insane Opublikowano 23 Lutego 2012 Zgłoś Udostępnij Opublikowano 23 Lutego 2012 witam, złapałem infekcję typu zero access rootkit, którą najprawdopodobniej udało mi się usunąć niemniej jednak msconfig przy próbie zmiany konfiguracji raportuje błąd odmowy dostępu zauważyłem również problem z dostępem do kluczy (dokładnie 2x - niestety nie zanotowałem nazwy) przy deinstalacji esset smart security system "zapomina" także zmiany ustawień opcji folderów (pokaż ukryte pliki i foldery) proszę o przejrzenie logów. pozdrawiam gmer.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 23 Lutego 2012 Zgłoś Udostępnij Opublikowano 23 Lutego 2012 Log z OTL niekompletny, brakuje Extras (opcja "Rejestr - skan dodatkowy" nie została ustawiona na "Użyj filtrowania"). złapałem infekcję typu zero access rootkit, którą najprawdopodobniej udało mi się usunąć Jakimi narzędziami / skanerami się posługiwałeś? Jak wyglądało czyszczenie? Póki co widzę, że na pewno uruchamiałeś ComboFix (jest zachowany log z jego działań w tamtym momencie?) oraz próbowałeś ratować się określonymi skanerami AV. Po ZeroAccess nadal nie skorygowane naruszenia Winsock: O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - %SystemRoot%\system32\wshbth.dll File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000005 - %SystemRoot%\system32\wshbth.dll File not found niemniej jednak msconfig przy próbie zmiany konfiguracji raportuje błąd odmowy dostępu To niekoniecznie infekcja. Taki błąd jest też charakterystyczny dla ... aktywności oprogramowania zabezpieczającego. Pozbędziesz się ESET, to zobaczymy co to da: zauważyłem również problem z dostępem do kluczy (dokładnie 2x - niestety nie zanotowałem nazwy) przy deinstalacji esset smart security Posłuż się firmowym awaryjnym deinstalatorem: ESET Uninstaller. Narzędzie działa tylko z poziomu Trybu awaryjnego Windows. system "zapomina" także zmiany ustawień opcji folderów (pokaż ukryte pliki i foldery) To skutek infekcji przenoszonej via nośniki USB, a nie ZeroAccess. Są tu ślady takiej infekcji, tzn. mapowanie MoutPoints2 wskazujące na podpinanie zarażonych USB. O33 - MountPoints2\{eb111dfd-b84d-11e0-95f6-001fd0565d30}\Shell\AutoRun\command - "" = F:\bycfht.exeO33 - MountPoints2\{eb111dfd-b84d-11e0-95f6-001fd0565d30}\Shell\open\Command - "" = F:\bycfht.exe Poprawki: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files netsh winsock reset /C :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 :OTL SRV - File not found [Auto | Stopped] -- -- (OMSI download service) SRV - File not found [Auto | Stopped] -- -- (mi-raysat_3dsMax2009_32) SRV - File not found [Disabled | Stopped] -- -- (JavaQuickStarterService) SRV - File not found [Auto | Stopped] -- -- (DVBVRecorder) SRV - File not found [Disabled | Stopped] -- -- (CTAudSvcService) SRV - File not found [Auto | Stopped] -- -- (BlueSoleil Hid Service) SRV - File not found [Auto | Stopped] -- -- (Autodesk Licensing Service) SRV - File not found [Auto | Stopped] -- -- (ATI Smart) SRV - File not found [Auto | Stopped] -- -- (Ati HotKey Poller) O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - No CLSID value found. O7 - HKU\S-1-5-21-220523388-1677128483-725345543-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCANetwork = 0 O7 - HKU\S-1-5-21-220523388-1677128483-725345543-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAVolume = 0 O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} "http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab" (Reg Error: Key error.) O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.) O20 - Winlogon\Notify\TPSvc: DllName - (TPSvc.dll) - File not found O37 - HKU\S-1-5-21-220523388-1677128483-725345543-1003\...exe [@ = exefile] -- Reg Error: Key error. File not found [2012-01-02 23:08:42 | 000,005,109 | ---- | C] () -- C:\Documents and Settings\All Users\Dane aplikacji\mxnhytee.feu :Commands [emptytemp] Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami usuwania. 2. Wygeneruj nowy log z OTL opcją Skanuj (przypominam o Extras). Dołącz też log z wynikami usuwania uzyskany w punkcie 1. . Odnośnik do komentarza
insane Opublikowano 24 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 24 Lutego 2012 przede wszystkim dziękuję za błyskawiczną reakcję Jakimi narzędziami / skanerami się posługiwałeś? Jak wyglądało czyszczenie? Póki co widzę, że na pewno uruchamiałeś ComboFix (jest zachowany log z jego działań w tamtym momencie?) oraz próbowałeś ratować się określonymi skanerami AV. Po ZeroAccess nadal nie skorygowane naruszenia Winsock z miejsca zainfekowany został Esset Smart Security i Emsisoft Anti-Malware, ponadto system był bardzo niestabilny (zawieszał się po kilkunastu minutach pracy) więc próbowałem online skanerem Esset'a co pomogło o tyle, że cześć zainfekowanych plików mogłem umieścić w kwarantannie próbowałem reinstalować ESS bardzo szybko ponownie łapał jednak (tj. ekrn.exe) infekcję używałem również Spybot Search & Destroy, który coś tam niby znalazł lecz wiele to nie wniosło uruchomiłem ComboFixa, który wyłapał infekcję zero access jednak podczas skanowania zawiesił się (brak loga) więc kolejno próbowałem TDSSKiller, ESET Win32/Sirefef Trojan remover, aswMBR, Bit Defender Removal tool i w końcu coś drgnęło przeinstalowałem więc ESS oraz Emsisoft Anti-Malware i zrobiłem pełen skan - czysto użyłem również TFC i OTC To niekoniecznie infekcja. Taki błąd jest też charakterystyczny dla ... aktywności oprogramowania zabezpieczającego. Pozbędziesz się ESET, to zobaczymy co to da: przedtem problem nie występował więc to nie powinna być wina ESS ale spróbuję To skutek infekcji przenoszonej via nośniki USB, a nie ZeroAccess. Są tu ślady takiej infekcji, tzn. mapowanie MoutPoints2 wskazujące na podpinanie zarażonych USB. rzeczywiście cała akcja zaczęła się od wizyty znajomego z pedrivem miałem urochomioną Pande Vaccine ale napędu nie skanowałem myśląc, że plik Word'a krzywdy mi nie zrobi Extras.Txt 02242012_011100.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 24 Lutego 2012 Zgłoś Udostępnij Opublikowano 24 Lutego 2012 Skrypt pomyślnie wykonany. Winsock wrócił do normy. Czy notujesz już stabilizację opcji włączania ukrytych plików? Czekam też na wyniki operacji z deinstalacją ESET. Natomiast OTL Extras ujawnił świństwo w autoryzacji zapory: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]"C:\Documents and Settings\deus\Dane aplikacji\xlpnwdtymysurskzecavltaxdvqkmonv2\svcnost.exe" = C:\Documents and Settings\deus\Dane aplikacji\xlpnwdtymysurskzecavltaxdvqkmonv2\svcnost.exe:*:Enabled:ldrsoft Start > Uruchom > cmd i wpisz komendę netsh firewall reset przedtem problem nie występował więc to nie powinna być wina ESS ale spróbuję To nie jest dowodem, że problemu nie tworzy ESET. Było z nim tu mataczone, pojawił się też jakiś opór ("zauważyłem również problem z dostępem do kluczy (dokładnie 2x - niestety nie zanotowałem nazwy) przy deinstalacji esset smart security"). Dysfunkcja tego typu oprogramowania może mieć różne skutki uboczne. Zbyt silny program. Notabene: ten ESET to staroć, wersja z 2009. Usuń z systemu i nie ponawiaj instalacji tej szczególnej wersji. Twór krakowany (widzę usługę "ciastka" w logu), tym mniej żalu. Dla przykładu: rozwiązywałam kiedyś przypadki z "Odmową dostępu" msconfig z powodu zbyt przedsiębiorczego ZoneAlarm. używałem również Spybot Search & Destroy, który coś tam niby znalazł lecz wiele to nie wniosło Spybot to słaby program, bieżące warunki w świecie malware zweryfikowały sprawność. Zaś rootkit ZeroAccess to nie ten zawodnik, by go próbować załatwiać Spybotem. Program musi mieć pole widzenia równorzędne z rootkitem, by było zdolne go zaatakować. uruchomiłem ComboFixa, który wyłapał infekcję zero access jednak podczas skanowania zawiesił się (brak loga) Na dysku jest folder Qoobox, zaglądnij czy tam nie ma loga z kasacjami. [2012-02-23 03:23:34 | 000,000,000 | --SD | C] -- C:\ComboFix[2012-02-23 03:23:31 | 000,000,000 | ---D | C] -- C:\Qoobox użyłem również TFC i OTC Jak widać powyżej, OTC i tak nie skasował elementów ComboFix (to zresztą nie jest prawidłowa metoda jego usuwania). Odinstaluj ComboFix prawidłową metodą, pobierz go ponownie na Pulpit, w Start > Uruchom > wklej komendę: "C:\Documents and Settings\deus\Pulpit\ComboFix.exe" /uninstall . Odnośnik do komentarza
insane Opublikowano 24 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 24 Lutego 2012 Skrypt pomyślnie wykonany. Winsock wrócił do normy. Czy notujesz już stabilizację opcji włączania ukrytych plików? tak problem ukrytych plików rozwiązany Czekam też na wyniki operacji z deinstalacją ESET. deinstalacja ESET również rozwiązała problem na co wymienić ESS? na nowszą wersję? czy może na coś innego? Spybot to słaby program, bieżące warunki w świecie malware zweryfikowały sprawność. Zaś rootkit ZeroAccess to nie ten zawodnik, by go próbować załatwiać Spybotem. Program musi mieć pole widzenia równorzędne z rootkitem, by było zdolne go zaatakować. dlatego dość szybko się go pozbyłem Na dysku jest folder Qoobox, zaglądnij czy tam nie ma loga z kasacjami. logów niestety nie znalazłem Odnośnik do komentarza
picasso Opublikowano 24 Lutego 2012 Zgłoś Udostępnij Opublikowano 24 Lutego 2012 Wykonaj jeszcze pełne skanowanie za pomocą Malwarebytes Anti-Malware. Jeżeli coś zostanie wykryte, przedstaw raport. dlatego dość szybko się go pozbyłem Dokasuj jego resztki z dysku: [2012-02-22 20:28:27 | 000,000,000 | ---D | C] -- C:\Program Files\Spybot - Search & Destroy[2012-02-22 20:28:27 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy Przy okazji: pożegnaj skaner online MKS, do deinstalacji. Skaner od dawna mało wiarygodny, a firma MKS już zakończyła żywot. na co wymienić ESS? na nowszą wersję? czy może na coś innego? Może być najnowsza wersja ESET Smart Security, ale jeżeli masz znów jechać na krakersie, to prędzej polecam rozważenie darmowej kombinacji. Cytuję z innego tematu przykładowe propozycje: Przykładowe propozycje darmowych układów do rozważenia:- antywirus Avast (multi-funkcyjna osłona + chmura + wtyczka WebRep do przeglądarek) + Online Armor (zapora z podstawowym HIPS). By nie krzyżować funkcji, któryś HIPS musi zostać wyłączony (albo Monitor zachowań Avast albo odpowiednik tego w Online Armor) oraz Monitor sieci w Avast. - pakiet COMODO Internet Security (antywirus, zapora, HIPS) . Odnośnik do komentarza
insane Opublikowano 24 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 24 Lutego 2012 Wykonaj jeszcze pełne skanowanie za pomocą Malwarebytes Anti-Malware. Jeżeli coś zostanie wykryte, przedstaw raport. log w załączniku Przy okazji: pożegnaj skaner online MKS, do deinstalacji. Skaner od dawna mało wiarygodny, a firma MKS już zakończyła żywot. po mks'a sięgnąłem z desperacji ale gdy zobaczyłem datę ostatniej aktualizacji wiedziałem już, że nic z tego nie będzie Może być najnowsza wersja ESET Smart Security, ale jeżeli masz znów jechać na krakersie, to prędzej polecam rozważenie darmowej kombinacji. Cytuję z innego tematu przykładowe propozycje: a może nie warto inwestować w cały pakiet? tj. wykupić samego noda32 i doinstalować jakiegoś darmowego firewalla? mbam-log-2012-02-24 (18-39-44).txt Odnośnik do komentarza
picasso Opublikowano 24 Lutego 2012 Zgłoś Udostępnij Opublikowano 24 Lutego 2012 Wyniki MBAM: adnotacje rootkit w rejestrze to niewątpliwie ślady infekcji (ale nie ZeroAccess) i do kasacji. Natomiast atomzombiesmasher.exe jest niejasny, nie wiem czy to wynik odpowiadający prawdzie, przeczuwam fałszywy alarm, ale głowy nie dam. a może nie warto inwestować w cały pakiet? tj. wykupić samego noda32 i doinstalować jakiegoś darmowego firewalla? Może być i tak, może być i wszystko za darmo (darmowe nie oznacza gorsze). Ogólnie też poczytaj sobie dział Oprogramowanie zabezpieczające (KLIK), a może i wyciągniesz z tego określone wnioski. . Odnośnik do komentarza
insane Opublikowano 25 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 25 Lutego 2012 Może być i tak, może być i wszystko za darmo (darmowe nie oznacza gorsze). Testuje właśnie Comodo Internet Security, co prawda nie powala możliwościami konfiguracji.. no ale może kwestia przyzwyczajenia Wielki dzięki za pomoc pozdrawiam Odnośnik do komentarza
picasso Opublikowano 25 Lutego 2012 Zgłoś Udostępnij Opublikowano 25 Lutego 2012 Na koniec jeszcze wykonaj aktualizacje oprogramowania (KLIK). Na Twojej liście zainstalowanych widzę m.in.: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{05ADEEC8-BD58-43D9-A9E3-1F53B0DA117A}" = Opera 10.51"{BB65C393-C76E-4F06-9B0C-2124AA8AF97B}" = Adobe Flash Player 9 ActiveX"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.1"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin"Adobe Shockwave Player" = Adobe Shockwave Player 11.6"Mozilla Firefox (3.6.17)" = Mozilla Firefox (3.6.17) Temat rozwiązany. Zamykam. . Odnośnik do komentarza
Rekomendowane odpowiedzi