Pogorzelisko po rootkit ZeroAccess

[picasso]

Skrypt wykonany, jednak restart był

 

Restart nie był planowany komendą. Restart nastąpił, ponieważ katalog stawia opór i OTL go przesuwa na restart ("Folder move failed. C:\WINDOWS\$NtUninstallKB22610$ scheduled to be moved on reboot."). To się oczywiście nie stanie. Katalog nie chce się usunąć ponieważ nadal jest problem z uprawnieniami. Również te ustawienia proxy kont serwisowych stoją jak przyklejone.

 

Na razie proxy zostawiam, wykończmy ten katalog. Powtarzaj do skutku operację w GrantPerms. Po operacji ręcznie podejmij się próby usunięcia katalogu C:\WINDOWS\$NtUninstallKB22610$. Gdy będzie zwracać "Odmowę dostępu" = uprawnienia nadal są złe.

 

 

Po restarcie - ładuje się normalnie pulpit, programy w tray, ale na dostep do dyskow (Moj komputer) trzeba poczekac jeszcze jakies 2 minuty. Potem jest OK

 

1. Sprawdź podstawową opcję: Opcje folderów > Widok > odznacz Automatycznie wyszukuj foldery sieciowe i drukarki..

 

2. Jeżeli powyższe nie przyniesie rezultatu, to może problem stanowi usługa Hewlett-Packart (HP CUE Discovery Service). Dla porównania temat: KLIK.

 

 

Widzi sieci WiFi, loguje sie do AP, jednak brak WWW

 

Możemy mieć problem .... Na forum wystąpiły dwa przypadki na XP, gdzie to po wyleczeniu ZeroAccess padł dostęp do www, na dobre. Nie pomogło nic (m.in. brutalne przeładowanie całego stosu TCP/IP) i finał to reinstalacja Windows. Wstępnie:

 

1. Start > Uruchom > devmgmt.msc i w menu Widok włącz pokazywanie ukrytych urządzeń, co ujawni listę Sterowników niezgodnych z Plug and Play. Przypatrz się czy nie ma wykrzykników / pytajników. Jeżeli znajdziesz takie obiekty, z prawokliku odinstaluj i zresetuj system.

 

2. Wykonaj ręczne kroki z KB811259. Chodzi o "Windows XP without Service Pack 2 instructions", mimo że mamy tu XP SP3 (komenda netsh winsock reset była już tu stosowana).

 

 

 

.

[Leel00]

$NtUninstallKB22610$ usunięty

 

Ładowanie windows nadal z oporami. Napędy pojawiają się równocześnie z ikonami połączenia sieciowego w trayu.

 

Reinstalacja "wykrzykników" nie przyniosła rezultatów. Owszem zniknęły, ale dostępu do WiFi nadal brak. Procedura Windows nie przyniosła rezultatu

Podobnie ma się sprawa z połączeniem kablowym. Przy adresie IP, Masce i Bramie brak jakichkolwiek cyferek. Zwyczajnie puste mejsca

[Leel00]

Co co TCPIP. Udało mi się przywrócić protokół do życia za pomocą tego http://forums.majorgeeks.com/showpost.php?p=1696640&postcount=19

[picasso]

Procedura Windows nie przyniosła rezultatu

 

Ale robiłeś z KB811259 też instalację z Nettcpip.inf?

 

 

Co co TCPIP. Udało mi się przywrócić protokół do życia za pomocą tego http://forums.majorg...40&postcount=19

 

Nawiasem mówiąc, skoro już sam się porządziłeś, to raz, że słabo tu na forum szukałeś , dwa, że tę metodę i tak miałam dać jako ostateczność (przykład z forum: KLIK). Ale są przypadki na forum, że nawet to nie pomaga na ZeroAccess (KLIK).

 

 

 

Na temat pozostałego proxy:

 

IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:51414
 
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:51414

 

Te wpisy mimo usuwania (był import do rejestru oraz skrypt do OTL) wracają.

 

Start > Uruchom > regedit i w kluczach:

 

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings

HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings

 

Sprawdź co się dzieje przy ręcznym usuwaniu wartości ProxyEnable + ProxyServer oraz co się dzieje po restarcie, czy wpisy wracają.

 

 

 

.

[Leel00]

Nettcpip.inf też.

 

Sory, ze tak wyszedłem przed orkiestre, ale zadziałało i przyznam, ze tu na forum nie szukałem. Jakoś łatwiej było stworzyć zapytanie po angielskiemu...

 

Co do obu kluczy - po restarcie nie wróciły

 

 

A jednak - wróciłw w obu.

Co ciekawe pojawiają się nie w przypadku np. odswierzenia strony www, ale przy próbie aktualizacji programu antywirusowego

Edytowane 1 Marca 2012 przez Leel00

[picasso]

To teraz możemy przejść do porządków:

 

1. Przez SHIFT+DEL skasuj z dysku te foldery / pliki po używanych narzędziach:

 

[2012-02-28 06:23:59 | 000,000,000 | ---D | C] -- C:\avast! sandbox
[2012-02-27 23:57:34 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Piotr\Dane aplikacji\FixZeroAccess
[2012-02-27 22:43:35 | 000,000,000 | ---D | C] -- C:\Kaspersky Rescue Disk 10.0
[2012-02-27 21:29:27 | 000,335,504 | ---- | C] (BitDefender S.R.L.) -- C:\WINDOWS\System32\drivers\TrufosAlt.sys
[2012-02-27 21:17:50 | 000,123,712 | ---- | C] (ESET) -- C:\er.exe
[2012-02-27 19:57:07 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\NortonInstaller
[2012-02-27 07:04:04 | 000,000,000 | ---D | C] -- C:\Program Files\AVAST Software
[2012-02-27 07:04:04 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software
[2012-02-26 22:52:47 | 000,000,000 | ---D | C] -- C:\WINDOWS\ERDNT

 

I usuń sterownik BitDefender przez Start > Uruchom > cmd i komendę sc delete TrufosAlt

 

2. Odinstaluj w prawidłowy sposób ComboFix (co także czyści foldery Przywracania systemu). Start > Uruchom > wklej komendę:

 

D:\uuuaaaddd222.exe /uninstall

 

(Pierwszy prezentowany log z ComboFix pokazywał ComboFix.exe pod zmienioną nazwą uuuaaaddd222.exe)

 

3. Zastosuj Sprzątanie w OTL, które samoczynnie skasuje OTL wraz z kwarantanną.

 

4. Wykonaj skanowanie za pomocą Malwarebytes Anti-Malware. Przedstaw wynikowy log, o ile coś zostanie znalezione.

 

 

 

 

.

[Leel00]

Sprzątnięte, teraz się skamuje.

Jeszcze jedna kewstia: co z tym nieszczesnym proxy

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings

HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings

Wraca jak bumerang

[picasso]

Nie zauważyłam edycji:

 

A jednak - wróciłw w obu.

Co ciekawe pojawiają się nie w przypadku np. odswierzenia strony www, ale przy próbie aktualizacji programu antywirusowego

 

Aktualizacja programu antywirusowego sugerowałaby, że proxy pochodzi od AV. Z drugiej strony, to proxy tu usuwałam od razu, ponieważ ono występuje w kontekście infekcji, przykłady: KLIK / KLIK. Ślady podobnych działań tu były w systemie, usuwałam przecież to:

 

O20 - HKU\.DEFAULT Winlogon: Shell - (C:\Program Files\Windows NT\C5A69.exe) -  File not found
O20 - HKU\S-1-5-18 Winlogon: Shell - (C:\Program Files\Windows NT\C5A69.exe) -  File not found

 

Na początek upewnij się, że to nie są na pewno opcje AV zdefiniowane w jego ustawieniach połączeń / aktualizacji, tzn. nie zostały przejęte. Następnie: poczekamy na skan Malwarebytes.

 

 

 

.

[Leel00]

Skan malwarebytes http://wklej.org/id/699684/ jeden plik z rootkitem 0

 

Co do AV i proxy: po przestawieniu w AV "połącz bezpośrednio" jest OK. Proxy sie nie pojawia. Przy ustawieniu "używaj ustawień IE" wyrzuca błąd połączenia z serwerem aktualizacji, a w rejestrze zjawia się wspomniane proxy

[picasso]

Spodziewałam się tu jeszcze wyników od ZeroAccess. Oczywiście znalezisko do usunięcia.

 

 

Przy ustawieniu "używaj ustawień IE" wyrzuca błąd połączenia z serwerem aktualizacji, a w rejestrze zjawia się wspomniane proxy

 

Wykonaj weryfikację / reset ustawień proxy Internet Explorer. Start > Uruchom > inetcpl.cpl, wejdź w kartę Połączenia > Ustawienia sieci LAN > sprawdź co tam jest.

 

 

 

.

[Leel00]

Wszystko odptaszkowane, pola wyszarzone

[picasso]

Wypróbuj MiniToolBox by Farbar. Zaznacz w nim "Reset IE Proxy Settings", przy okazji i "Flush DNS". Zresetuj system. Sprawdź czy antywirus na ustawieniu "używaj ustawień IE" nadal generuje to proxy.

 

 

[Leel00]

Zrobione. Minitoolbox odpalony

Proxy generowane nadal przez AV przy ustawieniach IE . Natomiast sam IE łączy się z siecią bez problemu (windows update)

[picasso]

Mam pytanie: czy to "używaj ustawień IE" nie ma aby dodatkowej konfiguracji w antywirusie? Jeśli nic tam takiego nie ma, to wykonaj kopię rejestru za pomocą RegBack, z kopii wyekstraktuj plik SOFTWARE + katalog Users, wszystko zapakuj do ZIP, shostuj gdzieś i prześlij do analizy. Sprawdzenie tego nie pójdzie mi szybko. Na pewno nie dam rady dziś tego przetworzyć.

 

 

 

.

[Leel00]

Przy opcju Uzywaj IE nie ma dodatkowych ustawień.

Kopia zrobiona i wysłana. Jednak link do kopii pozwole sobie wysłać na PW.

[picasso]

Pośpiesznie pisałam, doślij więcej fragmentów. Zabrakło mi jeszcze plików: DEFAULT (montowany jako HKEY_USERS\.DEFAULT) oraz kont serwisowych (zaznacz w RegBack opcję "Other available hives"). By rozróżnić który NTUSER.DAT od którego konta, także plik REGRES.INI.

[Leel00]

Ok. Juz sie robi. Jeszcze jedno. Jak groźny jest ten problem z proxy?

[picasso]

Jak groźny jest ten problem z proxy?

 

Trudno mi to stwierdzić. To wygląda powierzchownie, ale coś jest nie w porządku, że antywirus przestawia proxy na numery trojana. Proponuję jeszcze: reinstalację antywirusa + sprawdzian po czy nadal przestawia proxy odwołanie do ustawień IE. Wątpię czy to coś da, ale upewnijmy się, że antywirus sam w sobie nie jest problemem ...

 

 

 

.

 

 

[Leel00]

OK Przesylam link na PW (jakos nie pragne, by cały rejestr był łatwy do ściągnięcia dla każdego). Co do AV - odezwę się nieco później.

[picasso]

Póki co, nic mi się nie nasuwa w rejestrze, choć będę sprawdzać jeszcze raz. Czy przeprowadziłeś już test z reinstalacją antywirusa?

[Leel00]

Póki co, nic mi się nie nasuwa w rejestrze, choć będę sprawdzać jeszcze raz. Czy przeprowadziłeś już test z reinstalacją antywirusa?

Witam serdecznie.

 

Dzieki za zainteresowanie Co do AV to nwet odinstalowalem i zminiłem na inny (Comodo, Avast). Wydaje mi się, ze problem z proxy nie jest zależny od programu AV, ale od kazdego programu, ktory laczy się z netem i chce do teho wykorzystać "profl" IE. Szukałem w ustawieniach, ale nic ciekawego nie znalazłem.

[picasso]

Sprawdź co się stanie, jeżeli zdeaktywujesz buforowanie skryptów auto-proxy. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings]
"EnableAutoProxyResultCache"=dword:00000000

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik

 

Zresetuj system i przeprowadź próbę z dowolną aplikacją prowadzącą do efektu odtwarzania proxy w rejestrze.

 

 

 

 

.

[Leel00]

Wygląda na to, że podziałało.

Dziękuję serdecznie za pomoc i poświęcony czas.

Pozdrawiam

Leel00

 

ps. Temat chyba do zamknięcia.

[picasso]

Na zakończenie:

 

1. W związku ze zmianami konfiguracyjnymi już po odinstalowaniu ComboFix wyczyść ponownie foldery Przywracania systemu, tym razem ręcznie: KLIK.

 

2. Zaktualizuj aplikacje: KLIK. W ostatnim OTL Extras widziałam wersje:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{AC76BA86-7AD7-1045-7B44-A81200000003}" = Adobe Reader 8 - Polish
"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.2
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Mozilla Firefox (3.6.26)" = Mozilla Firefox (3.6.26)

 

3. Prewencyjnie zmień hasła logowania w serwisach

 

 

Temat rozwiązany. Zamykam.

 

 

.