Skocz do zawartości

Spustoszenie - ZeroAccess


Rekomendowane odpowiedzi

Mam poważny problem z rootkitem ZeroAccess. Na wiadomym forum próbowano mi pomóc, ale sytuacja ciągle się pogarsza. W tej chwili nie działa klawiatura i touchpad (działa za to myszka podłączona na USB) i Internet.

 

Niżej podaję link do tematu, gdzie są opisane dotychczasowe działania:

/Komunikat-Internet-Security-t145693.html"]http://www.[szukaj]/Komunikat-Internet-Security-t145693.html

 

Robić wszystkie logi od początku? Boję się, że sytuacja pogorszy się w międzyczasie jeszcze bardziej.

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

To ten agresywny wariant ZeroAccess z posiłkowymi usługami. Klawiatura i touchpad padły, ponieważ zapewne został zaatakowany kolejny sterownik systemowy. Logi w tamtym temacie są już zdezaktualizowane. Potrzebny nowy materiał. Aczkolwiek operacje nie będą prowadzone z poziomu Windows.

 

Pobierz i wypal płytę OTLPE, zastartuj z niej, uruchom OTL i w sekcji Custom Scans/Fixes wklej:

 

netsvcs
C:\Windows\system32\drivers\*.* /md5

 

Klik w Scan. Przedstaw log.

 

 

.

Odnośnik do komentarza

Dzięki, biegnę szukać płyty :).

 

Jeszcze dwa pytania:

- zabrałam się za zgrywanie plików z komputera na dysk zewnętrzny (back-upy mam, ale nie najnowsze). Zgrywać dalej, póki jeszcze myszka/dysk działa, czy podejść do sprawy spokojnie, bo wszystko da się uleczyć? Nie przeniosę sobie w ten sposób dalej infekcji?

- pojęcia nie mam, skąd się to paskudztwo wzięło - boję się o drugi komputer (zwłaszcza, że będę musiała na niego przenosić logi). Jak zabezpieczyć go w międzyczasie? W tej chwili jest skromnie - NOD32 + windowsowy firewall...

Odnośnik do komentarza
- zabrałam się za zgrywanie plików z komputera na dysk zewnętrzny (back-upy mam, ale nie najnowsze). Zgrywać dalej, póki jeszcze myszka/dysk działa, czy podejść do sprawy spokojnie, bo wszystko da się uleczyć? Nie przeniosę sobie w ten sposób dalej infekcji?

 

Sama płyta OTLPE umożliwi skopiowanie danych na dysk zewnętrzny, nawet jeżeli Windows padnie. Aczkolwiek nie chcę brać odpowiedzialności za nieszczęśliwe wypadki i na wszelki wypadek najcenniejsze materiały oczywiście skopiuj.

 

 

- pojęcia nie mam, skąd się to paskudztwo wzięło - boję się o drugi komputer (zwłaszcza, że będę musiała na niego przenosić logi). Jak zabezpieczyć go w międzyczasie? W tej chwili jest skromnie - NOD32 + windowsowy firewall...

 

Infekcja ZeroAccess mogła przykładowo wejść przez odwiedzenie strony nastawianej na autowykonanie skryptu, bądź też przez jakiś pobrany lewy plik udający np. wtyczkę flash ... Samo przenoszenie logów nie powinno mieć wpływu na drugi komputer.

 

 

 

.

Odnośnik do komentarza

Coś mało obiektów od ZeroAccess tu widzę ... Ale owszem, sterownik Windows jest naruszony.

 

DRV - [2008/04/14 15:41:38 | 000,053,248 | ---- | M] () [Kernel | System] -- C:\WINDOWS\system32\drivers\i8042prt.sys -- (i8042prt)

 

 

1. Materiały. Plik i8042prt.sys do zamiany: KLIK. Przygotuj skrypt naprawczy wklejając do Notatnika:

 

:Files
C:\Documents and Settings\LocalService\Ustawienia lokalne\Temp\*.tlb
C:\Documents and Settings\NetworkService\Ustawienia lokalne\Temp\*.tlb
C:\Documents and Settings\All Users\Dane aplikacji\QhpJ5byA.exe_.b
C:\Documents and Settings\All Users\Dane aplikacji\QhpJ5byA.exe.b
C:\WINDOWS\System32\dds_trash_log.cmd
C:\WINDOWS\System32\8p4vh8i.com
C:\windows\system32\*.FOT
C:\WINDOWS\system32\fsutil.exe reparsepoint delete C:\WINDOWS\$NtUninstallKB43497$ /C
 
:Commands
[emptytemp]

 

Plik zapisz pod nazwą FIX.TXT. Plik ten razem z kopią i8042prt.sys do wymiany umieść na pendrive, który będzie obecny w trakcie operacji z płytą OTLPE.

 

2. Startujesz z płyty OTLPE i wykonujesz dwie akcje:

- Na pulpicie płyty wybierz "My Computer". Plikiem i8042prt.sys z pendrive podstawiasz ręcznie wadliwą kopię w C:\WINDOWS\System32\drivers oraz w C:\WINDOWS\System32\dllcache.

- Uruchamiasz OTL i klik w Run Fix, a na pytanie o plik skryptu wskaż plik FIX.TXT na pendrive. Z tego działania powstanie log.

 

3. Restartujesz do Windows. Uruchamiasz ComboFix. Prezentujesz raport z jego pracy, wyniki przetwarzania skryptu z punktu 2 oraz nowe logi z OTL i GMER.

 

 

 

 

.

Odnośnik do komentarza

Już wszystko dobrze - mój błąd, i to taki, że aż głupio się przyznać :). Zamiast zwyczajnie kliknąć na link, spróbowałam zapisać plik docelowy (z menu kontekstowego) - a ponieważ adres kończy się na .zip, to strona zapisała się jako plik .zip...

 

Pendrive gotowy, logi za chwilę.

 

 

/// edit

 

W C:\WINDOWS\System32\dllcache nie ma pliku i8042prt.sys, jaki miałabym zastąpić. Wgrać i tak poprawną kopię?

Odnośnik do komentarza

OK, poszło bez problemu, przechodzę do Windowsa. Jak dobrze pójdzie, wkrótce logi.

 

// EDIT

 

W załączniku wszystkie logi. Tylko z Gmerem coś nie poszło (raz zawiesił się w trakcie, potem komputer wszedł w czasie stanu w stan wstrzymania). Z Gmera wrzucam wyniki preskanu plus dwa razy częściowy skan (kopiowałam na bieżąco; za drugim razem jest więcej).

02232012_011927.log.txt

gmer2.txt

gmer3.txt

gmer.txt

log-combofix.txt

OTL.Txt

Odnośnik do komentarza

Wygląda na to, że ustały czynności rootkit i możemy zająć się cyzelowaniem. Tylko nie jestem pewna co się stało z łączem symbolicznym C:\WINDOWS\$NtUninstallKB43497$. Skrypt miał wołać narzędzie fsutil z katalogu Windows w celu zdjęcia łącza, po rozlinkowaniu pozostaje katalog sierota z konfiguracją rootkita i tu był obliczony ComboFix do kasacji. ComboFix jednak nie pokazuje żadnych operacji tego zakresu. Upewnijmy się czy ten obiekt nadal jest. Uruchom OTL, wszystkie opcje ustaw na Brak + Żadne, w sekcji Własne opcje skanowania / skrypt wklej:

 

C:\Windows\*. /RP /s
C:\Windows|$NtUninstallKB43497$;true;true;false /FP

 

Klik w Skanuj. Przedstaw wynikowy log. Log krótki, możesz wkleić zawartość wprost do posta.

 

 

 

.

 

 

Odnośnik do komentarza

OTL logfile created on: 2012-02-23 11:39:56 - Run 7

OTL by OldTimer - Version 3.2.33.1 Folder = C:\Documents and Settings\Joanna\Pulpit\wirus

Windows XP Home Edition Dodatek Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 8.0.6001.18702)

Locale: 00000415 | Country: Polska | Language: PLK | Date Format: yyyy-MM-dd

 

2,37 Gb Total Physical Memory | 1,76 Gb Available Physical Memory | 73,97% Memory free

3,20 Gb Paging File | 2,79 Gb Available in Paging File | 87,37% Paging File free

Paging file location(s): C:\pagefile.sys 1000 1344 [binary data]

 

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Program Files

Drive C: | 71,36 Gb Total Space | 16,86 Gb Free Space | 23,62% Space Free | Partition Type: NTFS

 

Computer Name: DELL | User Name: Joanna | Logged in as Administrator.

Boot Mode: Normal | Scan Mode: Current user

Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days

 

========== Custom Scans ==========

 

 

< C:\Windows\*. /RP /s >

 

< C:\Windows|$NtUninstallKB43497$;true;true;false /FP >

[2011-11-08 22:48:03 | 000,000,000 | -HSD | M] -- C:\WINDOWS\$NtUninstallKB43497$

 

========== Hard Links - Junction Points - Mount Points - Symbolic Links ==========

[C:\Windows\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a] -> C:\WINDOWS\WinSxS\x86_System.EnterpriseServices_b03f5f7f11d50a3a_2.0.0.0_x-ww_7d5f3790 -> Junction

[C:\Windows\assembly\GAC_MSIL\IEExecRemote\2.0.0.0__b03f5f7f11d50a3a] -> C:\WINDOWS\WinSxS\MSIL_IEExecRemote_b03f5f7f11d50a3a_2.0.0.0_x-ww_6e57c34e -> Junction

< End of report >

Odnośnik do komentarza

========== FILES ==========

 

Folder move failed. C:\WINDOWS\$NtUninstallKB43497$ scheduled to be moved on reboot.

 

OTL by OldTimer - Version 3.2.33.1 log created on 02232012_131921

 

Files\Folders moved on Reboot...

C:\WINDOWS\$NtUninstallKB43497$\2015875534\U folder moved successfully.

C:\WINDOWS\$NtUninstallKB43497$\2015875534\L folder moved successfully.

C:\WINDOWS\$NtUninstallKB43497$\2015875534 folder moved successfully.

Folder move failed. C:\WINDOWS\$NtUninstallKB43497$ scheduled to be moved on reboot.

 

Registry entries deleted on Reboot...

Odnośnik do komentarza

Zadanie pomyślnie wykonane. Następujące czynności do wykonania:

 

1. Odinstaluj w prawidłowy sposób ComboFix, w Start > Uruchom > wklejając komendę:

 

"C:\Documents and settings\Joanna\Pulpit\wirus\ComboFix.exe" /uninstall

 

Gdy komenda pomyślnie się wykona, zastosuj funkcję Sprzątanie w OTL, która zlikwiduje z dysku OTL wraz z jego kwarantanną. Ręcznie dokasuj inne użytki.

 

2. Wykonaj pełne skanowanie systemu za pomocą Malwarebytes Anti-Malware + Kaspersky Virus Removal Tool. Przedstaw raporty narzędzi, o ile coś zostanie znalezione. Z raportu Kasperskiego interesują mnie tylko wyniki infekcyjne (pozostałe typy nie).

 

 

 

 

.

Odnośnik do komentarza

MBAM długo męczył, Kaspersky wręcz przeciwnie = to wygląda na ekspresowy skan (w opcjach jest wiele obszarów odznaczonych). Aczkolwiek wydaje mi się, że na tym możemy poprzestać. Wykonaj następujące czynności:

 

1. Czyszczenie folderów Przywracania systemu (to już po raz drugi, ale po deinstalacji ComboFix znaleziony został obiekt infekcji): KLIK.

 

2. Wykonaj aktualizacje aplikacji, porównaj jakie wersje masz obecnie: KLIK.

 

3. Dla bezpieczeństwa zmień hasła logowania w serwisach

 

 

Potwierdź wykonanie operacji oraz status systemu. Sprawdź czy wszystko działa i czy nie ma jakiś utajonych usterek.

 

 

.

Odnośnik do komentarza

W Kasperskym weszłam od razu na "Automatic scan" - żadnych opcji po drodze nie było. Powinnam wybrać "Manual disinfection"?

 

Przywracanie systemu wyczyszczone, brakujące aktualizacje w trakcie, hasła logowania pozmieniane wczoraj :).

 

Niestety, trafiłam już na utajoną usterkę: padło audio. Zwyczajnie przeinstalować sterownik czy coś innego?

 

Poza tym - choć to subiektywne - komputer chodzi wyraźnie wolniej niż wcześniej, i przy bardzo wysokim zużyciu procesora..

 

// EDIT

 

Jeden z kanałów podstawowych IDE przestawił się na PIO - poprawię, jak tylko skończę ściągać Windows Update.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...