Tawananna Opublikowano 22 Lutego 2012 Zgłoś Udostępnij Opublikowano 22 Lutego 2012 Mam poważny problem z rootkitem ZeroAccess. Na wiadomym forum próbowano mi pomóc, ale sytuacja ciągle się pogarsza. W tej chwili nie działa klawiatura i touchpad (działa za to myszka podłączona na USB) i Internet. Niżej podaję link do tematu, gdzie są opisane dotychczasowe działania: /Komunikat-Internet-Security-t145693.html"]http://www.[szukaj]/Komunikat-Internet-Security-t145693.html Robić wszystkie logi od początku? Boję się, że sytuacja pogorszy się w międzyczasie jeszcze bardziej. Odnośnik do komentarza
picasso Opublikowano 22 Lutego 2012 Zgłoś Udostępnij Opublikowano 22 Lutego 2012 To ten agresywny wariant ZeroAccess z posiłkowymi usługami. Klawiatura i touchpad padły, ponieważ zapewne został zaatakowany kolejny sterownik systemowy. Logi w tamtym temacie są już zdezaktualizowane. Potrzebny nowy materiał. Aczkolwiek operacje nie będą prowadzone z poziomu Windows. Pobierz i wypal płytę OTLPE, zastartuj z niej, uruchom OTL i w sekcji Custom Scans/Fixes wklej: netsvcs C:\Windows\system32\drivers\*.* /md5 Klik w Scan. Przedstaw log. . Odnośnik do komentarza
Tawananna Opublikowano 22 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 22 Lutego 2012 Dzięki, biegnę szukać płyty . Jeszcze dwa pytania: - zabrałam się za zgrywanie plików z komputera na dysk zewnętrzny (back-upy mam, ale nie najnowsze). Zgrywać dalej, póki jeszcze myszka/dysk działa, czy podejść do sprawy spokojnie, bo wszystko da się uleczyć? Nie przeniosę sobie w ten sposób dalej infekcji? - pojęcia nie mam, skąd się to paskudztwo wzięło - boję się o drugi komputer (zwłaszcza, że będę musiała na niego przenosić logi). Jak zabezpieczyć go w międzyczasie? W tej chwili jest skromnie - NOD32 + windowsowy firewall... Odnośnik do komentarza
picasso Opublikowano 22 Lutego 2012 Zgłoś Udostępnij Opublikowano 22 Lutego 2012 - zabrałam się za zgrywanie plików z komputera na dysk zewnętrzny (back-upy mam, ale nie najnowsze). Zgrywać dalej, póki jeszcze myszka/dysk działa, czy podejść do sprawy spokojnie, bo wszystko da się uleczyć? Nie przeniosę sobie w ten sposób dalej infekcji? Sama płyta OTLPE umożliwi skopiowanie danych na dysk zewnętrzny, nawet jeżeli Windows padnie. Aczkolwiek nie chcę brać odpowiedzialności za nieszczęśliwe wypadki i na wszelki wypadek najcenniejsze materiały oczywiście skopiuj. - pojęcia nie mam, skąd się to paskudztwo wzięło - boję się o drugi komputer (zwłaszcza, że będę musiała na niego przenosić logi). Jak zabezpieczyć go w międzyczasie? W tej chwili jest skromnie - NOD32 + windowsowy firewall... Infekcja ZeroAccess mogła przykładowo wejść przez odwiedzenie strony nastawianej na autowykonanie skryptu, bądź też przez jakiś pobrany lewy plik udający np. wtyczkę flash ... Samo przenoszenie logów nie powinno mieć wpływu na drugi komputer. . Odnośnik do komentarza
Tawananna Opublikowano 22 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 22 Lutego 2012 W załączniku przesyłam log. OTL.Txt Odnośnik do komentarza
picasso Opublikowano 22 Lutego 2012 Zgłoś Udostępnij Opublikowano 22 Lutego 2012 Coś mało obiektów od ZeroAccess tu widzę ... Ale owszem, sterownik Windows jest naruszony. DRV - [2008/04/14 15:41:38 | 000,053,248 | ---- | M] () [Kernel | System] -- C:\WINDOWS\system32\drivers\i8042prt.sys -- (i8042prt) 1. Materiały. Plik i8042prt.sys do zamiany: KLIK. Przygotuj skrypt naprawczy wklejając do Notatnika: :Files C:\Documents and Settings\LocalService\Ustawienia lokalne\Temp\*.tlb C:\Documents and Settings\NetworkService\Ustawienia lokalne\Temp\*.tlb C:\Documents and Settings\All Users\Dane aplikacji\QhpJ5byA.exe_.b C:\Documents and Settings\All Users\Dane aplikacji\QhpJ5byA.exe.b C:\WINDOWS\System32\dds_trash_log.cmd C:\WINDOWS\System32\8p4vh8i.com C:\windows\system32\*.FOT C:\WINDOWS\system32\fsutil.exe reparsepoint delete C:\WINDOWS\$NtUninstallKB43497$ /C :Commands [emptytemp] Plik zapisz pod nazwą FIX.TXT. Plik ten razem z kopią i8042prt.sys do wymiany umieść na pendrive, który będzie obecny w trakcie operacji z płytą OTLPE. 2. Startujesz z płyty OTLPE i wykonujesz dwie akcje: - Na pulpicie płyty wybierz "My Computer". Plikiem i8042prt.sys z pendrive podstawiasz ręcznie wadliwą kopię w C:\WINDOWS\System32\drivers oraz w C:\WINDOWS\System32\dllcache. - Uruchamiasz OTL i klik w Run Fix, a na pytanie o plik skryptu wskaż plik FIX.TXT na pendrive. Z tego działania powstanie log. 3. Restartujesz do Windows. Uruchamiasz ComboFix. Prezentujesz raport z jego pracy, wyniki przetwarzania skryptu z punktu 2 oraz nowe logi z OTL i GMER. . Odnośnik do komentarza
Tawananna Opublikowano 22 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 22 Lutego 2012 Rozumiem, że i8042prt.sys muszę zgrać na pendrive'a po rozpakowaniu? Nie mogę go otworzyć. Czy może mam zmienić rozszerzenie z .zip na .sys? Odnośnik do komentarza
picasso Opublikowano 22 Lutego 2012 Zgłoś Udostępnij Opublikowano 22 Lutego 2012 Tak, po rozpakowaniu. Co masz na myśli mówiąc "nie mogę go otworzyć"? Odnośnik do komentarza
Tawananna Opublikowano 22 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 22 Lutego 2012 Już wszystko dobrze - mój błąd, i to taki, że aż głupio się przyznać . Zamiast zwyczajnie kliknąć na link, spróbowałam zapisać plik docelowy (z menu kontekstowego) - a ponieważ adres kończy się na .zip, to strona zapisała się jako plik .zip... Pendrive gotowy, logi za chwilę. /// edit W C:\WINDOWS\System32\dllcache nie ma pliku i8042prt.sys, jaki miałabym zastąpić. Wgrać i tak poprawną kopię? Odnośnik do komentarza
picasso Opublikowano 22 Lutego 2012 Zgłoś Udostępnij Opublikowano 22 Lutego 2012 W C:\WINDOWS\System32\dllcache nie ma pliku i8042prt.sys, jaki miałabym zastąpić. Wgrać i tak poprawną kopię? Wgraj go tam po prostu. Odnośnik do komentarza
Tawananna Opublikowano 23 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 23 Lutego 2012 Uruchomiłam "Run Fix" w OTL, ale od ok. 20 minut nic się nie dzieje (tzn. w "Customs Scans/Fixes" widać treść fiksu, poza tym żadnych komunikatów itd.). Czy należy po prostu dalej czekać, czy coś poszło źle? Odnośnik do komentarza
picasso Opublikowano 23 Lutego 2012 Zgłoś Udostępnij Opublikowano 23 Lutego 2012 Spróbuj inaczej: z poziomu płyty OTLPE otwórz przygotowany plik FIX.TXT i przeklej z niego treść do okna OTL + uruchom przez Run Fix. Odnośnik do komentarza
Tawananna Opublikowano 23 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 23 Lutego 2012 OK, poszło bez problemu, przechodzę do Windowsa. Jak dobrze pójdzie, wkrótce logi. // EDIT W załączniku wszystkie logi. Tylko z Gmerem coś nie poszło (raz zawiesił się w trakcie, potem komputer wszedł w czasie stanu w stan wstrzymania). Z Gmera wrzucam wyniki preskanu plus dwa razy częściowy skan (kopiowałam na bieżąco; za drugim razem jest więcej). 02232012_011927.log.txt gmer2.txt gmer3.txt gmer.txt log-combofix.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 23 Lutego 2012 Zgłoś Udostępnij Opublikowano 23 Lutego 2012 Wygląda na to, że ustały czynności rootkit i możemy zająć się cyzelowaniem. Tylko nie jestem pewna co się stało z łączem symbolicznym C:\WINDOWS\$NtUninstallKB43497$. Skrypt miał wołać narzędzie fsutil z katalogu Windows w celu zdjęcia łącza, po rozlinkowaniu pozostaje katalog sierota z konfiguracją rootkita i tu był obliczony ComboFix do kasacji. ComboFix jednak nie pokazuje żadnych operacji tego zakresu. Upewnijmy się czy ten obiekt nadal jest. Uruchom OTL, wszystkie opcje ustaw na Brak + Żadne, w sekcji Własne opcje skanowania / skrypt wklej: C:\Windows\*. /RP /s C:\Windows|$NtUninstallKB43497$;true;true;false /FP Klik w Skanuj. Przedstaw wynikowy log. Log krótki, możesz wkleić zawartość wprost do posta. . Odnośnik do komentarza
Tawananna Opublikowano 23 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 23 Lutego 2012 OTL logfile created on: 2012-02-23 11:39:56 - Run 7 OTL by OldTimer - Version 3.2.33.1 Folder = C:\Documents and Settings\Joanna\Pulpit\wirus Windows XP Home Edition Dodatek Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000415 | Country: Polska | Language: PLK | Date Format: yyyy-MM-dd 2,37 Gb Total Physical Memory | 1,76 Gb Available Physical Memory | 73,97% Memory free 3,20 Gb Paging File | 2,79 Gb Available in Paging File | 87,37% Paging File free Paging file location(s): C:\pagefile.sys 1000 1344 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Program Files Drive C: | 71,36 Gb Total Space | 16,86 Gb Free Space | 23,62% Space Free | Partition Type: NTFS Computer Name: DELL | User Name: Joanna | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days ========== Custom Scans ========== < C:\Windows\*. /RP /s > < C:\Windows|$NtUninstallKB43497$;true;true;false /FP > [2011-11-08 22:48:03 | 000,000,000 | -HSD | M] -- C:\WINDOWS\$NtUninstallKB43497$ ========== Hard Links - Junction Points - Mount Points - Symbolic Links ========== [C:\Windows\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a] -> C:\WINDOWS\WinSxS\x86_System.EnterpriseServices_b03f5f7f11d50a3a_2.0.0.0_x-ww_7d5f3790 -> Junction [C:\Windows\assembly\GAC_MSIL\IEExecRemote\2.0.0.0__b03f5f7f11d50a3a] -> C:\WINDOWS\WinSxS\MSIL_IEExecRemote_b03f5f7f11d50a3a_2.0.0.0_x-ww_6e57c34e -> Junction < End of report > Odnośnik do komentarza
picasso Opublikowano 23 Lutego 2012 Zgłoś Udostępnij Opublikowano 23 Lutego 2012 Obiekt nadal na dysku, ale to już nie jest łącze symboliczne i można usuwać bezpośrednio. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\WINDOWS\$NtUninstallKB43497$ Klik w Wykonaj skrypt. 2. Przedstaw log z wynikami usuwania. . Odnośnik do komentarza
Tawananna Opublikowano 23 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 23 Lutego 2012 ========== FILES ========== Folder move failed. C:\WINDOWS\$NtUninstallKB43497$ scheduled to be moved on reboot. OTL by OldTimer - Version 3.2.33.1 log created on 02232012_131921 Files\Folders moved on Reboot... C:\WINDOWS\$NtUninstallKB43497$\2015875534\U folder moved successfully. C:\WINDOWS\$NtUninstallKB43497$\2015875534\L folder moved successfully. C:\WINDOWS\$NtUninstallKB43497$\2015875534 folder moved successfully. Folder move failed. C:\WINDOWS\$NtUninstallKB43497$ scheduled to be moved on reboot. Registry entries deleted on Reboot... Odnośnik do komentarza
picasso Opublikowano 23 Lutego 2012 Zgłoś Udostępnij Opublikowano 23 Lutego 2012 1. Uruchom GrantPerms, w oknie wklej co poniżej i klik w Unlock. C:\WINDOWS\$NtUninstallKB43497$ 2. Ponów skrypt do OTL podany w moim wcześniejszym poście. Przedstaw log z wynikami usuwania. :Files C:\WINDOWS\$NtUninstallKB43497$ . Odnośnik do komentarza
Tawananna Opublikowano 23 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 23 Lutego 2012 ========== FILES ========== C:\WINDOWS\$NtUninstallKB43497$ folder moved successfully. OTL by OldTimer - Version 3.2.33.1 log created on 02232012_134622 Odnośnik do komentarza
picasso Opublikowano 23 Lutego 2012 Zgłoś Udostępnij Opublikowano 23 Lutego 2012 Zadanie pomyślnie wykonane. Następujące czynności do wykonania: 1. Odinstaluj w prawidłowy sposób ComboFix, w Start > Uruchom > wklejając komendę: "C:\Documents and settings\Joanna\Pulpit\wirus\ComboFix.exe" /uninstall Gdy komenda pomyślnie się wykona, zastosuj funkcję Sprzątanie w OTL, która zlikwiduje z dysku OTL wraz z jego kwarantanną. Ręcznie dokasuj inne użytki. 2. Wykonaj pełne skanowanie systemu za pomocą Malwarebytes Anti-Malware + Kaspersky Virus Removal Tool. Przedstaw raporty narzędzi, o ile coś zostanie znalezione. Z raportu Kasperskiego interesują mnie tylko wyniki infekcyjne (pozostałe typy nie). . Odnośnik do komentarza
Tawananna Opublikowano 23 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 23 Lutego 2012 W załączniku log z Malwarebytes ukończony przed chwilą. Mam usunąć pliki z poziomu programu czy kliknąć na "ignoruj"? mbam-log-2012-02-23 (21-36-02).txt Odnośnik do komentarza
picasso Opublikowano 23 Lutego 2012 Zgłoś Udostępnij Opublikowano 23 Lutego 2012 Faktycznym wynikiem infekcyjnym jest tylko ostatni RootKit.0Access.H i ten od razu machnij z opcji programu MBAM. Pozostałe odczyty wyglądają na fałszywe alarmy, w tym zwrot z Thinstall (dla porównania: KLIK), te zignoruj. Rozumiem, że skan Kasperskym jeszcze nie napoczęty? . Odnośnik do komentarza
Tawananna Opublikowano 23 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 23 Lutego 2012 Usuwam i biorę się za skan Kasperskym. MBAM mielił 70GB dysku przez sześć godzin... chyba muszę zainwestować w szybszy komputer . /// EDIT Zrobiłam "Automatic scan", Kaspersky nie wykrył nic. Odnośnik do komentarza
picasso Opublikowano 23 Lutego 2012 Zgłoś Udostępnij Opublikowano 23 Lutego 2012 MBAM długo męczył, Kaspersky wręcz przeciwnie = to wygląda na ekspresowy skan (w opcjach jest wiele obszarów odznaczonych). Aczkolwiek wydaje mi się, że na tym możemy poprzestać. Wykonaj następujące czynności: 1. Czyszczenie folderów Przywracania systemu (to już po raz drugi, ale po deinstalacji ComboFix znaleziony został obiekt infekcji): KLIK. 2. Wykonaj aktualizacje aplikacji, porównaj jakie wersje masz obecnie: KLIK. 3. Dla bezpieczeństwa zmień hasła logowania w serwisach Potwierdź wykonanie operacji oraz status systemu. Sprawdź czy wszystko działa i czy nie ma jakiś utajonych usterek. . Odnośnik do komentarza
Tawananna Opublikowano 23 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 23 Lutego 2012 W Kasperskym weszłam od razu na "Automatic scan" - żadnych opcji po drodze nie było. Powinnam wybrać "Manual disinfection"? Przywracanie systemu wyczyszczone, brakujące aktualizacje w trakcie, hasła logowania pozmieniane wczoraj . Niestety, trafiłam już na utajoną usterkę: padło audio. Zwyczajnie przeinstalować sterownik czy coś innego? Poza tym - choć to subiektywne - komputer chodzi wyraźnie wolniej niż wcześniej, i przy bardzo wysokim zużyciu procesora.. // EDIT Jeden z kanałów podstawowych IDE przestawił się na PIO - poprawię, jak tylko skończę ściągać Windows Update. Odnośnik do komentarza
Rekomendowane odpowiedzi