Unieruchomiony komputer - BSOD, ZeroAccess

[adekx]

Witam,

 

najprawdopodbniej padłem ofiarą ZeroAccess - system nie rusza nawet w awaryjnym, tylko pod Recovery Disc + FRST i OTLPE. Dodatkowa informacja - po próbie normalnego uruchomienia komunikat:

 

STOP: c0000135 {Unable to Locate Component}

This application has failed to start because consrv was not found. Re-installing the application may fix this problem.

 

Vista x64, sprzętowo wszystko działa - pamięci i dyski sprawdzone. Dziękuje z góry za pomoc.

FRST.txt

OTL.Txt

[Landuss]

ZeroAccess tutaj na pewno jest co widać w logu a BSOD jest spowodowany prawdopodobnie nieprawidłowym usunięciem obiektu rootkita consrv.dll i być może w rejestrze jest odnośnik do obiektu, którego już nie ma.

 

Wykonaj log z OTLPE na dodatkowym warunku:

 

Wszystkie opcje przestaw na Żadne + Brak natomiast w oknie Własne opcje skanowania/Skrypt wklej:

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s

 

Kliknij w Skanuj i zaprezentuj ten log.

[adekx]

tak wygląda obecny log:

 

OTL logfile created on: 3/3/2012 10:28:35 AM - Run

OTLPE by OldTimer - Version 3.1.48.0 Folder = X:\Programs\OTLPE

64bit-Windows Vista Ultimate Service Pack 2 (Version = 6.0.6002) - Type = System

Internet Explorer (Version = 9.0.8112.16421)

Locale: 00000809 | Country: United Kingdom | Language: ENG | Date Format: dd/MM/yyyy

 

3.00 Gb Total Physical Memory | 3.00 Gb Available Physical Memory | 87.00% Memory free

3.00 Gb Paging File | 3.00 Gb Available in Paging File | 97.00% Paging File free

Paging file location(s): [binary data]

 

%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)

Drive C: | 97.66 Gb Total Space | 12.63 Gb Free Space | 12.93% Space Free | Partition Type: NTFS

Drive D: | 931.28 Gb Total Space | 2.70 Gb Free Space | 0.29% Space Free | Partition Type: NTFS

Drive E: | 931.51 Gb Total Space | 49.36 Gb Free Space | 5.30% Space Free | Partition Type: NTFS

Drive F: | 195.31 Gb Total Space | 5.00 Gb Free Space | 2.56% Space Free | Partition Type: NTFS

Drive G: | 638.54 Gb Total Space | 72.79 Gb Free Space | 11.40% Space Free | Partition Type: NTFS

Drive H: | 14.92 Gb Total Space | 14.83 Gb Free Space | 99.37% Space Free | Partition Type: FAT32

Drive X: | 284.12 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS

 

Computer Name: REATOGO | User Name: SYSTEM

Boot Mode: Normal | Scan Mode: All users | Include 64bit Scans

Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days

Using ControlSet: ControlSet006

 

 

========== Custom Scans ==========

 

 

< HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s >

"Debug" =

"" = mnmsrvc

"Kmode" = \SystemRoot\System32\win32k.sys

"Optional" = Posix [binary data]

"Posix" = %SystemRoot%\system32\psxss.exe

"Required" = DebugWindows [binary data]

"Windows" = %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,20480,768 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=consrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16

 

========== Alternate Data Streams ==========

 

@Alternate Data Stream - 177 bytes -> C:\ProgramData\TEMP:1AAB2E68

< End of report >

[Landuss]

Z poziomu OTLPE uruchom edytor rejestru i następnie wchodzisz do klucza:

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems

 

Prawoklikiem dajesz na wartość Windows i Modyfikuj poniższy ciąg zamieniając we wskazanym przeze mnie miejscu "consrv" na "winsrv" (uważaj abyś się nie pomylił):

 

"Windows" = %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,20480,768 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=consrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16

 

"Windows" = %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,20480,768 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16

 

Zapisujesz zmiany i restartujesz system. Jesli system uruchomi się poprawnie uruchamiasz na nim narzędzie ComboFix i prezentujesz z niego log oraz wykonujesz nowe raporty z OTL.

[adekx]

Nie wiem jak to się dzieje, ale po otwarciu rejestru wszystkie wartości są takie, jakie powinny być. Dokładnie sprawdziłem i nie było "consrv", tylko "winsrv". Nawet dla pewności skopiowałem ten ciąg. System dalej nie rusza.

 

Może nie do końca to rozumiem, ale związku z tym mam wątpliwość - do którego rejestru właściwie się dostałem, skoro oprócz tego niedziałającego mam jeszcze dwa systemy. Problem mam z systemem na partycji D. Jakiego systemu ja w tym momencie uruchamiam rejestr? Czy cała operacja nie odbywa się teraz na "Disc 0" i sprawnej partycji C? Może odłączyć pozostałe dyski? Czy to ma jakieś znaczenie?

 

Sorry za zamieszanie - już wszystko ok. Start > Run > regedit nie wystarczy, bo mamy wtedy do czynienia z jakimś chyba "defaultowym" rejestrem tego Windowsa OTLPE. Trzeba kliknąć na remote(RunScanner) i odnaleźć na odpowiednim dysku i odpowiedniej partycji z katalogiem Win właściwy regedit.exe. I ten rejestr faktycznie miał "consrv" w wymienionym ciągu. To taka informacja dla osób, które miałaby kłopot. Wszystko działa, system się uruchamia, zaraz robię logi.

 

Oto logi z uruchamiającego się już systemu:

 

Czy może ktoś jeszcze ocenić te logi, bo nie wiem czy już wszystko jest ok. Komputer narazie chodzi sprawnie, nie restartowałem go jeszcze od czasu sprawdzenia ComboFixem i OTL.

[picasso]

adekx proszę zwrócić się do zasad działu co my tu sądzimy o "podbijaniu". Posty się Edytuje a nie dopisuje nowe, jeżeli nikt jeszcze nie odpisał. Wszystko łączę. Na temat wcześniejszych działań:

 

 

Po pierwsze: log z FRST był nie z tego systemu co należy:

 

Running from I:\
Windows 7 Ultimate  Service Pack 1 (X64) OS Language: English(US) 

 

Po drugie:

 

Start > Run > regedit nie wystarczy, bo mamy wtedy do czynienia z jakimś chyba "defaultowym" rejestrem tego Windowsa OTLPE. Trzeba kliknąć na remote(RunScanner) i odnaleźć na odpowiednim dysku i odpowiedniej partycji z katalogiem Win właściwy regedit.exe

 

Landuss Cię nie poinstruował dostatecznie. Plik regedit nie ma tu nic do rzeczy. Tu chodzi o podmontowanie gałęzi rejestru, rejestr martwego systemu nie jest montowany w OTLPE samoistnie (to się dzieje tylko podczas uruchomienia OTL lub regedit > z menu File opcja Load Hive i ręcznie wskazać plik SYSTEM do montowania).

 

Po trzecie: zestaw logów niekompletny, usuwam wadliwe załączniki. Ten raport z ComboFix jest nieprawidłowy, przecież to ledwie początek pliku. Log z OTL jest niepełny, brakuje Extras (opcja "Rejestr - skan dodatkowy" nie została ustawiona na "Użyj filtrowania"). Również proszę o log z Farbar Service Scanner.

 

 

.

[adekx]

Oto logi. Niestety mam dziwny problem z ComboFix. Otóż skanuje normalnie, potem następuje restart, program się uruchamia, otwiera się okienko z komunikatem, że trwa przygotowywanie wyniku skanu. Po kilku minutach okienko samo się zamyka. Log zapisuje się w C:\ComboFix, ale w wersji niepełnej. Próbowałem 3 razy i to samo

ComboFix.txt

FSS.txt

OTL.Txt

[picasso]

Konsekwentnie podajesz mi wybrakowany OTL, brak drugiego pliku Extras. Przy okazji, pobrałeś narzędzie ze złego serwisu:

 

[2012/02/29 21:50:25 | 000,000,000 | ---D | C] -- C:\ComboFix_www.INSTALKI.pl_

 

To nie jest oryginalny link gdzie siedzi narzędzie. Serwis Instalki ani nie ma autoryzacji do hostowania kopii, ani ich kopia nie musi spełniać warunków bycia najnowszą. Już tu na forum były przypadki, że nadziano się na wygasłą nienajnowszą kopię narzędzia, podczas gdy oryginalny link serwował narzędzie w najnowszej wersji. Jedyne autoryzowane linki gwarantujące poprawną kopię to te wyliczone w przyklejonym temacie, do którego link podawał Landuss.

 

 

Log zapisuje się w C:\ComboFix, ale w wersji niepełnej. Próbowałem 3 razy i to samo

 

Na pewno mówimy o pliku C:\ComboFix.txt a nie folderze C:\ComboFix? Ten fragment ComboFix trudno oceniać, ale zachowanie narzędzia sugeruje przeszkodę w postaci infekcji + robota z ZeroAccess definitywnie nieukończona. Dostarczony tu OTL wskazuje, że infekcja jest jak najbardziej czynna. Załadowany moduł i przekierowany Winsock + usługa infekcji "Oak Technology" + plik dds_trash_log.cmd:

 

SRV:64bit: - [2008/01/21 03:49:28 | 000,006,656 | ---- | M] (Oak Technology Inc.) [Auto | Running] -- C:\Windows\SysNative\sbhooksvc.dll -- (DLARTL_M)
 
========== Modules (No Company Name) ==========
 
MOD - [2009/04/10 22:28:24 | 000,223,232 | ---- | M] () -- \\.\globalroot\systemroot\syswow64\mswsock.dll
 
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000009 - mmswsock.dll File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000010 - mmswsock.dll File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000011 - mmswsock.dll File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000012 - mmswsock.dll File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000013 - mmswsock.dll File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000014 - mmswsock.dll File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000015 - mmswsock.dll File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000016 - mmswsock.dll File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000017 - mmswsock.dll File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000018 - mmswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000009 - %SystemRoot%\System32\winrnr.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000010 - %SystemRoot%\System32\winrnr.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000011 - %SystemRoot%\System32\winrnr.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000012 - %SystemRoot%\System32\winrnr.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000013 - %SystemRoot%\System32\winrnr.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000014 - %SystemRoot%\System32\winrnr.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000015 - %SystemRoot%\System32\winrnr.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000016 - %SystemRoot%\System32\winrnr.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000017 - %SystemRoot%\System32\winrnr.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000018 - %SystemRoot%\System32\winrnr.dll File not found
 
[2012/03/03 20:38:45 | 000,000,000 | -HS- | M] () -- C:\Windows\SysNative\dds_trash_log.cmd

 

Działa "Oak Technology" = Prawdopodobnie już się odbyło tłowe rekonstruowanie, zarówno pliku consrv.dll, jak i wartości w rejestrze w kluczu SubSystems. I wszystko należy robić od początku.

 

Zanim przejdę do usuwania pytania:

- powiedz mi dokładnie w jaki sposób uruchamiałeś FRST, że zrobił log z systemu Windows 7 a nie Vista. Używając środowiska WinRE musi być wskazany zgodny system na którym ma być prowadzona operacja. Narzędzie FRST jest tu lepsze (bardziej zgodne z architekturą systemu) niż OTLPE, poza tym skrypt narzędzia przewiduje bezpośredni reset wartość w SubSystems.

- czy ComboFix jest zdolny ukończyć pracę w Trybie awaryjnym Windows?

 

 

 

.

Edytowane 17 Kwietnia 2012 przez picasso
17.04.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso