nt2011 Opublikowano 16 Lutego 2012 Zgłoś Udostępnij Opublikowano 16 Lutego 2012 Witam proszę o pomoc, prawdopodobnie mam słynnego ZeroAcces'a. (System XP Pro 32bit) OTL: http://wklej.org/hash/0220793f096/ Extras : http://wklej.org/hash/94301312c4f/ Odnośnik do komentarza
Landuss Opublikowano 16 Lutego 2012 Zgłoś Udostępnij Opublikowano 16 Lutego 2012 Dopisywanie się do czyjegoś tematu jest tutaj zabronione. Temat wydzielam w osobny. Zacznij od zastosowania narzędzia ComboFix i zaprezentuj wynikowy log. Po tej czynności wykonaj nowe logi z OTL i też załącz do posta. Odnośnik do komentarza
nt2011 Opublikowano 17 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 17 Lutego 2012 Przepraszam za źle umieszczony post. Oto logi: ComboFix: http://wklej.org/hash/646d73e8598/ OTL: http://wklej.org/hash/277d9f31f67/ Odnośnik do komentarza
Landuss Opublikowano 17 Lutego 2012 Zgłoś Udostępnij Opublikowano 17 Lutego 2012 1. Start >>> uruchom >>> cmd wpisz komendę netsh winsock reset Zwracaj uwagę czy nie ma jakichś błędów w wykonaniu. 2. Wklej do notatnika ten tekst: Folder:: c:\windows\$NtUninstallKB26811$ NetSvc:: mctaskmanager Plik >>> zapisz pod nazwą CFScript.txt a nastepnie przeciągnij go i upuść na ikonę ComboFixa w taki sposób: 3. Prezentujesz wynikowy log z ComboFix oraz nowy log z OTL. Odnośnik do komentarza
nt2011 Opublikowano 20 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 20 Lutego 2012 1. Błędy https://lh6.googleusercontent.com/-7rWdiSo_P7o/T0In-jRMH4I/AAAAAAAAAAc/ZLvjrSprTco/s903/net.bmp https://lh6.googleusercontent.com/-ZQaKbe9DeJk/T0In-lk6q-I/AAAAAAAAAAg/jQGaxCucMDA/s903/net2.bmp 2.Skan uruchomił się 3.Logi: Combo http://wklej.org/hash/83e3bb475c8/ OTL http://wklej.org/hash/017816fc191/ Odnośnik do komentarza
picasso Opublikowano 20 Lutego 2012 Zgłoś Udostępnij Opublikowano 20 Lutego 2012 Błędy resetu Winsock ponieważ ZeroAccess jest czynny: ========== Modules (No Company Name) ========== MOD - [2008-06-20 17:04:23 | 000,246,784 | ---- | M] () -- \\?\globalroot\systemroot\system32\mswsock.dll MOD - [2008-06-20 17:04:23 | 000,246,784 | ---- | M] () -- \\.\globalroot\systemroot\system32\mswsock.dll ========== Win32 Services (SafeList) ========== SRV - [2008-04-15 13:00:00 | 000,005,632 | ---- | M] (Oak Technology Inc.) [Auto | Stopped] -- C:\WINDOWS\system32\pivot.dll -- (uploadmgr) SRV - [2008-04-15 13:00:00 | 000,005,632 | ---- | M] (Oak Technology Inc.) [Auto | Running] -- C:\WINDOWS\system32\ifxtcs.dll -- (mctaskmanager) ComboFix nie widzi usług dodanych przez rootkita, nie kasował ich. Te dwie fałszywki z "producentem" "Oak Technology Inc." to jest falsyfikat ZeroAccess utrzymujący modyfikacje. 1. Pobierz od nowa ComboFix, bo adnotacja "TRYB ZREDUKOWANEJ FUNKCJONALNOŚCI" w logu sugeruje posługiwanie się wygasłą wersją. 2. Stwórz nowy CFScript.txt do ComboFix o zawartości: Driver:: uploadmgr mctaskmanager NetSvc:: uploadmgr mctaskmanager File:: C:\WINDOWS\system32\pivot.dll C:\WINDOWS\system32\ifxtcs.dll c:\windows\system32\dds_trash_log.cmd C:\Documents and Settings\All Users\Dane aplikacji\8Sga6GoR.dat Folder:: C:\5Fzd1uOUQczaA6M Uruchom w taki sam sposób jak poprzednio, przez przeciągnięcie i upuszczenie. 3. Przedstaw log z pracy ComboFix oraz nowy log z OTL zrobiony po ukończeniu akcji z ComboFix. . Odnośnik do komentarza
nt2011 Opublikowano 20 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 20 Lutego 2012 Nowe logi: Combo: http://wklej.org/hash/5ab32801197/ OTL: http://wklej.org/hash/529aee1b0ed/ Co do punktu nr 2, miałem problem z uruchomieniem tak jakby nie znalazł jakiegoś pliku, brałem ignoruj ignoruj ignoruj aż w końcu przerwałem i po restarcie uruchomił się poprawnie Potem próbowałem ponownie uruchomić komendę netsh winsock reset, jednak efekt ten sam co wcześniej. Zauważyłem też że outlook ma problem z połączeniem się z siecią, na razie działa jedynie w trybie offline. Odnośnik do komentarza
picasso Opublikowano 21 Lutego 2012 Zgłoś Udostępnij Opublikowano 21 Lutego 2012 Nie rób ręcznej komendy netsh. ComboFix samodzielnie resetuje Winsock. Jeżeli tego nie zrobi, oznacza to czynnego ZeroAccess i powodzenia z ręczną komendą (niezmiennie błąd). Tak, aktualnie błąd jest, bo ZeroAccess szaleje. Ponowna rekonstrukcja i już nowa usługa (i nowy zarażony sterownik systemowy netbt.sys): SRV - [2008-04-15 13:00:00 | 000,005,632 | ---- | M] (Oak Technology Inc.) [Auto | Running] -- C:\WINDOWS\system32\InterBaseServer.dll -- (tosrfbnp) Kolejna próba usuwania, jeżeli zawiedzie, usuwanie pójdzie z poziomu środowiska zewnętrznego. 1. Stwórz nowy CFScript.txt do ComboFix o zawartości: Driver:: tosrfbnp NetSvc:: tosrfbnp File:: C:\WINDOWS\system32\InterBaseServer.dll Uruchom w taki sam sposób jak poprzednio, przez przeciągnięcie i upuszczenie. 2. Przedstaw log z pracy ComboFix oraz nowy log z OTL zrobiony po ukończeniu akcji z ComboFix. Nie wywołuj komendy netsh. . Odnośnik do komentarza
nt2011 Opublikowano 21 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 21 Lutego 2012 Combo: http://wklej.org/hash/ef687ad4c55/ OTL: http://wklej.org/hash/a97008d70b6/ Nie zrozumiałem tego zdania "usuwanie pójdzie z poziomu środowiska zewnętrznego" Odnośnik do komentarza
picasso Opublikowano 21 Lutego 2012 Zgłoś Udostępnij Opublikowano 21 Lutego 2012 Usługa jakoby skasowana i log z OTL nie wykazuje kolejnej, ale nadal widać ukryty reparse point rootkita i naruszony Winsock. Uruchom ponownie ComboFix, ale bez żadnego skryptu, czyli przez dwuklik. Następnie zrób ponowny log z OTL. Nie zrozumiałem tego zdania "usuwanie pójdzie z poziomu środowiska zewnętrznego" To była uwaga ogólna wyprzedzająca fakty, że jeżeli nie uda się z poziomu działającego systemu, należy sięgnąć po płytę startową. Instrukcje bym podała, gdyby doszło co do czego. . Odnośnik do komentarza
nt2011 Opublikowano 22 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 22 Lutego 2012 Combo1: http://wklej.org/hash/9be796581e6/ Combo2: http://wklej.org/hash/1f6dc6316b6/ OTL: http://wklej.org/hash/ef0530f3a42/ Zrobiłem dwa razy pod rząd combo Odnośnik do komentarza
picasso Opublikowano 22 Lutego 2012 Zgłoś Udostępnij Opublikowano 22 Lutego 2012 Nic z tego. Rootkit się odtwarza w kółko. Pobierz i wypal płytę OTLPE, zastartuj z niej, uruchom OTL i w sekcji Custom Scans/Fixes wpisz słowo netsvcs i klik w Scan. Na podstawie tego raportu podejmę dalsze czynności, usuwanie będzie prowadzone z zewnątrz a nie z poziomu Windows. . Odnośnik do komentarza
nt2011 Opublikowano 2 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 2 Marca 2012 OTLPE: http://wklej.org/hash/eac3f6a3006/ Odnośnik do komentarza
Landuss Opublikowano 2 Marca 2012 Zgłoś Udostępnij Opublikowano 2 Marca 2012 Według loga aktualnie zainfekowanym sterownikiem przez rootkita jest ten: DRV - [2008/04/14 15:41:06 | 000,065,280 | ---- | M] () [Kernel | System] -- C:\WINDOWS\system32\drivers\serial.sys -- (Serial) Plik trzeba będzie wymienić. 1. Pobierz oryginalny czysty plik serial.sys: KLIK + przygotuj w Notatniku plik tekstowy z treścią skryptu: :Files C:\Windows\system32\fsutil.exe reparsepoint delete C:\Windows\$NtUninstallKB26811$ /C C:\Windows\$NtUninstallKB26811$ C:\WINDOWS\System32\dds_trash_log.cmd :OTL SRV - [2008/04/15 07:00:00 | 000,005,632 | ---- | M] (Oak Technology Inc.) [Auto] -- C:\WINDOWS\system32\tappsrv.dll -- (prevxagent) NetSvcs: prevxagent - C:\WINDOWS\system32\tappsrv.dll (Oak Technology Inc.) :Commands [emptytemp] Plik serial.sys + plik skryptu należy umieścić na pendrive, który będzie obecny w trakcie startu z płyty OTLPE. 2. Start z OTLPE i do wykonania następujące operacje: - uruchamiasz "My computer" i ręcznie przekopiowujesz z pendrive plik serial.sys, zamieniając aktualny do katalogu C:\WINDOWS\system32\drivers - uruchamiasz OTL, do okna Custom Scans/Fixes przeklejasz treść skryptu zapisaną w Notatniku na pendrive i klik w Run Fix. Z tego działania powstanie log, który będziesz prezentować. Restart systemu 3. Reset Winsock: Start > Uruchom > cmd i wpisz komendę netsh winsock reset. Zresetuj system. 4. Już spod normalnie uruchomionego systemu dajesz logi do oceny z wynikami przetwarzania skryptu z punktu 2 oraz nowy z OTL na dodatkowym warunku. Uruchom OTL, w sekcji Własne opcje skanowania / skrypt wklej: C:\Windows\*. /RP /s C:\Windows|$NtUninstallKB26811$;true;true;false /FP Klik w Skanuj. Odnośnik do komentarza
nt2011 Opublikowano 12 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 12 Marca 2012 Log z punktu 2: http://wklej.org/hash/33ca9126486/ OTL: http://wklej.org/id/707642/ Problem z outlookiem ustąpił, za to teraz nie mogę wejść na jakikolwiek udostępniony folder. Start > Uruchom >\\... , zmapowane dyski również nie funkcjonują. Odnośnik do komentarza
Landuss Opublikowano 13 Marca 2012 Zgłoś Udostępnij Opublikowano 13 Marca 2012 Infekcja wygląda na zażegnaną, ale ten obiekt się nie usunął: Folder move failed. C:\Windows\$NtUninstallKB26811$ scheduled to be moved on reboot. 1. Uruchom GrantPerms, w oknie wklej: C:\Windows\$NtUninstallKB26811$ Klik w Unlock. 2. Wklej do OTL nastepujący skrypt: :Files fsutil reparsepoint delete C:\Windows\$NtUninstallKB26811$ /C C:\Windows\$NtUninstallKB26811$ :Commands [reboot] 3. Zaprezentuj log z usuwania OTL oraz nowy ze skanu wklejając dodatkowy warunek: C:\Windows|$NtUninstallKB26811$;true;true;false /FP Odnośnik do komentarza
nt2011 Opublikowano 20 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 20 Marca 2012 Wykonałem wszystkie kroki po kolei, rozumiem że po wklejeniu skryptu miałem kliknąć wykonaj skrypt... Komputer uruchomił się ponownie, jednak nie wyświetlił mi się log z operacji. oto nowy log otl: http://wklej.org/hash/53ff829493c/ dodam że GrantPerms wykonał poprawnie to co miał wykonać, jednak dalej nie mam dostępu do folderów udostępnionych, wyświetla mi się komunikat "żaden dostawca sieciowy nie zaakceptował podanej ścieżki sieciowej" Odnośnik do komentarza
Landuss Opublikowano 20 Marca 2012 Zgłoś Udostępnij Opublikowano 20 Marca 2012 Sprawę usuwania infekcji można tu uznać za zakończoną bo wszystko już zostało wykonane jak należy. Kroki końcowe: 1. W Start > Uruchom > wklej i wywołaj polecenie "c:\documents and settings\Administrator\Moje dokumenty\Pobieranie\ComboFix.exe" /uninstall 2. Użyj opcji Sprzątanie z OTL. 3. Opróżnij folder przywracania systemu: KLIK 4. Na wszelki wypadek zmień hasła logowania do serwisów. 5. Zaktualizuj Jave oraz Firefoxa do najnowszych wersji. Szczegóły aktualizacyjne: KLIK jednak dalej nie mam dostępu do folderów udostępnionych,wyświetla mi się komunikat "żaden dostawca sieciowy nie zaakceptował podanej ścieżki sieciowej" Na podstawie logów trudno cokolwiek stwierdzić ale czy aby Comodo tutaj czegoś nie blokuje? Warto sprawdzić bo czasem najprostsze rozwiązanie jest właściwe. Innego pomysłu na razie nie mam. Odnośnik do komentarza
picasso Opublikowano 25 Marca 2012 Zgłoś Udostępnij Opublikowano 25 Marca 2012 Landuss Pomimo tego, że log z przetwarzania skryptu OTLPE wykazał failed na C:\Windows\$NtUninstallKB26811$, w poście nr 15 log z OTL z warunkami szukania na $NtUninstallKB26811$ nie pokazuje żadnych wyników, ani na łącze symboliczne, ani na obecność takiego folderu na dysku. Wygląda na to, że zadania z postu nr 16 zostały wykonane na nieistniejących obiektach. A do tego co mówił: dodam że GrantPerms wykonał poprawnie to co miał wykonać Tak, GrantPerms mógł zadanie "wykonać", mogę do niego wkleić folder nieistniejący na dysku i aplikacja zwróci komunikat o pomyślnym odblokowaniu ... czegoś co nie istnieje. nt2011 jednak dalej nie mam dostępu do folderów udostępnionych,wyświetla mi się komunikat "żaden dostawca sieciowy nie zaakceptował podanej ścieżki sieciowej" To jest skutek infekcji ZeroAccess. Prawdopodobnie coś się stało z plikiem lub usługą MRxSmb. Podaj skan dostosowany, uruchom OTL, wszystkie opcje ustaw na Brak + Żadne a w sekcji Własne opcje skanowania / skrypt wklej: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxSmb /s /md5start mrxsmb.sys /md5stop Klik w Skanuj i podaj wynikowy log. . Odnośnik do komentarza
nt2011 Opublikowano 28 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 28 Marca 2012 Wynik log otl: http://wklej.org/hash/ed427b150dd/ Odnośnik do komentarza
Landuss Opublikowano 28 Marca 2012 Zgłoś Udostępnij Opublikowano 28 Marca 2012 Według tego co log pokazuje to rzeczywiście nie ma tutaj wcale usługi MRxSmb i pliku też nie ma we właściwym miejscu. 1. Pobierz czysty plik pod XP SP3: KLIK i umieść w lokalizacji C:\WINDOWS\System32\drivers 2. Wklej do notatnika ten tekst: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxSmb] "Type"=dword:00000002 "Start"=dword:00000001 "ErrorControl"=dword:00000001 "Tag"=dword:00000005 "ImagePath"=hex(2):53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\ 52,00,49,00,56,00,45,00,52,00,53,00,5c,00,6d,00,72,00,78,00,73,00,6d,00,62,\ 00,2e,00,73,00,79,00,73,00,00,00 "DisplayName"="MRXSMB" "Group"="Network" "Description"="MRXSMB" "LastLoadStatus"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxSmb\Parameters] "CscEnabled"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxSmb\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxSmb\Enum] "0"="Root\\LEGACY_MRXSMB\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG >>> uruchom ten plik Zrestartuj system. 3. Wykonaj nowy log z OTL tak jak poprzednio na warunku dostosowanym i daj znać czy problem nadal występuje. Odnośnik do komentarza
nt2011 Opublikowano 30 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 30 Marca 2012 Wszystkie kroki wykonane... OTL na warunku dostosowanym: http://wklej.org/hash/ff475caecba/ Niestety problem dalej występuje, lecz jest poprawa ponieważ tym razem wyświetla się komunikat "nie można odnaleźć ścieżki sieciowej". Oczywiście podana ścieżka istnieje i z drugiego komputera odpala się bezproblemowo. Na wszelki wypadek zrobiłem całościowy OTL: http://wklej.org/hash/0cf98395414/ Odnośnik do komentarza
picasso Opublikowano 30 Marca 2012 Zgłoś Udostępnij Opublikowano 30 Marca 2012 (edytowane) Niestety problem dalej występuje, lecz jest poprawa ponieważ tym razem wyświetla się komunikat "nie można odnaleźć ścieżki sieciowej". To może być ten typ: KB932597. Problem może stanowić wersja wstawionego sterownika. Został tu wstawiony plik 5.1.2600.5512, starszy niż łatki zainstalowane w Twoim systemie (miałeś w systemie nowsze wersje). Mój XP Mode ma w drivers plik w wersji 5.1.2600.6133 równy parametrom / sumie kontrolnej tego pliku u Ciebie: [2011-07-15 15:29:31 | 000,456,320 | ---- | M] (Microsoft Corporation) MD5=7D304A5EB4344EBEEAB53A2FE3FFB9F0 -- C:\WINDOWS\Driver Cache\i386\mrxsmb.sys 1. Spróbujmy podstawić plik w drivers tym z Driver Cache. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Processes killallprocesses :Files C:\WINDOWS\system32\dllcache\mrxsmb.sys|C:\WINDOWS\Driver Cache\i386\mrxsmb.sys /replace C:\WINDOWS\system32\drivers\mrxsmb.sys|C:\WINDOWS\Driver Cache\i386\mrxsmb.sys /replace Klik w Wykonaj skrypt. System zostanie zrestartowany. Przedstaw log z wynikami przetwarzania skryptu. 2. Jeżeli powyższa operacja nie pomoże, na próbę wykonaj edycję rejestru opisywaną w KB932597, tzn. zmontuj sobie nowy FIX.REG o zawartości: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxSmb\Parameters] "CscEnabled"=dword:00000000 Zaimportuj plik i zresetuj system dla zatwierdzenia zmian. Na wszelki wypadek zrobiłem całościowy OTL Brakuje pliku HOSTS: Hosts file not found Odznacz opcję Mój komputer > Narzędzia > Opcje folderów > Widok > Ukrywaj rozszerzenia znanych typów plików. Otwórz Notatnik i wklej w nim: 127.0.0.1 localhost Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz pod nazwą hosts bez żadnego rozszerzenia Plik wstaw do folderu C:\Windows\System32\drivers\etc. . Edytowane 7 Maja 2012 przez picasso 7.05.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi