Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Rootkit.Win32.ZAccess

michal2009

Przez michal2009
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

michal2009

michal2009

Opublikowano
Opublikowano

Witam.

Nastąpiła na moim komputerze infekcja systemu trojanem o nazwie Rootkit,Win.32 ZAceess. Atak trojana został wykryty przez system antywirusowy ESET Smart Security 4 ale nie był on w stanie zapobiec infekcji. System antiwirusowy wykrywa intruza i efekty jego działania ale nie potrafi jego usunąć i pojawiają sie stale co minutę okna z ostrzeżeniami o kolejnych infekcjach lub żądanie restartu systemu. Dodatkowo zainstalowany program HitmanPro dokladnie go zlokalizował i nazwał - jest to zainfekowany no wg tego programu plik serial.sys w katalogu c:\windows\system32\drivers\.......... ale nie potrafi do zneutralizować. Nastąpiła cześciowa blokada internetu. Następuje przekierowania na stronę abnow.com Jestem laikiem... wiec prosze o pomoc w jego usunięciu. Załączam pliki z OTL, Extras i GMER. Infekcja nastąpila prawdopodobnie podczas ściągania danych z chomikuj.pl

 

Na komputerze jest system operacyjny Windows XP SP 3

 

pozdrawiam

Michal

raport Extras.Txt

raport OTL.Txt

raport gmer.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

GMER uruchomiłeś w złym środowisku, czynny emulator napędów wirtualnych. Zaś infekcja jest bardzo ciężka, toteż musi być użyte narzędzie mocniejszego kalibru:

 

1. Na początek proszę stwórz prawidłowe warunki dla pracy narzędzi, tzn. odinstaluj DAEMON Tools Lite + usuń sterownik SPTD za pomocą SPTDinst: KLIK.

 

2. Pobierz ComboFix. Program uruchom z poziomu Trybu awaryjnego Windows. Gdy aplikacja ukończy działanie i wygeneruje log:

 

3. Wykonaj nowe logi z OTL + GMER, dołącz raport z pracy ComboFix.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Zdaje się, że ComboFix zalatwił podstawowy problem. GMER już nie wykazuje aktywności rootkita, ale jest pewnego typu anomalia w Twoim systemie. Jest koszmarna ilość kopii konfiguracyjnych HKEY_LOCAL_MACHINE\SYSTEM\ControlSet00X, ponad setkę oblicza GMER. Wprawdzie system bierze pod uwagę tylko dwie kopie, czyli bieżącą i Ostatnią poprawną konfigurację, reszta ma status "Failed" i nie jest aktywna, ale takie powielenie nie wygląda zdrowo i sugeruje jakiś problem. Potem otrzymasz instrukcje "kosmetyczne" usunięcia wielokrotnych kopii "Failed". Na teraz:

 

1. Naprawa wartości NetSvcs (przy okazji od razu rekonfiguracja strony startowej IE). Otwórz Notatnik i wklej w nim treść zgodną z XP:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]
"netsvcs"=hex(7):36,00,74,00,6f,00,34,00,00,00,41,00,70,00,70,00,4d,00,67,00,\
  6d,00,74,00,00,00,41,00,75,00,64,00,69,00,6f,00,53,00,72,00,76,00,00,00,42,\
  00,72,00,6f,00,77,00,73,00,65,00,72,00,00,00,43,00,72,00,79,00,70,00,74,00,\
  53,00,76,00,63,00,00,00,44,00,4d,00,53,00,65,00,72,00,76,00,65,00,72,00,00,\
  00,44,00,48,00,43,00,50,00,00,00,45,00,52,00,53,00,76,00,63,00,00,00,45,00,\
  76,00,65,00,6e,00,74,00,53,00,79,00,73,00,74,00,65,00,6d,00,00,00,46,00,61,\
  00,73,00,74,00,55,00,73,00,65,00,72,00,53,00,77,00,69,00,74,00,63,00,68,00,\
  69,00,6e,00,67,00,43,00,6f,00,6d,00,70,00,61,00,74,00,69,00,62,00,69,00,6c,\
  00,69,00,74,00,79,00,00,00,48,00,69,00,64,00,53,00,65,00,72,00,76,00,00,00,\
  49,00,61,00,73,00,00,00,49,00,70,00,72,00,69,00,70,00,00,00,49,00,72,00,6d,\
  00,6f,00,6e,00,00,00,4c,00,61,00,6e,00,6d,00,61,00,6e,00,53,00,65,00,72,00,\
  76,00,65,00,72,00,00,00,4c,00,61,00,6e,00,6d,00,61,00,6e,00,57,00,6f,00,72,\
  00,6b,00,73,00,74,00,61,00,74,00,69,00,6f,00,6e,00,00,00,4d,00,65,00,73,00,\
  73,00,65,00,6e,00,67,00,65,00,72,00,00,00,4e,00,65,00,74,00,6d,00,61,00,6e,\
  00,00,00,4e,00,6c,00,61,00,00,00,4e,00,74,00,6d,00,73,00,73,00,76,00,63,00,\
  00,00,4e,00,57,00,43,00,57,00,6f,00,72,00,6b,00,73,00,74,00,61,00,74,00,69,\
  00,6f,00,6e,00,00,00,4e,00,77,00,73,00,61,00,70,00,61,00,67,00,65,00,6e,00,\
  74,00,00,00,52,00,61,00,73,00,61,00,75,00,74,00,6f,00,00,00,52,00,61,00,73,\
  00,6d,00,61,00,6e,00,00,00,52,00,65,00,6d,00,6f,00,74,00,65,00,61,00,63,00,\
  63,00,65,00,73,00,73,00,00,00,53,00,63,00,68,00,65,00,64,00,75,00,6c,00,65,\
  00,00,00,53,00,65,00,63,00,6c,00,6f,00,67,00,6f,00,6e,00,00,00,53,00,45,00,\
  4e,00,53,00,00,00,53,00,68,00,61,00,72,00,65,00,64,00,61,00,63,00,63,00,65,\
  00,73,00,73,00,00,00,53,00,52,00,53,00,65,00,72,00,76,00,69,00,63,00,65,00,\
  00,00,54,00,61,00,70,00,69,00,73,00,72,00,76,00,00,00,54,00,68,00,65,00,6d,\
  00,65,00,73,00,00,00,54,00,72,00,6b,00,57,00,6b,00,73,00,00,00,57,00,33,00,\
  32,00,54,00,69,00,6d,00,65,00,00,00,57,00,5a,00,43,00,53,00,56,00,43,00,00,\
  00,57,00,6d,00,69,00,00,00,57,00,6d,00,64,00,6d,00,50,00,6d,00,53,00,70,00,\
  00,00,77,00,69,00,6e,00,6d,00,67,00,6d,00,74,00,00,00,77,00,73,00,63,00,73,\
  00,76,00,63,00,00,00,78,00,6d,00,6c,00,70,00,72,00,6f,00,76,00,00,00,6e,00,\
  61,00,70,00,61,00,67,00,65,00,6e,00,74,00,00,00,68,00,6b,00,6d,00,73,00,76,\
  00,63,00,00,00,42,00,49,00,54,00,53,00,00,00,77,00,75,00,61,00,75,00,73,00,\
  65,00,72,00,76,00,00,00,53,00,68,00,65,00,6c,00,6c,00,48,00,57,00,44,00,65,\
  00,74,00,65,00,63,00,74,00,69,00,6f,00,6e,00,00,00,68,00,65,00,6c,00,70,00,\
  73,00,76,00,63,00,00,00,57,00,6d,00,64,00,6d,00,50,00,6d,00,53,00,4e,00,00,\
  00,00,00
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik

 

2. Redukcja śmietnika:

  • Poprzez Panel sterowania odinstaluj aplikacje sponsoringowe: DAEMON Tools Toolbar, DVDVideoSoftTB Toolbar, Softonic-Polska Toolbar, SweetPacks Toolbar for Internet Explorer 4.4, pdfforge Toolbar v4.3, Winamp Toolbar.
  • Powtórz deinstalację w menedżerze rozszerzeń Firefox, tylko są różnice w stosunku do w/w procesu: nie wszystkie z listy obecne, pdfforge to podwójny obiekt (Widgi Toolbar Platform + pdfforge Toolbar), do usunięcia dodatkowe Conduit Engine i Plasmoo Search Engine.
  • Również możesz zlikwidować zbędne Akamai NetSession Interface + Download Updater (AOL LLC), a ten Przyspiesz Komputer to dziwne myśli mi nasuwa.

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL


[2012-02-29 03:16:56 | 000,000,000 | -HSD | C] -- C:\Documents and Settings\Tomasz\Ustawienia lokalne\Dane aplikacji\da885dff


[2011-07-02 01:44:46 | 000,016,846 | -HS- | C] () -- C:\Documents and Settings\Tomasz\Ustawienia lokalne\Dane aplikacji\3871t60rj647b6m7huw3d06o135yd7ul7334evs7lm


[2011-07-02 01:44:46 | 000,016,846 | -HS- | C] () -- C:\Documents and Settings\All Users\Dane aplikacji\3871t60rj647b6m7huw3d06o135yd7ul7334evs7lm


[2012-01-19 22:44:31 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Tomasz\Dane aplikacji\OpenCandy


O3 - HKU\S-1-5-21-57989841-515967899-725345543-1003\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.


O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} "http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab" (Reg Error: Key error.)


SRV - File not found [Auto | Stopped] --  -- (L8042mou)


SRV - File not found [On_Demand | Stopped] --  -- (gupdatem)


SRV - File not found [Auto | Stopped] --  -- (gupdate)


DRV - File not found [Kernel | On_Demand | Running] --  -- (catchme)


 


:Commands


[emptytemp]

 

Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami usuwania.

 

4. Wygeneruj nowe logi: OTL z opcji Skanuj (już bez Extras) + AdwCleaner z opcji Search. Dołącz też log z wynikami usuwania pozyskany w punkcie 3.

 

 

 

 

.

Odnośnik do komentarza
michal2009

michal2009

Opublikowano
  • Autor
Opublikowano

Witam. Dziękuje za pomoc.

Punkt 1 został wykonany bez problemów.

Punkt 2 - został wykonany wszystkie programy wymienione zostały usunięte z systemu oraz firefoxa.

 

Punkt 3 - Punkt ten się NIE WYKONAŁ !!! Po puszczeniu skryptu system sie nie zrestartował ani żaden log się nie wykonał. System jakby zawisł. Po 5 godzinach (w związku z wyjazdem służbowym) wyłączyłem komputer. Nie wiem czy to błąd ?

 

Po powrocie komputer zadziałał i normalnie fukcjonował. Zainstalowałem usuniętego do combofixa antywirusa ESET. Na starcie pojawia się tylko okno DAEMON Tools Lite - Initalization error 2 - This program requires least Windows 2000 with SPTD 1,53 or higher kernel debugger must br deactiveted. Ale te okno można wyłączyć i nic się nie dzieje.

 

Komputer działał jeden dzien i po wirusie ani śladu. Przy następnym włączeniu następnego dnia system włączył się w ten sposób iż pojawia się w/w okno, które można wyłączyć ale potem pojawia się klepsydra i system coś wykonuje i na tym sie jakby zawiesza. Te zawieszanie sie nie ma moim zdaniem nic wspolnego z tym w/w oknem. Myszka chodzi ale nic wiecej sie nie dzieje. NIe dziala też ctrl+alt+del wiec nie mozna podejrzeć co się włącza. Raz mi sie udało podejrzeć to użycie procesora było 0% a jednym wiekszym obciązeniem był program svchost.exe. W trybie awaryjnym komputer pracuje. W trym trybie wygenerowałem raport . Coś schrzaniłem ? :(

 

pozdrawiam

 

Michal

Extras.Txt

OTL.Txt

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Nie podałeś mi wszystkich logów, gdzie jest AdwCleaner z opcji Search.

 

 

Po powrocie komputer zadziałał i normalnie fukcjonował. Zainstalowałem usuniętego do combofixa antywirusa ESET. Na starcie pojawia się tylko okno DAEMON Tools Lite - Initalization error 2 - This program requires least Windows 2000 with SPTD 1,53 or higher kernel debugger must br deactiveted. Ale te okno można wyłączyć i nic się nie dzieje.

 

Przy następnym włączeniu następnego dnia system włączył się w ten sposób iż pojawia się w/w okno, które można wyłączyć ale potem pojawia się klepsydra i system coś wykonuje i na tym sie jakby zawiesza. Te zawieszanie sie nie ma moim zdaniem nic wspolnego z tym w/w oknem.

 

A moim zdaniem ma to związek ścisły, na forum nawet był temat zwisów startu przez DAEMON Tools połowicznie poszkodowany, bo też i tu mamy taką sytuację. Na samym początku podawałam instrukcje o ustalonej kolejności (kolejność obowiązkowa, nie na odwrót): "tzn. odinstaluj DAEMON Tools Lite + usuń sterownik SPTD za pomocą SPTDinst". Z tego co teraz opowiadasz wygląda, że wykonałeś tylko połowę zadania, czyli deinstalację SPTD bez usuwania aplikacji jako takiej. Jeżeli nie odinstalujesz DAEMON Tools, ale usuniesz jego sterownik SPTD, program przestaje działać i nawet nie da się odinstalować. W Twoim logu to widać, wesolutko sobie siedzi wpis startowy programu i próbuje uruchamiać aplikację, która nie zastartuje (brak komponentu SPTD):

 

O4 - HKU\S-1-5-21-57989841-515967899-725345543-1003..\Run: [DAEMON Tools Lite] C:\Program Files\DAEMON Tools Lite\daemon.exe (DT Soft Ltd)

 

Do wyboru: albo przywracasz sterownik SPTD za pomocą narzędzia SPTDinst, tym razem wybierając w nim opcję instalacji + restart (to przywróci funkcjonowanie DAEMON Tools), albo wyłączasz wpis startowy tego poszkodowanego knota via msconfig (aplikacja jednak nie ożyje, dopóki nie zainstalujesz mu SPTD).

 

 

 

.

Odnośnik do komentarza
michal2009

michal2009

Opublikowano
  • Autor
Opublikowano

Witam. Komputer jednak ożył po przejściu przez tryb awaryjny. Ja wtedy dokladnie wykonałem instrukcję tj. najpierw odinstalowałem DAEMON Tools Lite za pomocą PANEL STEROWANIA - USUN PROGRAMY (z listy program zniknął..) a potem usunąłem sterownik SPTD......... na komputerach to ja się już raczej nie znam... nie nadążam...ale jestem inżynierem ... :) Być może nie usunął się do końca ..... więc zainstaluje z powrotem SPTD. Załączam brakujący log z AdwCleaner. Pozdrawiam Michal

AdwCleanerR1.txt

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano (edytowane)

Te logi z OTL i AdwClweaner tak jakby nieco rozbieżne w detalach ... Kolejne operacje do wykonania:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
[2012-02-29 03:16:56 | 000,000,000 | -HSD | C] -- C:\Documents and Settings\Tomasz\Ustawienia lokalne\Dane aplikacji\da885dff
[2011-07-02 01:44:46 | 000,016,846 | -HS- | C] () -- C:\Documents and Settings\Tomasz\Ustawienia lokalne\Dane aplikacji\3871t60rj647b6m7huw3d06o135yd7ul7334evs7lm
[2011-07-02 01:44:46 | 000,016,846 | -HS- | C] () -- C:\Documents and Settings\All Users\Dane aplikacji\3871t60rj647b6m7huw3d06o135yd7ul7334evs7lm
O3 - HKU\S-1-5-21-57989841-515967899-725345543-1003\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
SRV - File not found [Auto | Stopped] --  -- (L8042mou)
SRV - File not found [On_Demand | Stopped] --  -- (gupdatem)
SRV - File not found [Auto | Stopped] --  -- (gupdate)
O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} "http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab" (Reg Error: Key error.)

 

Klik w Wykonaj skrypt.

 

2. Uruchom AdwCleaner z opcji Delete.

 

3. Przedstaw nowe logi z OTL z opcji Skanuj + AdwCleaner z opcji Search.

 

 

 

.

Edytowane przez picasso
17.04.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...