kosa351 Opublikowano 24 Lutego 2012 Zgłoś Udostępnij Opublikowano 24 Lutego 2012 Witam, w załączniku logi z OTL, GMERa podczepię jutro. Komp mocno zasyfiony. Na początku zaczął pojawiać się BSOD, który powodował sterowniki do sstp wanminiport. Później infekcja - cdrom.sys. Jednak pozostało jeszcze trochę śmieci, które zapewne blokują sieć. Podczas połączenia pobierana jest adresacja z kosmosu, ręczne ustawienie też nie pomaga. Uruchomienie ręczne usług Klienta DNS i DHCP kończy się fiaskiem błąd - 1075. Myślę, że tutaj jest gdzieś problem. Pozdrawiam Extras.TxtPobieranie informacji ... OTL.TxtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 24 Lutego 2012 Zgłoś Udostępnij Opublikowano 24 Lutego 2012 Posługujesz się mocno przestarzałym OTL, ten program musi być pobierany za każdym razem od początku. Od czasu wersji, którą dysponujesz, dużo zmian .... GMER tu był konieczny. A problem poważny czyli rootkit ZeroAccess oznajmiany przez te wpisy: SRV - [2008-01-19 08:33:32 | 000,005,632 | ---- | M] (Oak Technology Inc.) [Auto | Stopped] -- C:\Windows\System32\bwsvc.dll -- (cpqrcmc) O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000002 - File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000003 - File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000004 - File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000005 - File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000006 - File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000007 - File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000008 - File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000009 - File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000010 - File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000011 - File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000012 - File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000013 - File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000014 - File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000015 - File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000016 - File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000017 - File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000018 - File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000019 - File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000020 - File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000021 - File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000022 - File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000023 - File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000024 - File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000025 - File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000026 - File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000027 - File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000028 - File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000029 - File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000030 - File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000031 - File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000032 - File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000033 - File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000034 - File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000035 - File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000036 - File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000037 - File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000038 - File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000039 - File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000040 - File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000041 - File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000042 - File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000043 - File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000044 - File not found [2012-02-21 16:16:35 | 000,000,000 | -HS- | M] () -- C:\Windows\System32\dds_trash_log.cmd Wstępnie pobierz i uruchom ComboFix. Przedstaw wynikowy raport oraz zrobione już po ComboFix nowe logi z OTL + GMER + Farbar Service Scanner. Cytat Uruchomienie ręczne usług Klienta DNS i DHCP kończy się fiaskiem błąd - 1075. Myślę, że tutaj jest gdzieś problem. Rootkit ZeroAccess to odpowiedź (przekierowany Winsock, infekcje w sterownikach systemowych i inne mocne ingerencje, włącznie ze skutkami ubocznymi typu kasacje całych usług z rejestru). Tu nie będzie prosto ... . Odnośnik do komentarza
kosa351 Opublikowano 25 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 25 Lutego 2012 W załączeniu pełny zestaw logów. ComboFix.txtPobieranie informacji ... gmer.txtPobieranie informacji ... OTL.TxtPobieranie informacji ... FSS.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 25 Lutego 2012 Zgłoś Udostępnij Opublikowano 25 Lutego 2012 Jest niedobrze. ComboFix ruszył ZeroAccess, infekcja się jednak przerzuciła i aktualnie już jest zaprawiony sterownik i8042prt.sys. GMER również pokazuje dodatkową rzecz, czyli naruszenie pliku systemowego. Poza tym, skasowane pliki sieciowe oraz z rejestru cały układ Zapory systemu. Czyszczenie odbędzie się z poziomu środowiska zewnętrznego, tu też przekieruję komendę sfc /scannow w tryb "offline", w celu reperacji zainfekowanych plików systemowych. 1. Potrzebny dostęp do środowiska WinRE (płyta instalacyjna DVD Vista) + narzędzie FRST umieszczone na pendrive. 2. Przygotuj skrypt naprawczy. Otwórz Notatnik i wklej w nim: NETSVC: regmanserv NETSVC: acmservice NETSVC: cisvc NETSVC: rsvchost NETSVC: ASMMAP NETSVC: dvd_2K NETSVC: cpqrcmc 2 cpqrcmc; C:\Windows\System32\bwsvc.dll [5632 2008-01-19] (Oak Technology Inc.) C:\Windows\System32\bwsvc.dll C:\Windows\System32\dds_trash_log.cmd Unlock: C:\Windows\$NtUninstallKB29254$ CMD: C:\Windows\system32\fsutil.exe reparsepoint delete C:\Windows\$NtUninstallKB29254$ CMD: sfc /scannow /offbootdir=c:\ /offwindir=c:\windows Plik zapisz pod nazwą fixlist.txt. Wstaw na pendrive obok narzędzia FRST. 3. Zbootuj z DVD Vista do modułu "Napraw komputer" i w linii komend uruchom zgodnie z opisem narzędzie FRST. W FRST wybierz opcję Fix. Skrypt umieszczony na pendrive zostanie przetworzony i powstanie plik fixlog.txt. 4. Restartujesz do Windows. 5. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wpisz komendę netsh winsock reset i ponownie zresetuj system. 6. Do wykonania nowe logi: OTL + GMER. Dostarcz też Fixlog.txt. . Odnośnik do komentarza
kosa351 Opublikowano 26 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 26 Lutego 2012 Logi w załączniku. Reset winsock'a zakończony niepowodzeniem: Nie można załadować następującego pomocnika DLL: wshelper.dll oraz ifmon.dll. Nie znaleziono polecenia winsock reset. Dodatkowo, co któryś restart występują problemy z poprawnym pełnym załadowaniem profilu. Fixlog.txtPobieranie informacji ... OTL.TxtPobieranie informacji ... gmer.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 26 Lutego 2012 Zgłoś Udostępnij Opublikowano 26 Lutego 2012 Komenda Winsock się nie wykonała, ponieważ rootkit jest czynny. Skrypt FRST nie przetworzył komendy sfc i sterownik nadal zainfekowany + braki. Spróbuj jeszcze raz z poziomu Windows uruchomić ComboFix, może dokończy sprawę i przerwie działanie rootkita na dobre. Po użyciu ComboFix od nowa logi z OTL + GMER. Jeżeli to się nie uda, ponowimy usuwanie z poziomu WinRE, ale w inny sposób. . Odnośnik do komentarza
kosa351 Opublikowano 26 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 26 Lutego 2012 Logi w załączniku. ComboFix.txtPobieranie informacji ... gmer.txtPobieranie informacji ... OTL.TxtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 27 Lutego 2012 Zgłoś Udostępnij Opublikowano 27 Lutego 2012 ComboFix jakoby zresetował Winsock, wyleczył i8042prt.sys oraz podstawił brakujące krytyczne sterowniki sieci: Zainfekowana kopia c:\windows\system32\drivers\i8042prt.sys została znaleziona. Problem naprawiono Plik odzyskano z - The cat found it c:\windows\system32\drivers\afd.sys - brakowało pliku Plik odzyskano z - c:\windows\winsxs\x86_microsoft-windows-winsock-core_31bf3856ad364e35_6.0.6002.22629_none_da4bc33774b91967\afd.sys.c:\windows\system32\drivers\netbt.sys - brakowało pliku Plik odzyskano z - c:\windows\winsxs\x86_microsoft-windows-netbt_31bf3856ad364e35_6.0.6001.18000_none_6064c861f7442765\netbt.sys.c:\windows\system32\drivers\tdx.sys - brakowało pliku Plik odzyskano z - c:\windows\winsxs\x86_microsoft-windows-tdi-over-tcpip_31bf3856ad364e35_6.0.6001.18000_none_ea3dc84bdc15a8b7\tdx.sys Jednakże, nie potrafił usunąć do końca katalogu ex-łącza (c:\windows\$NtUninstallKB29254$ . . . . nie udało się usunąć), oraz nadal jest coś nie tak z i8042prt.sys, wg GMER i OTL sterownik jest nadal zainfekowany. 1. Z poziomu Trybu awaryjnego Windows przeprowadź procedurę sfc /scannow, za pomocą kolejnej komendy stwórz log przefiltrowany do znaczników [sR]: KLIK. 2. Restart systemu. Do oceny: log z wynikami SFC oraz nowe logi z OTL +GMER. . Odnośnik do komentarza
kosa351 Opublikowano 27 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 27 Lutego 2012 Nowe logi. gmer.txtPobieranie informacji ... sfc.txtPobieranie informacji ... OTL.TxtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 27 Lutego 2012 Zgłoś Udostępnij Opublikowano 27 Lutego 2012 Chyba dałeś mi poprzednio logi GMER+OTL nie korespondujące do sytuacji lub coś robiłeś z i8042prt.sys ręcznie. Otóż teraz już nie widać tego naruszenia, a SFC naprawiał zupełnie inne pliki poszkodowane przez rootkita: 2012-02-27 16:00:45, Info CSI 000001e4 [sR] Repaired file \SystemRoot\WinSxS\Manifests\\[l:14{7}]"afd.sys" by copying from backup2012-02-27 16:00:45, Info CSI 000001e6 [sR] Repairing corrupted file [ml:520{260},l:62{31}]"\??\C:\Windows\System32\drivers"\[l:14{7}]"afd.sys" from store2012-02-27 16:00:45, Info CSI 000001e7 [sR] Repaired file \SystemRoot\WinSxS\Manifests\\[l:14{7}]"smb.sys" by copying from backup2012-02-27 16:00:45, Info CSI 000001e8 [sR] Repairing corrupted file [ml:520{260},l:62{31}]"\??\C:\Windows\System32\drivers"\[l:14{7}]"smb.sys" from store2012-02-27 16:00:45, Info CSI 000001e9 [sR] Repaired file \SystemRoot\WinSxS\Manifests\\[l:14{7}]"tdx.sys" by copying from backup2012-02-27 16:00:45, Info CSI 000001eb [sR] Repairing corrupted file [ml:520{260},l:62{31}]"\??\C:\Windows\System32\drivers"\[l:14{7}]"tdx.sys" from store2012-02-27 16:00:45, Info CSI 000001ec [sR] Repaired file \SystemRoot\WinSxS\Manifests\\[ml:24{12},l:18{9}]"netbt.sys" by copying from backup2012-02-27 16:00:45, Info CSI 000001ee [sR] Repairing corrupted file [ml:520{260},l:62{31}]"\??\C:\Windows\System32\drivers"\[l:18{9}]"netbt.sys" from store2012-02-27 16:00:45, Info CSI 000001ef [sR] Repaired file \SystemRoot\WinSxS\Manifests\\[l:16{8}]"dfsc.sys" by copying from backup2012-02-27 16:00:45, Info CSI 000001f0 [sR] Repairing corrupted file [ml:520{260},l:62{31}]"\??\C:\Windows\System32\drivers"\[l:16{8}]"dfsc.sys" from store W bieżących logach nie widzę już znaków aktywności ZeroAccess. Przechodzimy dalej: 1. Usunięcie rozlinkowanego folderu-resztki (w ComboFix: c:\windows\$NtUninstallKB29254$ . . . . nie udało się usunąć). W GrantPerms wklej co poniżej i klik w Unlock. C:\Windows\$NtUninstallKB29254$ Jeżeli akcja będzie pomyślna, sprawdź czy jesteś w stanie skasować przez SHIFT+DEL folder C:\Windows\$NtUninstallKB29254$. 2. Podaj nowy log z Farbar Service Scanner. . Odnośnik do komentarza
kosa351 Opublikowano 27 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 27 Lutego 2012 Katalog usunięty. Log w załączniku. FSS.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 27 Lutego 2012 Zgłoś Udostępnij Opublikowano 27 Lutego 2012 Wg Farbar Service Scanner brak już jakichkolwiek naruszeń + jest połączenie z siecią. Potwierdź to. Sprawdź także czy działa Windows Update i nie ma innych widzialnych usterek. I czynności końcowe: 1. Usuń szczątki po wtyczce WebRep Avasta. W OTL w sekcji Własne opcje skanowania / skrypt wklej: :OTL O2 - BHO: (avast! WebRep) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll File not found O3 - HKLM\..\Toolbar: (avast! WebRep) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll File not found :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\Extensions] "wrc@avast.com"=- Klik w Wykonaj skrypt. 2. Odinstaluj ComboFix (co wyczyści także foldery Przywracania systemu). Klawisz z flagą Windows + R i wklej komendę: "C:\Users\Admin\Desktop\Nowy folder\ComboFix.exe" /uninstall Po tym możesz użyć Sprzątanie w OTL. Z katalogu C:\FRST skasuj całą kwarantannę. Na razie kopię rejestru sprzed działań FRST zostaw, bo nie mam jeszcze potwierdzenia czy wszystko działa i kopia owa może być materiałem porównawczym. 3. Wykonaj skanowanie za pomocą Malwarebytes Anti-Malware. Przedstaw raport, o ile coś zostanie wykryte. . Odnośnik do komentarza
kosa351 Opublikowano 27 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 27 Lutego 2012 Mbam znalazł jedną "infekcję" Backdoor.Bot.WPM w kwarantannie Comodo. Pozostałe kroki wykonane. Odnośnik do komentarza
picasso Opublikowano 27 Lutego 2012 Zgłoś Udostępnij Opublikowano 27 Lutego 2012 Nie odpowiedziałeś na pytania: picasso napisał(a): Wg Farbar Service Scanner brak już jakichkolwiek naruszeń + jest połączenie z siecią. Potwierdź to. Sprawdź także czy działa Windows Update i nie ma innych widzialnych usterek. . Odnośnik do komentarza
kosa351 Opublikowano 27 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 27 Lutego 2012 W dniu 27.02.2012 o 18:25, picasso napisał(a): Nie odpowiedziałeś na pytania: Połączenie z siecią jest. WU również działa poprawnie. Ogólnie wygląda, że wszystko jest ok. Odnośnik do komentarza
picasso Opublikowano 27 Lutego 2012 Zgłoś Udostępnij Opublikowano 27 Lutego 2012 Jako zakończenie: 1. Prewencyjna wymiana haseł logowania w serwisach. 2. Aktualizacje oprogramowania: KLIK. Na liście zainstalowanych widoczne m.in.: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216024FF}" = Java 6 Update 24"{3248F0A8-6813-11D6-A77B-00B0D0160070}" = Java 6 Update 7"{AA59DDE4-B672-4621-A016-4C248204957A}" = Skype™ 5.5"{AC76BA86-7AD7-1045-7B44-A91000000001}" = Adobe Reader 9.1 - Polish"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin"Mozilla Firefox (3.0.19)" = Mozilla Firefox (3.0.19) . Odnośnik do komentarza
kosa351 Opublikowano 27 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 27 Lutego 2012 Aktualizacje w toku. Jeszcze mała prośba o sprawdzenie loga (wg mnie jest OK) czy przypadkiem laptop nie dostał obuchem od tamtego sprzętu w postaci jakiejś infekcji (pendrive i przenoszenie logów). Jeżeli jest czysto to temat można chyba uważać za zakończony. Dziękuje za pomoc. OTL.TxtPobieranie informacji ... Extras.TxtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 27 Lutego 2012 Zgłoś Udostępnij Opublikowano 27 Lutego 2012 Przenoszenie logów nie powinno mieć niż do rzeczy. ZeroAccess to nie jest infekcja "skacząca" po USB, nie wspominając już o tym, że bity są rozbieżne. W logach nie widać oznak infekcji, ale brakuje pliku HOSTS: Hosts file not found Otwórz Notatnik i wklej w nim: # 127.0.0.1 localhost # ::1 localhost Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz pod nazwą hosts bez żadnego rozszerzenia Plik wstaw do folderu C:\Windows\System32\drivers\etc. Temat jako ukończony zamykam. . Odnośnik do komentarza
Rekomendowane odpowiedzi