Google przekierowuje na abnow

[wd40]

Witam!

Wszystkie wyniki wyszukiwania z Google prowadziły na stronę "abnow". Po zastosowaniu programu TDSS Killer problem zniknął, ale z tego co czytałem to może nie być wszystko. Proszę zatem o pomoc.

TDSSKiller.2.7.20.0_11.03.2012_11.38.42_log.txt

OTL.txt

[picasso]

Po zastosowaniu programu TDSS Killer problem zniknął,

 

Placebo / przypadkowość. Po pierwsze, TDSSKiller absolutnie nic nie robił w kwestii infekcji ZeroAccess. Usunąłeś za jego pomocą prawidłowy sterownik emulacji napędów wirtualnych SPTD (to był błąd):

 

11:39:34.0568 1040	C:\Windows\system32\Drivers\sptd.sys - copied to quarantine
11:39:34.0568 1040	HKLM\SYSTEM\ControlSet001\services\sptd - will be deleted on reboot
11:39:34.0599 1040	HKLM\SYSTEM\ControlSet002\services\sptd - will be deleted on reboot
11:39:34.0646 1040	C:\Windows\system32\Drivers\sptd.sys - will be deleted on reboot
11:39:34.0646 1040	sptd ( LockedFile.Multi.Generic ) - User select action: Delete 

 

Po drugie: TDSSKiller nie pod Twój przypadek. Masz 64-bitowy Windows. Na takim ZeroAccess działa inną techniką, nie jest rootkitem i TDSSKiller w ogóle nic nie wykrywa. W OTL widać nadal składniki ZeroAccess, jak najbardziej czynne:

 

========== Win32 Services (SafeList) ==========
 
SRV:[b]64bit:[/b] - [2009/07/14 02:39:46 | 000,005,120 | ---- | M] (Iomega) [Auto | Running] -- C:\Windows\SysNative\APLMp50.dll -- (cisvc)
 
========== Modules (No Company Name) ==========
 
MOD - [2009/07/14 02:15:51 | 000,232,448 | ---- | M] () -- \\?\globalroot\systemroot\syswow64\mswsock.DLL
 
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000001 - mmswsock.dll File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000002 - mmswsock.dll File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000003 - mmswsock.dll File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000004 - mmswsock.dll File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000005 - mmswsock.dll File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000006 - mmswsock.dll File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000007 - mmswsock.dll File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000008 - mmswsock.dll File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000009 - mmswsock.dll File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000010 - mmswsock.dll File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000011 - mmswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - %SystemRoot%\system32\wshbth.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - %SystemRoot%\system32\wshbth.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - %SystemRoot%\system32\wshbth.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - %SystemRoot%\system32\wshbth.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - %SystemRoot%\system32\wshbth.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000006 - %SystemRoot%\system32\wshbth.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000007 - %SystemRoot%\system32\wshbth.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000008 - %SystemRoot%\system32\wshbth.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000009 - %SystemRoot%\system32\wshbth.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000010 - %SystemRoot%\system32\wshbth.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000011 - %SystemRoot%\system32\wshbth.dll File not found
 
O20 - HKU\S-1-5-21-1682161841-3302115716-4063328782-1001 Winlogon: Shell - (C:\Users\Szymek\AppData\Local\9c539dd2\X) - C:\Users\Szymek\AppData\Local\9c539dd2\X ()
 
[2012/03/11 18:02:10 | 000,000,000 | -HS- | M] () -- C:\Windows\SysNative\dds_log_ad13.cmd
[2012/03/09 18:27:24 | 000,000,000 | -HS- | M] () -- C:\Windows\SysNative\dds_log_trash.cmd

 

Pobierz i uruchom zgodnie z wytycznymi ComboFix. Przedstaw raport z wynikami jego pracy.

 

 

 

.

[wd40]

Niestety ComboFix nie chce się uruchomić. Wyłączyłem antywirusa i odinstalowałem emulatory napędów (to zresztą już wcześniej zrobiłem, stąd brak tego sterownika). Jednak kiedy włączam ComboFix on się rozpakowuje, jednak dalej nic się nie dzieje. Co mam robić w takiej sytuacij?

[picasso]

odinstalowałem emulatory napędów (to zresztą już wcześniej zrobiłem, stąd brak tego sterownika)

 

Sterownik SPTD nie znika poprzez deinstalację programów emulujących. Tu akurat zaprawiłeś go TDSSKillerem...

 

 

Niestety ComboFix nie chce się uruchomić.

 

1. Pobierz narzędzie FRST x64 i umieść je na pendrive.

 

2. Przygotuj plik naprawczy. Otwórz Notatnik i wklej w nim:

 

SubSystems: [Windows] ==> ZeroAccess
NETSVC: cisvc
2 cisvc; C:\Windows\System32\APLMp50.dll [5120 2009-07-14] (Iomega)
C:\Windows\System32\APLMp50.dll
C:\Windows\System32\consrv.dll
C:\Windows\System32\dds_log_ad13.cmd
C:\Windows\System32\dds_trash_log.cmd
C:\Windows\assembly\tmp\U
C:\Windows\assembly\tmp\loader.tlb
C:\Windows\assembly\GAC_64\desktop.ini
C:\Windows\assembly\GAC_32\desktop.ini
C:\Users\Szymek\AppData\Local\9c539dd2

 

Plik zapisz pod nazwą fixlist.txt. Wstaw na pendrive obok narzędzia FRST.

 

3. F8 przy starcie komputera > "Napraw komputer" > w linii komend uruchom zgodnie z opisem narzędzie FRST i wybierz w nim opcję Fix. Skrypt umieszczony na pendrive zostanie przetworzony i powstanie plik fixlog.txt.

 

4. Restartujesz do Windows.

 

5. Naprawa Winsock: Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wpisz komendę netsh winsock reset. Zatwierdź restartem.

 

6. Wygeneruj logi do oceny: OTL opcją Skanuj + Farbar Service Scanner (zaznacz wszystko do skanowania). Dostarcz też Fixlog.txt pozyskany w punkcie 2.

 

 

 

 

.

[wd40]

Ok, zrobiłem to co napisałaś i zamieszczam logi, mam nadzieję, że nic nie pomyliłem.

Pozdrawiam

OTL.txt

FSS.txt

Fixlog.txt

[picasso]

Zadanie właściwe wykonane, wszystkie znaki działania ZeroAccess ustąpiły. Jeden plik się nie usunął. Omyłkowo podawałam starą "przestawioną" nazwę (dds_trash_log.cmd zamiast dds_log_trash.cmd). Ale to tu nie nabruździło, to tylko plik dodatkowy a nie meritum. Mamy jeszcze do czyszczenia różne odpadkowe wpisy startowe i szczątki sponsoringowe.

 

Farbar Service Scanner podaje informację, że masz całkowicie skasowaną z rejestru konstrukcję Zapory systemu Windows:

 

Windows Firewall:
=============
MpsSvc Service is not running. Checking service configuration:
Checking Start type: Attention! Unable to open MpsSvc registry key. The service key does not exist.
Checking ImagePath: Attention! Unable to open MpsSvc registry key. The service key does not exist.
Checking ServiceDll: Attention! Unable to open MpsSvc registry key. The service key does not exist.
 
bfe Service is not running. Checking service configuration:
Checking Start type: Attention! Unable to open bfe registry key. The service key does not exist.
Checking ImagePath: Attention! Unable to open bfe registry key. The service key does not exist.
Checking ServiceDll: Attention! Unable to open bfe registry key. The service key does not exist.

 

Ponadto notuje złe parametry usługi Windows Defender, czyli skierowanie na plik 32-bit a nie 64-bit:

 

Windows Defender:
==============
WinDefend Service is not running. Checking service configuration:
The start type of WinDefend service is OK.
The ImagePath of WinDefend service is OK.
The ServiceDll of WinDefend: "%ProgramFiles(x86)%\Windows Defender\mpsvc.dll".

 

Takie przekierowanie na pliki 32-bit (których nie ma) to chyba też robota ZeroAccess. Co dopiero był tu temat po takiej infekcji z tymi samymi danymi Windows Defender i błędami jego uruchomienia...

 

 

---

1. Odinstaluj Yontoo Layers (KLIK), zarówno z rozszerzeń Firefox, jak i przez Panel sterowania.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
[2012/03/09 18:27:24 | 000,000,000 | -HS- | M] () -- C:\Windows\SysNative\dds_log_trash.cmd
O4 - HKU\S-1-5-21-1682161841-3302115716-4063328782-1001..\Run: [{6103FC23-3BC6-AD7F-0334-CEAB3B58EDB6}] C:\Users\Szymek\AppData\Roaming\Xolaal\ejce.exe File not found
O4 - HKU\S-1-5-21-1682161841-3302115716-4063328782-1001..\Run: [iy4zowdz16] C:\Users\Szymek\iy4zowdz16.exe File not found
O4 - HKU\S-1-5-21-1682161841-3302115716-4063328782-1001..\Run: [Windows Time] rundll32.exe "C:\ProgramData\IdqusmiDfolq.dll",EntryPoint File not found
O20 - HKU\S-1-5-21-1682161841-3302115716-4063328782-1001 Winlogon: Shell - (C:\Users\Szymek\AppData\Local\9c539dd2\X) -  File not found
FF - prefs.js..browser.search.defaultthis.engineName: "BrotherSoft Extreme Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2776682&SearchSource=3&q={searchTerms}"
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2776682"
IE - HKU\S-1-5-21-1682161841-3302115716-4063328782-1001\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2776682"
IE - HKU\S-1-5-21-1682161841-3302115716-4063328782-1001\..\URLSearchHook: {51a86bb3-6602-4c85-92a5-130ee4864f13} - No CLSID value found
O3 - HKU\S-1-5-21-1682161841-3302115716-4063328782-1001\..\Toolbar\WebBrowser: (no name) - {51A86BB3-6602-4C85-92A5-130EE4864F13} - No CLSID value found.
O3 - HKU\S-1-5-21-1682161841-3302115716-4063328782-1001\..\Toolbar\WebBrowser: (no name) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - No CLSID value found.
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:Files
C:\Windows\assembly\tmp\*.*
 
:Commands
[emptytemp]

 

Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami.

 

3. Odtwórz / skoryguj usługi Windows:

• Zrekonstruuj zaporę systemu Windows: KLIK. W Twoim przypadku chodzi o odtworzenie usług BFE + MpsSvc. Możesz ominąć sfc /scannow.
  
• Zaimportuj poprawkowy wpis usługi Windows Defender: KLIK.
  
• Sfinalizuj restartem Windows.
  

4. Wygeneruj do oceny nowe logi: OTL z opcji Skanuj (opcja "Rejestr - skan dodatkowy" musi być ustawiona na "Użyj filtrowania", by powstał log Extras), Farbar Service Scanner, AdwCleaner z opcji Search. Dołącz log z wynikami usuwania z punktu 2.

 

 

 

 

.

[wd40]

Ok, zrobiłem wszystko i zamieszczam logi.

AdwCleanerR2.txt

03142012_154224.txt

Extras.Txt

OTL.Txt

FSS.txt

[picasso]

Wszystko wykonane, skrypt przetworzył co należy, również usługi zostały zrekonstruowane. Windows Defender jest nadal zdeaktywowany na bazie ustawienia:

 

Windows Defender Disabled Policy: 
==========================
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender]
"DisableAntiSpyware"=DWORD:1

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender]
"DisableAntiSpyware"=dword:00000000
 
:Files
rd /s /q C:\FRST /C
rd /s /q C:\TDSSKiller_Quarantine /C

 

Klik w Wykonaj skrypt.

 

2. Uruchom AdwCleaner i zastosuj w nim opcję Delete. Gdy ukończy robotę, użyj Uninstall.

 

3. Odinstaluj w prawidłowy sposób ComboFix. Klawisz z flagą Windows + R i w polu Uruchom wklej:

 

C:\Users\Szymek\Desktop\ComboFix.exe /uninstall

 

Gdy komenda ukończy pracę, w OTL uruchom Sprzątanie. resztę narzędzi dokasuj sobie ręcznie.

 

4. Wykonaj pełne skanowanie za pomocą Malwarebytes Anti-Malware i przedstaw raport, o ile coś zostanie wykryte.

 

 

 

.

Edytowane 17 Kwietnia 2012 przez picasso
17.04.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso