentarza
Marek63 Opublikowano 6 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 6 Lutego 2012 Wszystko zrobię jutro, bo młody ma robotę na kompie. Mam jednak pytania: komp na teraz jest bezpieczny, ale coś pozostało po starych infekcjach, w sensie trzeba posprzątać śmieci? alcohol 52% już od dawna nie mam, a po uruchomieniu tego sptdinst nie widać sterownika spdt, tzn mogę zainstalować, a przycisk uninstall jest nieaktywny - to już sprawdziłem zanim napisałem pierwszy post. podejrzewam, że plik spdt.sys jest uszkodzony - kilka miesięcy temu miałem infekcję z BSOD włacznie i pamiętam, że były jakieś komunikaty odnośnie spdt. w każdym razie wówczas włożyłem płytę z systemem i skorzystałem z opcji 'napraw', co załatwiło sprawę. dzisiaj szukałem spdt specjalnie, bo przeczytałem o tych wirtualnych napędach, by usunąć przed generacją logów - i ten plik nadal jest na kompie. sumując, odinstalować się go dzisiaj nie dało za pomocą spdtinst, jak wspomniałem wyżej. sorry, trochę chaotycznie, ale nie rozumiem tego zdania: "GMER pokazuje zablokowany przez uprawnienia reparse point rootkita:" czy to ma jakiś związek z plikami deinstalacyjnymi aktualizacji windowsa? bo jeśli tak, to przyznaję od razu, że korzystam z ccleaner i usuwam deinstalatory hotfiix Odnośnik do komentarza
picasso Opublikowano 6 Lutego 2012 Zgłoś Udostępnij Opublikowano 6 Lutego 2012 komp na teraz jest bezpieczny, ale coś pozostało po starych infekcjach, w sensie trzeba posprzątać śmieci? To właśnie mówię: infekcji czynnej nie ma, ale są po niej odpadki / szkody, które adresuję w instrukcjach podanych wyżej. alcohol 52% już od dawna nie mam, a po uruchomieniu tego sptdinst nie widać go, tzn mogę zainstalować, a przycisk uninstall jest nieaktywny - to już sprawdziłem zanim napisałem pierwszy post. Czyli narzędzie nie widzi tego martwego sterownika, on jest (i tworzy błędy w systemie): DRV - [2011-10-03 10:12:44 | 000,428,088 | ---- | M] (Duplex Secure Ltd.) [Kernel | Boot | Stopped] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd) Wymagana ręczna interwencja wg kroków: 1. Uruchom program MiniRegTool. W oknie wklej: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\cfg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd Zaznacz opcję Delete Keys/Values including Locked/Null embedded i klik w Go. 2. Na koniec skasuj z dysku plik C:\WINDOWS\System32\Drivers\sptd.sys. . Odnośnik do komentarza
Marek63 Opublikowano 6 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 6 Lutego 2012 Piszę teraz z innego kompa Picasso, prawdopodobnie odpisywałaś, a ja w tym czasie edytowałem swój poprzedni wpis w związku z: "GMER pokazuje zablokowany przez uprawnienia reparse point rootkita:". Wszystko zrobię jutro, a czyszczenie za pomocą TFC zrobić na końcu, czy kiedykolwiek? Odnośnik do komentarza
picasso Opublikowano 6 Lutego 2012 Zgłoś Udostępnij Opublikowano 6 Lutego 2012 sorry, trochę chaotycznie, ale nie rozumiem tego zdania:"GMER pokazuje zablokowany przez uprawnienia reparse point rootkita:" czy to ma jakiś związek z plikami deinstalacyjnymi aktualizacji windowsa? bo jeśli tak, to przyznaję od razu, że korzystam z ccleaner i usuwam deinstalatory hotfiix Jasno powiedziałam: to jest reparse point rootkita (reparse point = łącze symboliczne NTFS). Przyjrzyj się uważnie na to co GMER pokazuje jako zawartość. Nie ma ten obiekt żadnego związku z aktualizacjami. Nazwa symuluje te dolarowe foldery od hotfixów, ale to nie jest obiekt od aktualizacji (!). Pokazuje się w GMER, bo jest zablokowany na bazie uprawnień. By to usunąć, są wymagane aż trzy akcje: odblokowanie uprawnień (GrantPerms), zdjęcie łącza przemieniające to coś w tradycyjny folder (komenda fsutil w skrypcie) i finalna kasacja folderu. a czyszczenie za pomocą TFC zrobić na końcu, czy kiedykolwiek? Przecież mówiłam: Ale owszem możesz to opuścić, zrobię to zbiorczo, bo tu mamy co czyścić: I popatrz uważnie na skrypt do OTL ... Komenda [emptytemp] robi dokładnie to samo co TFC. Autorem obu programów jest ten sam człowiek. . Odnośnik do komentarza
Marek63 Opublikowano 7 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 7 Lutego 2012 Zrobiłem w kolejności: - użyłem grantperms - użyłem OTL by wykonać skrypt - użyłem miniregtool - usunąłem spdt.sys - uzyłem OTL i GMER do raportów zauważyłem: w OTL jest zaptaszkowana domyślnie opcja: pomiń znane dobre pliki - tak zostawiłem spdt.sys usunięte, ale znalazłem coś takiego: SPTDINST-V180-X86.EXE-28AAEF60.pf w \Prefetch jak będzie OK w raportach, mogę usunąć wszystkie narzędzia, które używałem i wypakowywałem na Pulpit - ręcznie? OTL.Txt Extras.Txt gmer.txt Odnośnik do komentarza
picasso Opublikowano 7 Lutego 2012 Zgłoś Udostępnij Opublikowano 7 Lutego 2012 Nie podałeś loga z usuwania. Ale już go nie potrzebuję, odczyty z raportów końcowych wskazują na pomyślne wykonanie zadania (w OTL zniknął odczyt z naruszonym Winsock i pewne autoryzacje w zaporze, w GMER już nie pokazuje się łącze symboliczne). spdt.sys usunięte, ale znalazłem coś takiego: SPTDINST-V180-X86.EXE-28AAEF60.pf w \Prefetch Bez związku. W Prefetch to jest skrót związany z optymalizacją defragmentacyjną i to skrót od deinstalatora SPTDinst. Możesz ten plik usunąć z kosmetycznego punktu widzenia, ale to nie przyniesie żadnych benefitów. jak będzie OK w raportach, mogę usunąć wszystkie narzędzia, które używałem i wypakowywałem na Pulpit - ręcznie? W OTL użyj Sprzątanie (to likwiduje z dysku OTL wraz z jego kwarantanną, choć tu akurat kwarantanna praktycznie zerowa, bo główne akcje za pomocą komend cmd). Resztę narzędzi możesz usunąć ręcznie. Na koniec wyczyść foldery Przywracania systemu (KLIK) i wykonaj drobne aktualizacje (KLIK). ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216013FF}" = Java 6 Update 22"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin Masz starą Java i wtyczkę Adobe Flash w IE. . Odnośnik do komentarza
Marek63 Opublikowano 7 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 7 Lutego 2012 Dziękuję na koniec infantylne pytanie, bo zapomnialem - java może być aktualizowana przez nakładkę na starą wersję, jak to zrobić najlepiej? Odnośnik do komentarza
picasso Opublikowano 7 Lutego 2012 Zgłoś Udostępnij Opublikowano 7 Lutego 2012 Może być to aktualizacja nakładkowa, tym sposobem nałożysz Java 6 na Java 6. Ale już Java 7 to niezależna instalacja. Odnośnik do komentarza
Marek63 Opublikowano 7 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 7 Lutego 2012 Chyba ostatnia sprawa - wlączyłem aktualizacje automatyczne, usługa włączona [sprawdziłem] - ale windows nic nie pobiera, dziwne, bo na drugim kompie pobrał mi jedną poprawkę po włączeniu aktualizacji. Mam zwyczaj włączać co jakiś czas aktualizacje, ale normalnie je wyłączam, włącznie z usługą - robię tak na obu kompach. Zrozumiałem, że wykryłaś brak jakiś aktualizacji dla windowsa, nie licząć java, abobe flash player dla IE. Odnośnik do komentarza
picasso Opublikowano 7 Lutego 2012 Zgłoś Udostępnij Opublikowano 7 Lutego 2012 Chyba ostatnia sprawa - wlączyłem aktualizacje automatyczne, usługa włączona [sprawdziłem] - ale windows nic nie pobiera, dziwne, bo na drugim kompie pobrał mi jedną poprawkę po włączeniu aktualizacji. Czy po wejściu bezpośrednio na stronę Windows Update wykrywa ona jakieś nowe aktualizacje pod ten system? Zrozumiałem, że wykryłaś brak jakiś aktualizacji dla windowsa, nie licząć java, abobe flash player dla IE. Jakim sposobem miałabym to wykryć? OTL nie jest specjalizowany pod kątem szczegółów aktualizacyjnych z precyzją "do ostatniej łaty", mogę jedynie stwierdzić, czy jest SP3 i IE8, a co potem to już nie. Punktowałam tylko to co jest jawnie widoczne, czyli aplikacje. . Odnośnik do komentarza
Marek63 Opublikowano 7 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 7 Lutego 2012 Czy po wejściu bezpośrednio na stronę Windows Update wykrywa ona jakieś nowe aktualizacje pod ten system? Tak, wykrywa, ale tylko opcjonalne, a nie krytyczne, więc się wyjaśniło. Jakim sposobem miałabym to wykryć? OTL nie jest specjalizowany pod kątem szczegółów aktualizacyjnych z precyzją "do ostatniej łaty", mogę jedynie stwierdzić, czy jest SP3 i IE8, a co potem to już nie. Punktowałam tylko to co jest jawnie widoczne, czyli aplikacje Żle zrozumiałem w takim razie twoje: "Na koniec wyczyść foldery Przywracania systemu i wykonaj drobne aktualizacje." Myślalem, że chodzi o aktualizacje windowsa. Myślę, że to wszystko. Bardzo Ci dziękuję za pomoc i czas. Odnośnik do komentarza
Rekomendowane odpowiedzi