Usuwanie ZeroAccess - nie działa klawiatura i touchpad

[sattom]

Witam

 

Ojciec złapał na laptopie (Windows XP Home - legalny) Rootkit ZeroAccess.

 

Posiłkując się informacjami z forum użyłem kolejno:

- Combofix'a,

- Kaspersky TDSSKiller.

 

Po tych działaniach system wydawał się wrócić do normy - zainstalowałem Avasta Free 7 (kilka restartów - wszystko OK - jest Internet i Avast ładuje się prawidłowo), włączyłem skanowanie celem weryfikacji i ewentualnego skasowania pozostałości po infekcji.

Avast 7 znalazł zagrożenia i zgłosił konieczność pełnego skanowania systemu podczas bootowania Windows XP celem usunięcia infekcji.

 

Uruchomiłem proces i poszedłem spać (pełen skan ok 6-7 godzin).

 

Dziś rano efekt - pojawia się ekran logowania z kontami użytkowników Windows ale nic nie mogę zrobić - nie działa klawiatura i tochpad - również podczas uruchomienia laptopa w trybie awaryjnym...

 

Nie mam pojęcia jak mogę dostać się do laptopa (też mam tylko laptopa) - spróbuję pożyczyć dziś klawiaturę i myszkę pod USB - ale to nie sprzęt jest tutaj chyba problemem - do BIOS-u się dostaję, F8 też działa (uruchamia się tryb awaryjny jednak również bez możliwości sterowania).

 

Logów nie wkleję z wiadomych względów...

 

Jak przywrócić działanie klawiatury i touchpad'a - bez formatowania dysków ?

 

Przywracanie systemu zostało wyłączone przed podjęciem prób naprawy - nie wiem czy zadziała.

Mam zainstalowaną konsolę odzyskiwania systemu - Combofix o to prosił...

 

Pytanie dodatkowe:

Czy Rootkit ZeroAccess może przenieść się przez pendriva na mojego kompa - używam do zabezpieczenia swojego kompa Windows Security Essentials na Windows 7 HP 32-bit ?

Kopiowałem przez niego narzędzia gdy Rootkit zablokował dostę do netu na laptopie ojca.

Zastosowana szczepionka Panda Vaccinate do mojego laptopa - pendrive nie był zabezpieczony tym samym programem - popadam chyba w paranoję ale boję się go podłączyć teraz do swojego kompa widząc jakie problemy sprawia ten rootkit...

[Bonifacy]

Wykonaj to co Picasso aplikuje w post#2 podobnego tematu https://www.fixitpc.pl/topic/7251-spustoszenie-zeroaccess/page__pid__54585#entry54585 i czekaj na jej dalsze wytyczne.

[picasso]

Bonifacy

 

Ewentualnie punkt wspólny to ręczna podmiana i8042prt.sys. Ale system nie jest sprawdzony. Skrypt tam podany nie ma charakteru uniwersalnego i nie powinien go w ciemno używać.

 

 

 

sattom

 

[Nie mam pojęcia jak mogę dostać się do laptopa (też mam tylko laptopa) - spróbuję pożyczyć dziś klawiaturę i myszkę pod USB - ale to nie sprzęt jest tutaj chyba problemem - do BIOS-u się dostaję, F8 też działa (uruchamia się tryb awaryjny jednak również bez możliwości sterowania).

 

Logów nie wkleję z wiadomych względów...

 

Na dowolnym dostępnym komputerze pobierz i wypal płytę OTLPE. Z poziomu tej płyty zrób log z OTL na warunkach dostosowanych, tzn. w sekcji Custom Scans/Fixes wklej:

 

netsvcs
C:\Windows\*. /RP /s
C:\Windows\system32\drivers\*.* /md5

 

Klik w Scan. Przedstaw log.

 

 

Czy Rootkit ZeroAccess może przenieść się przez pendriva na mojego kompa - używam do zabezpieczenia swojego kompa Windows Security Essentials na Windows 7 HP 32-bit

 

ZeroAccess nie przenosi się taką metodą.

 

 

 

.

 

 

[sattom]

Załączam log do analizy - dziękuję Wszystkim za zainteresowanie tematem...

OTL.txt

[picasso]

Czy Ty przypadkiem już nie kombinowałeś ręcznie ze sterownikiem i8042prt.sys? Jest świeża kopia tego pliku w cache Ochrony (C:\WINDOWS\System32\dllcache\i8042prt.sys), za to nie ma głównego pliku w drivers, jednocześnie jednak OTL nie notuje by usługa była wybrakowana (co sugeruje kasację z rejestru całego klucza i8042prt) .... Natomiast infekcja ZeroAccess w formie: zainfekowany sterownik mrxsmb.sys, usługa "Oak Technology", przekierowany Winsock, łącze symboliczne rootkita C:\Windows\$NtUninstallKB53455$....

 

========== Win32 Services (SafeList) ==========
 
SRV - [2008/04/15 07:00:00 | 000,005,632 | ---- | M] (Oak Technology Inc.) [Auto] -- C:\WINDOWS\system32\dcsloader.dll -- (MASPINT)
 
========== Driver Services (SafeList) ==========
 
DRV - [2011/07/15 08:29:31 | 000,456,320 | ---- | M] () [File_System | System] -- C:\WINDOWS\system32\drivers\mrxsmb.sys -- (MRxSmb)
 
========== Standard Registry (SafeList) ==========
 
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000003 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000004 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000005 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000006 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000007 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000008 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000009 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000010 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000011 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000012 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000013 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000014 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000015 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000016 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000017 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000018 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000019 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000020 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000021 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000022 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000023 -  File not found
 
NetSvcs: MASPINT - C:\WINDOWS\system32\dcsloader.dll (Oak Technology Inc.)
 
========== Hard Links - Junction Points - Mount Points - Symbolic Links ==========
[C:\Windows\$NtUninstallKB53455$] ->  -> Unknown point type

 

 

 

1. Na dowolnym dostępnym komputerze pobierz plik mrxsmb.sys (KLIK) + przygotuj w Notatniku plik tekstowy z treścią skryptu:

 

:Files
C:\Windows\system32\fsutil.exe reparsepoint delete C:\Windows\$NtUninstallKB53455$ /C
copy /y C:\WINDOWS\System32\dllcache\i8042prt.sys C:\WINDOWS\System32\drivers\i8042prt.sys /C
 
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\i8042prt]
"Type"=dword:00000001
"Start"=dword:00000001
"Group"="Keyboard Port"
"ErrorControl"=dword:00000001
"DisplayName"="i8042 Keyboard and PS/2 Mouse Port Driver"
"ImagePath"=hex(2):"system32\DRIVERS\i8042prt.sys"
"Tag"=dword:00000004
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\i8042prt\Parameters]
"PollingIterations"=dword:00002ee0
"PollingIterationsMaximum"=dword:00002ee0
"ResendIterations"=dword:00000003
"LayerDriver JPN"="kbd101.dll"
"LayerDriver KOR"="kbd101a.dll"
 
:OTL
DRV - File not found [Kernel | On_Demand] --  -- (24030562)
SRV - [2008/04/15 07:00:00 | 000,005,632 | ---- | M] (Oak Technology Inc.) [Auto] -- C:\WINDOWS\system32\dcsloader.dll -- (MASPINT)
NetSvcs: MASPINT - C:\WINDOWS\system32\dcsloader.dll (Oak Technology Inc.)
[2012/02/26 19:55:13 | 000,000,000 | -HS- | M] () -- C:\WINDOWS\System32\dds_trash_log.cmd
 
:Commands
[resethosts]
[emptytemp]

 

Plik mrxsmb.sys + plik skryptu należy umieścić na pendrive, który będzie obecny w trakcie startu z płyty OTLPE.

 

2. Start z OTLPE i do wykonania następujące akcje:

- uruchamiasz "My computer" i ręcznie przekopiowujesz z pendrive plik mrxsmb.sys, zamieniając aktualny naruszony C:\WINDOWS\system32\drivers\mrxsmb.sys

- uruchamiasz OTL, do okna Custom Scans/Fixes przeklejasz treść skryptu zapisaną w Notatniku na pendrive i klik w Run Fix. Z tego działania powstanie log, który będziesz prezentować.

 

3. Restart do Windows. Jeżeli klawiatura i touchpad już będą działać, przejdź do wykonania kolejnych akcji w punktach 4-5:

 

4. Reset Winsock: Start > Uruchom > cmd i wpisz komendę netsh winsock reset. Zresetuj system.

 

5. Logi do oceny: OTL zrobiony na warunku dostosowanym (patrz dalej) + GMER + log z wynikami przetwarzania skryptu z punktu 2. Uruchom OTL, w sekcji Własne opcje skanowania / skrypt wklej:

 

C:\Windows\*. /RP /s

C:\Windows|$NtUninstallKB53455$;true;true;false /FP

 

Klik w Skanuj.

 

 

 

.

[sattom]

picasso - nic nie kombinowałem ręcznie ze sterownikiem i8042prt.sys - bo nie potrafię...

 

Sprzątanie (dezynfekcja) przeprowadzone zgodnie z wytycznymi....

 

Załączam logi celem weryfikacji.

 

Log z GMERa wygenerował się taki krótki dwukrotnie - na pewno nie jest to wynik skrócony, ani nie ma emulatorów napędów (bo nigdy nie było ich w systemie) - Avast też został odinstalowany...

 

Mam nadzieję, że to już ostatnia prosta do mety....

GMER.txt

Extras.Txt

OTL.Txt

Naprawa.txt

[picasso]

Skrypt wykonany. Obecność logów z działającego systemu uznaję za równoznaczną z faktem naprawy usterki klawiatury + touchpad, gdyż nic się nie wypowiadasz na ten temat. Na teraz wykończenie katalogu rootkita (już rozlinkowany komendą fsutil):

 

1. Uruchom GrantPerms, w oknie wklej:

 

C:\WINDOWS\$NtUninstallKB53455$

 

Klik w Unlock.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files

C:\WINDOWS\$NtUninstallKB53455$

 

Klik w Wykonaj skrypt.

 

2. Do oceny wystarczy tylko log z wynikami usuwania z punktu 2.

 

 

 

.

[sattom]

Przepraszam za mój brak manier picasso - oczywiście twoje wskazówki pomogły przywrócić do życia klawiaturę i touchpad....

To pierwsza tak poważna infekcja z którą walczę - stąd moje roztargnienie...

 

Zamieszczam logi....

 

Proces odblokowujący i usuwający folder z wirusem powtórzyłem trzy razy - po pierwszym czyszczeniu (i restarcie) pozostał on na miejscu...

Dopiero kolejna próba przyniosła efekt...

 

Co teraz?

1.txt

2 raz.txt

3 raz.txt

[picasso]

Czas na porządki:

 

1. Odinstaluj słabeusza Spybot - Search & Destroy. Dokasuj szczątki innych używanych programów (zakładam, że np. Avasta nie instalowałeś ponownie jeszcze, w przeciwnym wypadku poniższy skrypt go uszkodzi i trzeba usunąć linie punktujące Avast). Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O8 - Extra context menu item: Dodaj do blokowanych banerów - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\ie_banner_deny.htm File not found
 
:Files
rd /s /q "C:\Documents and Settings\All Users\Dane aplikacji\NortonInstaller" /C
rd /s /q "C:\Documents and Settings\All Users\Dane aplikacji\Norton" /C
rd /s /q "C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software" /C
rd /s /q "C:\Program Files\Avast" /C
rd /s /q C:\TDSSKiller_Quarantine /C
rd /s /q C:\WINDOWS\ERDNT /C

 

Klik w Wykonaj skrypt. Logów potwierdzających nie muszę już oglądać.

 

2. Odinstaluj ComboFix w prawidłowy sposób, co także czyści foldery Przywracania systemu. W Start > Uruchom > wklej komendę:

 

"C:\Documents and Settings\Domowy\Pulpit\ComboFix.exe" /uninstall

 

Gdy się wykona, możesz użyć Sprzątanie w OTL, które skasuje z dysku OTL wraz z jego kwarantanną. Oczywiście z Pulpitu możesz wywalić wszystkie inne używane narzędzia, nie są już potrzebne.

 

3. Wykonaj pełne skanowanie za pomocą Malwarebytes Anti-Malware. Przedstaw raport, o ile coś zostanie wykryte.

 

 

.

[sattom]

Wszystkie czynności wykonane.

 

Malwerbytes znalazł i usunął pojedyńcze zagrożenie.

 

Ponowne skanowanie nie odnalazło już kolejnych infekcji...

 

Na wszelki wypadek załączam log.

 

Mam nadzieję, że infekcja jest już zarzegnana.

 

Dziękuję za cenny czas poświęcony na pomoc innym.

Życzę jak najmniej nowych postów.

mbam-log-2012-02-28 (22-22-43).txt

[picasso]

1. MBAM dopatrzył się kopii pliku ZeroAccess w katalogu Przywracania systemu. Zresetuj ręcznie stan tych katalogów: KLIK.

 

2. Prewencyjnie wykonaj zmianę haseł logowania w serwisach.

 

 

Życzę jak najmniej nowych postów.

 

To koliduje z "biznesowym" podejściem do sprawy.

 

 

 

.