Spustoszenie - ZeroAccess

[Tawananna]

Mam poważny problem z rootkitem ZeroAccess. Na wiadomym forum próbowano mi pomóc, ale sytuacja ciągle się pogarsza. W tej chwili nie działa klawiatura i touchpad (działa za to myszka podłączona na USB) i Internet.

 

Niżej podaję link do tematu, gdzie są opisane dotychczasowe działania:

/Komunikat-Internet-Security-t145693.html"]http://www.[szukaj]/Komunikat-Internet-Security-t145693.html

 

Robić wszystkie logi od początku? Boję się, że sytuacja pogorszy się w międzyczasie jeszcze bardziej.

[picasso]

To ten agresywny wariant ZeroAccess z posiłkowymi usługami. Klawiatura i touchpad padły, ponieważ zapewne został zaatakowany kolejny sterownik systemowy. Logi w tamtym temacie są już zdezaktualizowane. Potrzebny nowy materiał. Aczkolwiek operacje nie będą prowadzone z poziomu Windows.

 

Pobierz i wypal płytę OTLPE, zastartuj z niej, uruchom OTL i w sekcji Custom Scans/Fixes wklej:

 

netsvcs
C:\Windows\system32\drivers\*.* /md5

 

Klik w Scan. Przedstaw log.

 

 

.

[Tawananna]

Dzięki, biegnę szukać płyty .

 

Jeszcze dwa pytania:

- zabrałam się za zgrywanie plików z komputera na dysk zewnętrzny (back-upy mam, ale nie najnowsze). Zgrywać dalej, póki jeszcze myszka/dysk działa, czy podejść do sprawy spokojnie, bo wszystko da się uleczyć? Nie przeniosę sobie w ten sposób dalej infekcji?

- pojęcia nie mam, skąd się to paskudztwo wzięło - boję się o drugi komputer (zwłaszcza, że będę musiała na niego przenosić logi). Jak zabezpieczyć go w międzyczasie? W tej chwili jest skromnie - NOD32 + windowsowy firewall...

[picasso]

- zabrałam się za zgrywanie plików z komputera na dysk zewnętrzny (back-upy mam, ale nie najnowsze). Zgrywać dalej, póki jeszcze myszka/dysk działa, czy podejść do sprawy spokojnie, bo wszystko da się uleczyć? Nie przeniosę sobie w ten sposób dalej infekcji?

 

Sama płyta OTLPE umożliwi skopiowanie danych na dysk zewnętrzny, nawet jeżeli Windows padnie. Aczkolwiek nie chcę brać odpowiedzialności za nieszczęśliwe wypadki i na wszelki wypadek najcenniejsze materiały oczywiście skopiuj.

 

 

- pojęcia nie mam, skąd się to paskudztwo wzięło - boję się o drugi komputer (zwłaszcza, że będę musiała na niego przenosić logi). Jak zabezpieczyć go w międzyczasie? W tej chwili jest skromnie - NOD32 + windowsowy firewall...

 

Infekcja ZeroAccess mogła przykładowo wejść przez odwiedzenie strony nastawianej na autowykonanie skryptu, bądź też przez jakiś pobrany lewy plik udający np. wtyczkę flash ... Samo przenoszenie logów nie powinno mieć wpływu na drugi komputer.

 

 

 

.

[Tawananna]

W załączniku przesyłam log.

OTL.Txt

[picasso]

Coś mało obiektów od ZeroAccess tu widzę ... Ale owszem, sterownik Windows jest naruszony.

 

DRV - [2008/04/14 15:41:38 | 000,053,248 | ---- | M] () [Kernel | System] -- C:\WINDOWS\system32\drivers\i8042prt.sys -- (i8042prt)

 

 

1. Materiały. Plik i8042prt.sys do zamiany: KLIK. Przygotuj skrypt naprawczy wklejając do Notatnika:

 

:Files
C:\Documents and Settings\LocalService\Ustawienia lokalne\Temp\*.tlb
C:\Documents and Settings\NetworkService\Ustawienia lokalne\Temp\*.tlb
C:\Documents and Settings\All Users\Dane aplikacji\QhpJ5byA.exe_.b
C:\Documents and Settings\All Users\Dane aplikacji\QhpJ5byA.exe.b
C:\WINDOWS\System32\dds_trash_log.cmd
C:\WINDOWS\System32\8p4vh8i.com
C:\windows\system32\*.FOT
C:\WINDOWS\system32\fsutil.exe reparsepoint delete C:\WINDOWS\$NtUninstallKB43497$ /C
 
:Commands
[emptytemp]

 

Plik zapisz pod nazwą FIX.TXT. Plik ten razem z kopią i8042prt.sys do wymiany umieść na pendrive, który będzie obecny w trakcie operacji z płytą OTLPE.

 

2. Startujesz z płyty OTLPE i wykonujesz dwie akcje:

- Na pulpicie płyty wybierz "My Computer". Plikiem i8042prt.sys z pendrive podstawiasz ręcznie wadliwą kopię w C:\WINDOWS\System32\drivers oraz w C:\WINDOWS\System32\dllcache.

- Uruchamiasz OTL i klik w Run Fix, a na pytanie o plik skryptu wskaż plik FIX.TXT na pendrive. Z tego działania powstanie log.

 

3. Restartujesz do Windows. Uruchamiasz ComboFix. Prezentujesz raport z jego pracy, wyniki przetwarzania skryptu z punktu 2 oraz nowe logi z OTL i GMER.

 

 

 

 

.

[Tawananna]

Rozumiem, że i8042prt.sys muszę zgrać na pendrive'a po rozpakowaniu? Nie mogę go otworzyć. Czy może mam zmienić rozszerzenie z .zip na .sys?

[picasso]

Tak, po rozpakowaniu. Co masz na myśli mówiąc "nie mogę go otworzyć"?

[Tawananna]

Już wszystko dobrze - mój błąd, i to taki, że aż głupio się przyznać . Zamiast zwyczajnie kliknąć na link, spróbowałam zapisać plik docelowy (z menu kontekstowego) - a ponieważ adres kończy się na .zip, to strona zapisała się jako plik .zip...

 

Pendrive gotowy, logi za chwilę.

 

 

/// edit

 

W C:\WINDOWS\System32\dllcache nie ma pliku i8042prt.sys, jaki miałabym zastąpić. Wgrać i tak poprawną kopię?

[picasso]

W C:\WINDOWS\System32\dllcache nie ma pliku i8042prt.sys, jaki miałabym zastąpić. Wgrać i tak poprawną kopię?

 

Wgraj go tam po prostu.

[Tawananna]

Uruchomiłam "Run Fix" w OTL, ale od ok. 20 minut nic się nie dzieje (tzn. w "Customs Scans/Fixes" widać treść fiksu, poza tym żadnych komunikatów itd.). Czy należy po prostu dalej czekać, czy coś poszło źle?

[picasso]

Spróbuj inaczej: z poziomu płyty OTLPE otwórz przygotowany plik FIX.TXT i przeklej z niego treść do okna OTL + uruchom przez Run Fix.

[Tawananna]

OK, poszło bez problemu, przechodzę do Windowsa. Jak dobrze pójdzie, wkrótce logi.

 

// EDIT

 

W załączniku wszystkie logi. Tylko z Gmerem coś nie poszło (raz zawiesił się w trakcie, potem komputer wszedł w czasie stanu w stan wstrzymania). Z Gmera wrzucam wyniki preskanu plus dwa razy częściowy skan (kopiowałam na bieżąco; za drugim razem jest więcej).

02232012_011927.log.txt

gmer2.txt

gmer3.txt

gmer.txt

log-combofix.txt

OTL.Txt

[picasso]

Wygląda na to, że ustały czynności rootkit i możemy zająć się cyzelowaniem. Tylko nie jestem pewna co się stało z łączem symbolicznym C:\WINDOWS\$NtUninstallKB43497$. Skrypt miał wołać narzędzie fsutil z katalogu Windows w celu zdjęcia łącza, po rozlinkowaniu pozostaje katalog sierota z konfiguracją rootkita i tu był obliczony ComboFix do kasacji. ComboFix jednak nie pokazuje żadnych operacji tego zakresu. Upewnijmy się czy ten obiekt nadal jest. Uruchom OTL, wszystkie opcje ustaw na Brak + Żadne, w sekcji Własne opcje skanowania / skrypt wklej:

 

C:\Windows\*. /RP /s
C:\Windows|$NtUninstallKB43497$;true;true;false /FP

 

Klik w Skanuj. Przedstaw wynikowy log. Log krótki, możesz wkleić zawartość wprost do posta.

 

 

 

.

 

 

[Tawananna]

OTL logfile created on: 2012-02-23 11:39:56 - Run 7

OTL by OldTimer - Version 3.2.33.1 Folder = C:\Documents and Settings\Joanna\Pulpit\wirus

Windows XP Home Edition Dodatek Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 8.0.6001.18702)

Locale: 00000415 | Country: Polska | Language: PLK | Date Format: yyyy-MM-dd

 

2,37 Gb Total Physical Memory | 1,76 Gb Available Physical Memory | 73,97% Memory free

3,20 Gb Paging File | 2,79 Gb Available in Paging File | 87,37% Paging File free

Paging file location(s): C:\pagefile.sys 1000 1344 [binary data]

 

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Program Files

Drive C: | 71,36 Gb Total Space | 16,86 Gb Free Space | 23,62% Space Free | Partition Type: NTFS

 

Computer Name: DELL | User Name: Joanna | Logged in as Administrator.

Boot Mode: Normal | Scan Mode: Current user

Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days

 

========== Custom Scans ==========

 

 

< C:\Windows\*. /RP /s >

 

< C:\Windows|$NtUninstallKB43497$;true;true;false /FP >

[2011-11-08 22:48:03 | 000,000,000 | -HSD | M] -- C:\WINDOWS\$NtUninstallKB43497$

 

========== Hard Links - Junction Points - Mount Points - Symbolic Links ==========

[C:\Windows\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a] -> C:\WINDOWS\WinSxS\x86_System.EnterpriseServices_b03f5f7f11d50a3a_2.0.0.0_x-ww_7d5f3790 -> Junction

[C:\Windows\assembly\GAC_MSIL\IEExecRemote\2.0.0.0__b03f5f7f11d50a3a] -> C:\WINDOWS\WinSxS\MSIL_IEExecRemote_b03f5f7f11d50a3a_2.0.0.0_x-ww_6e57c34e -> Junction

< End of report >

[picasso]

Obiekt nadal na dysku, ale to już nie jest łącze symboliczne i można usuwać bezpośrednio.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\WINDOWS\$NtUninstallKB43497$

 

Klik w Wykonaj skrypt.

 

2. Przedstaw log z wynikami usuwania.

 

 

 

.

[Tawananna]

========== FILES ==========

 

Folder move failed. C:\WINDOWS\$NtUninstallKB43497$ scheduled to be moved on reboot.

 

OTL by OldTimer - Version 3.2.33.1 log created on 02232012_131921

 

Files\Folders moved on Reboot...

C:\WINDOWS\$NtUninstallKB43497$\2015875534\U folder moved successfully.

C:\WINDOWS\$NtUninstallKB43497$\2015875534\L folder moved successfully.

C:\WINDOWS\$NtUninstallKB43497$\2015875534 folder moved successfully.

Folder move failed. C:\WINDOWS\$NtUninstallKB43497$ scheduled to be moved on reboot.

 

Registry entries deleted on Reboot...

[picasso]

1. Uruchom GrantPerms, w oknie wklej co poniżej i klik w Unlock.

 

 C:\WINDOWS\$NtUninstallKB43497$

 

2. Ponów skrypt do OTL podany w moim wcześniejszym poście. Przedstaw log z wynikami usuwania.

 

:Files

C:\WINDOWS\$NtUninstallKB43497$

 

 

 

.

[Tawananna]

========== FILES ==========

C:\WINDOWS\$NtUninstallKB43497$ folder moved successfully.

 

OTL by OldTimer - Version 3.2.33.1 log created on 02232012_134622

[picasso]

Zadanie pomyślnie wykonane. Następujące czynności do wykonania:

 

1. Odinstaluj w prawidłowy sposób ComboFix, w Start > Uruchom > wklejając komendę:

 

"C:\Documents and settings\Joanna\Pulpit\wirus\ComboFix.exe" /uninstall

 

Gdy komenda pomyślnie się wykona, zastosuj funkcję Sprzątanie w OTL, która zlikwiduje z dysku OTL wraz z jego kwarantanną. Ręcznie dokasuj inne użytki.

 

2. Wykonaj pełne skanowanie systemu za pomocą Malwarebytes Anti-Malware + Kaspersky Virus Removal Tool. Przedstaw raporty narzędzi, o ile coś zostanie znalezione. Z raportu Kasperskiego interesują mnie tylko wyniki infekcyjne (pozostałe typy nie).

 

 

 

 

.

[Tawananna]

W załączniku log z Malwarebytes ukończony przed chwilą. Mam usunąć pliki z poziomu programu czy kliknąć na "ignoruj"?

mbam-log-2012-02-23 (21-36-02).txt

[picasso]

Faktycznym wynikiem infekcyjnym jest tylko ostatni RootKit.0Access.H i ten od razu machnij z opcji programu MBAM. Pozostałe odczyty wyglądają na fałszywe alarmy, w tym zwrot z Thinstall (dla porównania: KLIK), te zignoruj.

 

Rozumiem, że skan Kasperskym jeszcze nie napoczęty?

 

 

.

[Tawananna]

Usuwam i biorę się za skan Kasperskym. MBAM mielił 70GB dysku przez sześć godzin... chyba muszę zainwestować w szybszy komputer .

 

/// EDIT

 

Zrobiłam "Automatic scan", Kaspersky nie wykrył nic.

[picasso]

MBAM długo męczył, Kaspersky wręcz przeciwnie = to wygląda na ekspresowy skan (w opcjach jest wiele obszarów odznaczonych). Aczkolwiek wydaje mi się, że na tym możemy poprzestać. Wykonaj następujące czynności:

 

1. Czyszczenie folderów Przywracania systemu (to już po raz drugi, ale po deinstalacji ComboFix znaleziony został obiekt infekcji): KLIK.

 

2. Wykonaj aktualizacje aplikacji, porównaj jakie wersje masz obecnie: KLIK.

 

3. Dla bezpieczeństwa zmień hasła logowania w serwisach

 

 

Potwierdź wykonanie operacji oraz status systemu. Sprawdź czy wszystko działa i czy nie ma jakiś utajonych usterek.

 

 

.

[Tawananna]

W Kasperskym weszłam od razu na "Automatic scan" - żadnych opcji po drodze nie było. Powinnam wybrać "Manual disinfection"?

 

Przywracanie systemu wyczyszczone, brakujące aktualizacje w trakcie, hasła logowania pozmieniane wczoraj .

 

Niestety, trafiłam już na utajoną usterkę: padło audio. Zwyczajnie przeinstalować sterownik czy coś innego?

 

Poza tym - choć to subiektywne - komputer chodzi wyraźnie wolniej niż wcześniej, i przy bardzo wysokim zużyciu procesora..

 

// EDIT

 

Jeden z kanałów podstawowych IDE przestawił się na PIO - poprawię, jak tylko skończę ściągać Windows Update.