Alexoss Opublikowano 23 Lutego 2012 Zgłoś Udostępnij Opublikowano 23 Lutego 2012 Witam Zostałem skierowany tutaj po założeniu tematu: http://forum.idg.pl/...tl-t211860.html objawy - przekierowania na abnow .com - blokowane skrzynki, bukmacherzy - alerty zabezpieczeń windows przy odpalaniu programów - avast zawiesza się przy pełnym skanowaniu Proszę o sprawdzenie loga i wskazówki jak naprawić system mbam-log-2012-02-23 (15-04-10).txt OTL.Txt Extras.Txt GMER.txt Odnośnik do komentarza
picasso Opublikowano 23 Lutego 2012 Zgłoś Udostępnij Opublikowano 23 Lutego 2012 Rootkit niewątpliwie czynny. Wg GMER aktualnie jest zainfekowany sterownik systemowy serial.sys. Ponadto standardowe składniki ZeroAccess widoczne, takie jak zablokowany link symboliczny C:\WINDOWS\$NtUninstallKB11225$, przekierowanie w Winsock, wpis w Shell, usługi pomocnicze. Na tego rootkita mocniejsza artyleria wstępna. Pobierz ComboFix, wejdź w Tryb awaryjny Windows i uruchom narzędzie zgodnie z wytycznymi w opisie. Przedstaw raport z jego pracy oraz zrobione już po nowe logi z GMER i OTL. . Odnośnik do komentarza
Alexoss Opublikowano 6 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 6 Marca 2012 Po użyciu combofix większość objawów ustąpiło. Google przy wyszukiwaniu zaczął natomiast wysyłać komunikaty jak poniżej, więc najprawdopodobniej nie wszystko zostało usunięte. Nasze systemy wykryły nietypowy ruch pochodzący z Twojej sieci komputerowej. Ta strona ma na celu sprawdzenie, czy to rzeczywiście Ty wysyłasz żądania, a nie robot. Dlaczego tak się stało? Adres IP: 66.199.XXX.XX Godzina: 2012-03-06T19:41:22Z Efektów ubocznych pracy combofix na razie nie stwierdziłem. Poniżej logi i proszę o wskazówki dalszego postępowania. / p.s. Blisko 2 tyg zwłoki w podjęciu naprawy systemu wynikło z konieczności dokończenia projektu, istniało ryzyko uszkodzenia systemu w czasie naprawy a termin gonił / ComboFix.txt GMER.txt OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 7 Marca 2012 Zgłoś Udostępnij Opublikowano 7 Marca 2012 Wygląda na to, że przeciągając naprawę w międzyczasie nabawiłeś się kolejnego rootkita Rloader, co sugeruje GMER w tych zapiskach (patch atapi nie był poprzednio widzialny): ---- Kernel code sections - GMER 1.0.15 ---- .text atapi.sys B7F10852 1 Byte [CC] {INT 3 } ---- Threads - GMER 1.0.15 ---- Thread System [4:124] 89D2839FThread System [4:708] 8917B0F4 Zaś usuwanie rootkita ZeroAccess niekompletne, ComboFix wykrył zainfekowany przez rootkita sterownik i brak kopii do zamiany: c:\windows\system32\drivers\afd.sys . . . jest zainfekowany!! . . . Failed to find a valid replacement. Ponadto, wartość NetSvcs naruszona przez rootkita wymaga naprawy. 1. Uruchom Kaspersky TDSSKiller i dla wyniku Virus.Win32.Rloader.a na zainfekowanym acpi.sys wybierz opcję Cure. Zresetuj system. 2. Zamiana pliku afd.sys oraz wyczyszczenie NetSvcs. Pobierz kopię afd.sys zgodną z XP SP3: KLIK. Plik rozpakuj do umownego katalogu C:\TMP utworzonego ręcznie. Otwórz Notatnik i wklej w nim: FCopy:: C:\TMP\afd.sys|C:\windows\system32\drivers\afd.sys C:\TMP\afd.sys|C:\windows\system32\dllcache\afd.sys NetSvc:: MSSQL$MSSMLBIZ asp.net_1.1.4322 dirms_defragmentation mindretrieve aracpi MSICPL AsIO JiaoCap vmodem WmaCVideo32 sandrathesrv streamloadservice botcbs Driver:: MSSQL$MSSMLBIZ asp.net_1.1.4322 dirms_defragmentation mindretrieve aracpi MSICPL JiaoCap vmodem WmaCVideo32 sandrathesrv streamloadservice botcbs Plik zapisz pod nazwą CFScript.txt. Przeciągnij go i upuść na ikonę ComboFixa. 3. Wyczyszczenie odpadków Babylon Toolbar. Uruchom AdwCleaner z opcji Delete. 4. Przedstaw: log z pracy ComboFix, log z pracy AdwCleaner, nowy log z GMER oraz OTL z opcji Skanuj (bez Extras). . Odnośnik do komentarza
Alexoss Opublikowano 7 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 7 Marca 2012 TDSSKiller znalazł jeszcze Rootkit.Win32.TDSS.tdl4 Physical drive: \Device\Harddisk1\DR1 Jaką akcje mam wybrać ? Odnośnik do komentarza
picasso Opublikowano 7 Marca 2012 Zgłoś Udostępnij Opublikowano 7 Marca 2012 Wyposażony jesteś w rootkity od A do Z. W GMER to nie było widoczne, skan GMER pochodzi z innego dysku fizycznego (Harddisk0\DR0). W Kasperskym dobierz akcję Cure i zresetuj system. Odnośnik do komentarza
Alexoss Opublikowano 7 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 7 Marca 2012 Wszystko zrobione, podaję logi. TDSSKiller.2.7.19.0_07.03.2012_14.49.38_log.txt ComboFix.txt AdwCleanerS1.txt OTL.Txt GMER.txt Odnośnik do komentarza
picasso Opublikowano 7 Marca 2012 Zgłoś Udostępnij Opublikowano 7 Marca 2012 Istotnie, wszystko zrobione. 1. Kosmetyczne poprawki. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL SRV - File not found [Auto | Stopped] -- -- (Nero BackItUp Scheduler 4.0) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (catchme) :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :Files rd /s /q C:\TDSSKiller_Quarantine /C rd /s /q C:\WINDOWS\ERDNT /C rd /s /q C:\TMP /C :Commands [emptytemp] Klik w Wykonaj skrypt. 2. Odinstaluj AdwCleaner pożytkując w nim opcję Uninstall. 3. Odinstaluj ComboFix, co też wyczyści foldery Przywracania systemu. W Start > Uruchom > wklej: "C:\Documents and Settings\Piotr\Pulpit\ComboFix.exe" /uninstall Gdy proces się ukończy, możesz użyć Sprzątanie w OTL. 3. Wykonaj pełne skanowanie systemu za pomocą aplikacji: Kaspersky Virus Removal Tool + Malwarebytes Anti-Malware. Przedstaw raporty z wykrytymi zagrożeniami, o ile takowego będą. . Odnośnik do komentarza
Alexoss Opublikowano 8 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 8 Marca 2012 Sprzątanie przebiegło pomyślnie ale później Kaspersky znalazł znowu Rootkit.Win32.TDSS.mbr \Device\Harddisk1\DR1 / na razie dałem skip / Mbam nic nie znalazł. Czy ten rootkit jest aktywny jeśli jest na innym dysku czy to tylko jakiś plik lub program który instaluje wirus ? Kaspersky.txt Odnośnik do komentarza
picasso Opublikowano 8 Marca 2012 Zgłoś Udostępnij Opublikowano 8 Marca 2012 Niepokojąco to brzmi, nawrót sugeruje usuwanie pozorowane. Czy na tym drugim dysku, którego czepia się namolnie Kaspersky, jest jakiś inny system operacyjny? Rozpisz mi jak układ partycji widzialny w OTL: Drive C: | 107,42 Gb Total Space | 9,38 Gb Free Space | 8,73% Space Free | Partition Type: NTFSDrive E: | 273,44 Gb Total Space | 1,99 Gb Free Space | 0,73% Space Free | Partition Type: NTFSDrive F: | 273,44 Gb Total Space | 4,40 Gb Free Space | 1,61% Space Free | Partition Type: NTFSDrive G: | 277,21 Gb Total Space | 35,26 Gb Free Space | 12,72% Space Free | Partition Type: NTFSDrive H: | 34,18 Gb Total Space | 10,84 Gb Free Space | 31,70% Space Free | Partition Type: NTFSDrive I: | 117,19 Gb Total Space | 14,12 Gb Free Space | 12,05% Space Free | Partition Type: NTFSDrive J: | 107,43 Gb Total Space | 4,04 Gb Free Space | 3,76% Space Free | Partition Type: NTFSDrive K: | 113,81 Gb Total Space | 4,78 Gb Free Space | 4,20% Space Free | Partition Type: NTFS ... ma się do układu dysków fizycznych, możesz się posłużyć narzędziem MBRCheck do produkcji raportu, który mi przedstawi konstrukcję. . Odnośnik do komentarza
Alexoss Opublikowano 8 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 8 Marca 2012 hmm, jeśli dobrze interpretuje loga to problem jest z: PhysicalDrive1 Model Number: SAMSUNGHD403LJ, Rev: CT100-11 H: --> \\.\PhysicalDrive1 at offset 0x00000000`00007e00 (NTFS) I: --> \\.\PhysicalDrive1 at offset 0x00000008`8b905a00 (NTFS) J: --> \\.\PhysicalDrive1 at offset 0x00000025`d7a2de00 (NTFS) K: --> \\.\PhysicalDrive1 at offset 0x00000040`b31c6e00 (NTFS) O ile pamiętam dysk został przepięty z danymi ze starego pc jakieś 2-3 lata temu,bez formatowania, ale na wszystkich partycjach są tam same pliki typu avi,mp3,pdf,doc itp Jedyna rzecz która się rzuca w oczy to K:\MSOCache pewnie po starym office Natomiast z innych partycji znalazłem katalog : G:\Nowy folder\instalki po formacie\zlob a w katalogu killbox.exe HJTInstall.exe SmitfraudFix.exe SmitfraudFix.exe Silent Runners.vbs SDFix smitRem Ale to tak na marginesie bo pewnie nie ma związku z problemem MBRCheck_03.08.12_10.59.05.txt Odnośnik do komentarza
picasso Opublikowano 8 Marca 2012 Zgłoś Udostępnij Opublikowano 8 Marca 2012 Czyli mamy dwa dyski: Size Device Name MBR Status -------------------------------------------- 931 GB \\.\PhysicalDrive0 Windows XP MBR code detected SHA1: 858845D53EA37CAD905BAB010542C912FBC33C8C 372 GB \\.\PhysicalDrive1 Unknown MBR code SHA1: D762452FB02F5A02BD722AC5AEA558562E64242E Na drugim wedle Twoich słów nie ma dodatkowego systemu. Wbijamy więc nową sygnaturę w MBR tegoż dysku: 1. Pobierz MBRWizard CLI Freeware. Umieść w katalogu C:\Windows. 2. Start > Uruchom > cmd > wpisz komendę: Mbrwiz /Disk=1 /Repair=xp 3. Zresetuj system. Wykonaj skany Kaspersky, czy nadal coś tu widzi zdrożnego. Natomiast z innych partycji znalazłem katalog :G:\Nowy folder\instalki po formacie\zlob a w katalogu killbox.exe HJTInstall.exe SmitfraudFix.exe SmitfraudFix.exe Silent Runners.vbs SDFix smitRem Ale to tak na marginesie bo pewnie nie ma związku z problemem Przecież to są (przestarzałe) narzędzia do tworzenia logów (HijackThis + Silent Runners) + usuwania zablokowanych plików (KillBox) + usuwania określonych infekcji (reszta) ... Wszystkiego się pozbądź, to archaiczne i dziś już nieprzydatne narzędzia. . Odnośnik do komentarza
Alexoss Opublikowano 8 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 8 Marca 2012 U Kasperskiego czysto. Czy to już meta ? Odnośnik do komentarza
picasso Opublikowano 8 Marca 2012 Zgłoś Udostępnij Opublikowano 8 Marca 2012 Tak, meta w rozumieniu usunięcia infekcji. Ale są tu jeszcze akcje do wykonania. Na początek: ten "dysk przepięty z danymi ze starego pc jakieś 2-3 lata temu, bez formatowania" budzi pewne podejrzenia, czy tam nie ma jakiejś innej niespodzianki, skoro uchował się rootkit w MBR. Z raportu Kaspersky Virus Removal wynika, że robiłeś ekspresowy skan na ustawieniach domyślnych. Wejdź do konfiguracji skanera i ustaw skanowanie wszystkiego, bo ten dysk należy prześwidrować na wylot. Skan potrwa długo. . Odnośnik do komentarza
Alexoss Opublikowano 9 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 9 Marca 2012 Kaspersky po pełnym skanowaniu znalazł i usunął: Status: Deleted (events: 2) 2012-03-09 14:20:30 Deleted Trojan program Trojan-Downloader.WMA.FakeDRM.w F:\k2\lk.il.i.wmv High 2012-03-09 14:20:57 Deleted Trojan program Trojan-Downloader.WMA.FakeDRM.bh F:\k2\rfgr.wmv High Odnośnik do komentarza
picasso Opublikowano 9 Marca 2012 Zgłoś Udostępnij Opublikowano 9 Marca 2012 Te wyniki wyglądają na prawdziwe, pliki muzyczne mogą mieć zmanipulowane nagłówki, tak by ich odtwarzanie wykonywało łączenie na określony URL z malware. Usunięte = OK. Kasperskiego możesz już odinstalować, co nastąpi poprzez zamknięcie jego okna. Podobnie: skasuj sobie MBRWizard wstawiony do katalogu systemowego. Na zakończenie: 1. Prewencyjnie dla bezpieczeństwa zmień hasła logowania w serwisach. 2. Wykonaj aktualizacje oprogramowania: KLIK. Na Twojej liście taką kwalifikację mają następujące pozycje: Internet Explorer (Version = 6.0.2900.5512) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java 6 Update 27"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.6 - Polish"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin"Adobe Shockwave Player" = Adobe Shockwave Player 11.6"FileZilla Client" = FileZilla Client 3.3.5.1"Gadu-Gadu" = Gadu-Gadu 6.1"Mozilla Firefox (3.6.25)" = Mozilla Firefox (3.6.25) A GG6 = toż to dramat. Sprawdź sobie takie nowoczesne pozycje jak WTW czy Miranda: Darmowe komunikatory. . Odnośnik do komentarza
Alexoss Opublikowano 11 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 11 Marca 2012 Kwestia haseł i aktualizacji załatwiona. Bardzo dziękuję za poświęcony czas i fachową pomoc. Gratuluję i zazdroszczę znajomości wiedzy o systemie. Alexoss /temat do zamknięcia/ Odnośnik do komentarza
Rekomendowane odpowiedzi