Rootkit ZeroAccess

[xen]

Witam serdecznie,

 

jakiś tydzień temu na mało przeze mnie używanym komputerze (jedyny z Windowsem) pojawiły się ślady wirusa. Nie był wtedy zainstalowany żaden program antywirusowy. Przestała działać całkowicie sieć. Próbowałem użyć Kaspersky Removal Tool, który znalazł kilka zagrożeń i je usunął. Uruchomiłem również Malwarebytes, który wyraźnie wskazywał na rootkit Zeroaccess.

 

Po kilku nieudanych próbach przywrócenia działania sieci reinstalowałem Windowsa (jest to Windows 7, 32 bit). Sieć zaczęła działać, ale ślady robaków nadal widać.

 

Jak najlepiej posprzątać system?

 

Pozdrawiam.

 

PS. Jeśli chodzi o logi z GMER, to załączony plik jest wynikiem drugiego skanowania tym programem. Pierwszy log został przypadkowo skasowany, a obecny zrobiłem po restarcie i na nowej kopii GMER'a. O dziwo pierwsze skanowanie pokazało dużo więcej ,,czerwonych wpisów''.

Extras.Txt

GMER.txt

OTL.Txt

[picasso]

PS. Jeśli chodzi o logi z GMER, to załączony plik jest wynikiem drugiego skanowania tym programem. Pierwszy log został przypadkowo skasowany, a obecny zrobiłem po restarcie i na nowej kopii GMER'a. O dziwo pierwsze skanowanie pokazało dużo więcej ,,czerwonych wpisów''.

 

To nie wygląda na rzeczywistą aktywność rootkit. Jako wpis tej kategorii została tu zaprezentowana usługa Instalator modułów Windows (TrustedInstaller). Takie odczyty są możliwe, jeżeli system ma jakieś zawiasy, podczas skanu GMER elementy nie odpowiadają na polecenia.

 

 

Po kilku nieudanych próbach przywrócenia działania sieci reinstalowałem Windowsa (jest to Windows 7, 32 bit). Sieć zaczęła działać, ale ślady robaków nadal widać.

 

Owszem, są ślady ZeroAccess, czyli zablokowany link symboliczny widzialny w GMER:

 

File            C:\$WINDOWS.~Q\DATA\Windows\$NtUninstallKB22243$\2065245037            0 bytes
File            C:\$WINDOWS.~Q\DATA\Windows\$NtUninstallKB22243$\802653899            0 bytes
File            C:\$WINDOWS.~Q\DATA\Windows\$NtUninstallKB22243$\802653899\@            2048 bytes
File            C:\$WINDOWS.~Q\DATA\Windows\$NtUninstallKB22243$\802653899\L            0 bytes
File            C:\$WINDOWS.~Q\DATA\Windows\$NtUninstallKB22243$\802653899\L\xadqgnnk            238960 bytes
File            C:\$WINDOWS.~Q\DATA\Windows\$NtUninstallKB22243$\802653899\U            0 bytes

 

... oraz te obiekty na dysku:

 

[2012-03-02 21:36:05 | 000,000,000 | -HSD | C] -- C:\Windows\System32\%APPDATA%
[2012-03-02 21:25:47 | 000,000,000 | -HSD | C] -- C:\Users\Słońce\AppData\Local\2fd786cb
[2012-03-02 21:26:09 | 000,000,000 | -HS- | C] () -- C:\Windows\System32\dds_log_trash.cmd

 

To co widać w GMER kieruje jednak na katalog C:\$WINDOWS.~Q, czyli odpadek reinstalacyjny. Te dwa katalogi to konsekwencja nadpisu Windows:

 

[2012-03-08 03:00:19 | 000,000,000 | -H-D | C] -- C:\$WINDOWS.~Q
[2012-03-08 02:57:50 | 000,000,000 | -H-D | C] -- C:\$INPLACE.~TR

 

 

1. Uruchom GrantPerms, w oknie wklej:

 

C:\$WINDOWS.~Q\DATA\Windows\$NtUninstallKB22243$

 

Klik w Unlock.

 

2. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator. Wpisz polecenie:

 

fsutil reparsepoint delete C:\$WINDOWS.~Q\DATA\Windows\$NtUninstallKB22243$

 

Co się pokazuje po wykonaniu tej komendy?

 

 

 

.

[xen]

Dziękuję za zainteresowanie.

 

Co się pokazuje po wykonaniu tej komendy?

 

Hmm, komenda się wykonuje bez żadnych komunikatów.

 

Przeskanować jeszcze raz GREMem po wykonaniu tego polecenia?

[picasso]

Hmm, komenda się wykonuje bez żadnych komunikatów.

 

Czyli w porządku, nastąpiło rozlinkowanie, gdyż ten C:\$WINDOWS.~Q\DATA\Windows\$NtUninstallKB22243$ to wcale nie był folder tylko łącze symboliczne. Dopiero po rozlinkowaniu przez fsutil stał się zwyczajnym katalogiem i można go usuwać.

 

 

Przeskanować jeszcze raz GREMem po wykonaniu tego polecenia?

 

GMER go przestaje pokazywać po wykonaniu odblokowania uprawnień (GrantPerms) + rozlinkowaniu (fsutil). Należy po tym dokasować katalog i przechodzimy do tej części:

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Windows\System32\%APPDATA%
C:\Users\Słońce\AppData\Local\2fd786cb
C:\Windows\System32\dds_log_trash.cmd
C:\$WINDOWS.~Q\DATA\Windows\$NtUninstallKB22243$
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami przetwarzania skryptu.

 

2. Do oceny wystarczy tylko ten log z usuwania.

 

 

 

 

.

[xen]

Oto wynik działania skryptu:

 

All processes killed

========== FILES ==========

C:\Windows\System32\%APPDATA%\Microsoft\Windows\IETldCache folder moved successfully.

C:\Windows\System32\%APPDATA%\Microsoft\Windows folder moved successfully.

C:\Windows\System32\%APPDATA%\Microsoft folder moved successfully.

C:\Windows\System32\%APPDATA% folder moved successfully.

C:\Users\Słońce\AppData\Local\2fd786cb\U folder moved successfully.

C:\Users\Słońce\AppData\Local\2fd786cb folder moved successfully.

C:\Windows\System32\dds_log_trash.cmd moved successfully.

File\Folder C:\$WINDOWS.~Q\DATA\Windows\$NtUninstallKB22243$ not found.

File\Folder :Commands not found.

File\Folder [emptytemp] not found.

 

OTL by OldTimer - Version 3.2.36.3 log created on 03142012_132311

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

[picasso]

Coś tu jest źle wklejone - czy przeklejałeś może skrypt między różnymi edytorami tekstu? OTL nie zinterpretował poprawnie tego fragmentu, traktując jakby to były linie kasacji plików:

 

:Commands

[emptytemp]

 

Tak więc nie wykonało się tu wcale czyszczenie lokalizacji tymczasowych. Rozbij zadania niewykonane na dwa osobne:

 

1. Upewnij się, że masz włączone wszystkie opcje widoku w Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok: zaznaczone "Pokaż ukryte pliki i foldery" + odznaczone "Ukryj chronione pliki systemu operacyjnego". Przez SHIFT+DEL skasuj z dysku C:\$WINDOWS.~Q\DATA\Windows\$NtUninstallKB22243$.

 

2. Wyczyść lokalizacje tymczasowe za pomocą TFC - Temp Cleaner.

 

 

 

.

[xen]

Coś tu jest źle wklejone - czy przeklejałeś może skrypt między różnymi edytorami tekstu? OTL nie zinterpretował poprawnie tego fragmentu, traktując jakby to były linie kasacji plików:

 

:Commands

[emptytemp]

 

Też mi się wydawało, że coś jest nie tak, ale nie chciałem sam nic zmieniać. Rzeczywiście, kod skopiowałem do pliku, ale pod linuksem z unixowymi znakami końca linii. Teraz wykonałem skrypt jeszcze raz, chyba jest dobrze:

 

All processes killed

========== FILES ==========

File\Folder C:\Windows\System32\%APPDATA% not found.

File\Folder C:\Users\Słońce\AppData\Local\2fd786cb not found.

File\Folder C:\Windows\System32\dds_log_trash.cmd not found.

File\Folder C:\$WINDOWS.~Q\DATA\Windows\$NtUninstallKB22243$ not found.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: All Users

 

User: Default

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: Public

 

User: Słońce

->Temp folder emptied: 26071783 bytes

->Temporary Internet Files folder emptied: 203884 bytes

->Java cache emptied: 597291 bytes

->FireFox cache emptied: 61296546 bytes

->Google Chrome cache emptied: 50508144 bytes

->Flash cache emptied: 41215 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 8881599 bytes

RecycleBin emptied: 26591110 bytes

 

Total Files Cleaned = 166,00 mb

 

 

OTL by OldTimer - Version 3.2.36.3 log created on 03142012_184152

 

Files\Folders moved on Reboot...

 

Registry entries deleted on Reboot...

 

1. Upewnij się, że masz włączone wszystkie opcje widoku w Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok: zaznaczone "Pokaż ukryte pliki i foldery" + odznaczone "Ukryj chronione pliki systemu operacyjnego". Przez SHIFT+DEL skasuj z dysku C:\$WINDOWS.~Q\DATA\Windows\$NtUninstallKB22243$.

 

Usunięcie tego katalogu zrobiłem nawet wcześniej, więc tutaj nie ma problemu.

 

2. Wyczyść lokalizacje tymczasowe za pomocą TFC - Temp Cleaner..

 

Rozumiem, że po poprawnym wykonaniu skryptu nie jest już konieczne wykonywanie tego kroku?

[picasso]

Też mi się wydawało, że coś jest nie tak, ale nie chciałem sam nic zmieniać. Rzeczywiście, kod skopiowałem do pliku, ale pod linuksem z unixowymi znakami końca linii. Teraz wykonałem skrypt jeszcze raz, chyba jest dobrze:

 

Nie było sensu wykonywać tego skryptu jeszcze raz w formie jaka była podana na początku... Skrypty są jednorazowego użytku i nie przetworzą po raz drugi tego samego, co już zostało usunięte. Zaś komenda [emptytemp] wykonuje identyczne instrukcje jak TFC = ten sam autor jest twórcą obu. Dlatego nie podawałam już żadnych instrukcji powtórkowych skryptu ... Po ukończeniu pracy z OTL zastosuj w nim Sprzątanie likwidujące kwarantannę i program.

 

 

Rozumiem, że po poprawnym wykonaniu skryptu nie jest już konieczne wykonywanie tego kroku?

 

Nie.

 

 

Usunięcie tego katalogu zrobiłem nawet wcześniej, więc tutaj nie ma problemu.

 

A tu myślałam, że "not found" na tym katalogu to wynik błędu z przeklejaniem (trzy ostatnie linie były dziwaczne). Oczywiście w takiej sytuacji nie było sensu zadawać usuwania tego ręcznie. Natomiast, możesz w całości usunąć te foldery odpadkowe po reinstalacji (o ile już tego nie zrobiłeś):

 

[2012-03-08 03:00:19 | 000,000,000 | -H-D | C] -- C:\$WINDOWS.~Q
[2012-03-08 02:57:50 | 000,000,000 | -H-D | C] -- C:\$INPLACE.~TR

 

Inna sprawa: reperacja Windows przebiła pliki Windows, ale jak widać, na dysku w katalogach AppData + system32 ostały się pliki od ZeroAccess. Na wszelki wypadek wykonaj skanowanie za pomocą Malwarebytes Anti-Malware. Przedstaw raport, o ile coś zostanie znalezione.

 

 

 

.

Edytowane 17 Kwietnia 2012 przez picasso
17.04.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso