tolklu Opublikowano 15 Marca 2012 Zgłoś Udostępnij Opublikowano 15 Marca 2012 Dzień dobry, wiele razy radziłem sobie sam z rootkitami itp., wyłącznie na podstawie Państwa wypowiedzi w poszczególnych wątkach - nie tworząc nowych. Przede wszystkim ze względu na szacunek dla Państwa czasu. Jednakże dzisiaj nie jestem w stanie poradzić sobie z moim problemem w żaden sposób, ale od początku... Jakiś miesiąc temu nagle utraciłem dostęp do internetu i odkryłem, że to przez rootkita "win 32 zero access". Po całym dniu walki poradziłem sobie finalnie za pomocą ComboFix'a. Od tamtej pory zacząłem używać podwójnej bieżącej ochrony w postaci Avast! i Anti-malware. Niestety najwyraźniej ten syf gdzieś się ukrył i uodpornił na te programy, ponieważ ciągle powraca i walka zaczyna się od początku. Najczęściej aktywizuje się po pewnym czasie przy restarcie systemu(żadko to robie). Zawsze ukrywa się on w sterownikach w win32-zawsze pod inną nazwą. Wszystko było do zniesienia, bo zawsze po wypróbowaniu 10 różnych programów, na końcu odpalałem ComboFix'a i on pomagał. Niestety do dzisiaj.. Dzisiaj nawet nie mam 100% pewności, że to ten rootkit, bo nic go nie wykrywa, ale wszystko wskazuje na jego kolejny, typowy atak. Narzędzia, ze względu na brak dostępu do sieci podczas aktywności rootkita, pobieram na pendrive'a na innym komputerze, a potem przerzucam na pulpit komputera zainfekowanego i tam je odpalam. Używam instalek z polecanych przez was miejsc i nigdy nie używam tej samej instalki 2 razy(ze względu na możliwość zainfekowanie jej) Wypróbowałem : Antizeroaccess rkill tdskiller avast! anti-malware/mbam ComboFix Istnieje prawdopodobieństwo, że po kilkuset godzinach walki mógłbym sobie poradzić sam, ale przede wszystkim zależy mi na tym żeby pozbyć się zakażenia już permanentnie, a na to nie mam koncepcji. Pełen skan/Log z GMER udało mi się uzyskać dopiero w trybie awaryjnym. Edit 15:51 : Dopiero się zorientowałem, iż nie próbowałem ComboFix'a w trybie awaryjnym. Właśnie to zrobiłem. Teraz CF zadziałał lepiej, ale dostępu do sieci dalej brak. Załączam loga. OTL.Txt ComboFix.txt Extras.Txt GMER.txt ComboFix tryb awaryjny.txt Odnośnik do komentarza
Landuss Opublikowano 15 Marca 2012 Zgłoś Udostępnij Opublikowano 15 Marca 2012 Według logów nie widać tutaj infekcji ZeroAccess w stanie czynnym. Są jedynie pozostałości po tej infekcji i to należy usunąć. I na przyszłość nie baw się tak ComboFixem bo to nie jest podstawowe lekarstwo na każdy problem i może też zaszkodzić. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Auto | Stopped] -- %systemroot%\system32\DevUpper.dll -- (XBCD) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\mcpromgr.dll -- (uploadmgr) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\quickhealfirewall.dll -- (UpdateCenterService) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\arrayssl_vpn_service3,0,1,9.dll -- (Uim_IM) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\HSFHWICH.dll -- (tosrfcom) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\SQTECH905C.dll -- (sysplant) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\nsm1serd.dll -- (se58bus) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\KMWDFilter.dll -- (s716mdfl) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\nimdbgk.dll -- (nvstor32) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\dlabmfsm.dll -- (MREMP50) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\winvnc.dll -- (L8042mou) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\ipsec.dll -- (kpfwsvc) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\iaimtv2.dll -- (itmrtsvc) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\xcomm.dll -- (IJPLMSVC) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\ctdvda2k.dll -- (ctaud2k) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\PSDFilter.dll -- (asusgsb) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\ABVPN2K.dll -- (amusbprt) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\Cam5607.dll -- (adpu160m) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\cltnetcnservice.dll -- ({eda5f5d3-9e0f-4f4d-8a13-1d1cf469c9cc}) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\RtsUCcid.sys -- (USBCCID) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\sscdserd.sys -- (sscdserd) SAMSUNG CDMA Modem Diagnostic Serial Port (WDM) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\sscdmdm.sys -- (sscdmdm) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\sscdmdfl.sys -- (sscdmdfl) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\sscdbus.sys -- (sscdbus) SAMSUNG USB Composite Device driver (WDM) DRV - File not found [Kernel | Disabled | Stopped] -- System32\Drivers\sptd.sys -- (sptd) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\Rts516xIR.sys -- (RtsUIR) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\netrcacm.sys -- (netrcacm) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\klucz\AppData\Local\Temp\catchme.sys -- (catchme) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1 [2012-02-23 21:53:43 | 000,000,000 | -HS- | M] () -- C:\windows\System32\dds_trash_log.cmd [2012-02-22 12:47:50 | 000,000,112 | ---- | M] () -- C:\ProgramData\78Q72a.dat [2012-02-17 15:56:11 | 000,000,000 | ---D | C] -- C:\Users\klucz\AppData\Roaming\xevpinwjidcurtkupvhr2tcxrohmgmio2 [2012-02-16 19:53:54 | 000,000,000 | ---D | C] -- C:\Users\klucz\AppData\Roaming\xspfd3iemzn1dpqklijqjlnz3hqlu3l22 [2012-02-16 19:53:52 | 000,000,000 | ---D | C] -- C:\Users\klucz\AppData\Roaming\xfmf1xbshtlrgnrfdaxxphrupegtiaok2 :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Otwórz Notatnik systemowy i wklej taki tekst: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost] "netsvcs"=hex(7):41,00,65,00,4c,00,6f,00,6f,00,6b,00,75,00,70,00,53,00,76,00,\ 63,00,00,00,43,00,65,00,72,00,74,00,50,00,72,00,6f,00,70,00,53,00,76,00,63,\ 00,00,00,53,00,43,00,50,00,6f,00,6c,00,69,00,63,00,79,00,53,00,76,00,63,00,\ 00,00,6c,00,61,00,6e,00,6d,00,61,00,6e,00,73,00,65,00,72,00,76,00,65,00,72,\ 00,00,00,67,00,70,00,73,00,76,00,63,00,00,00,49,00,4b,00,45,00,45,00,58,00,\ 54,00,00,00,41,00,75,00,64,00,69,00,6f,00,53,00,72,00,76,00,00,00,46,00,61,\ 00,73,00,74,00,55,00,73,00,65,00,72,00,53,00,77,00,69,00,74,00,63,00,68,00,\ 69,00,6e,00,67,00,43,00,6f,00,6d,00,70,00,61,00,74,00,69,00,62,00,69,00,6c,\ 00,69,00,74,00,79,00,00,00,49,00,61,00,73,00,00,00,49,00,72,00,6d,00,6f,00,\ 6e,00,00,00,4e,00,6c,00,61,00,00,00,4e,00,74,00,6d,00,73,00,73,00,76,00,63,\ 00,00,00,4e,00,57,00,43,00,57,00,6f,00,72,00,6b,00,73,00,74,00,61,00,74,00,\ 69,00,6f,00,6e,00,00,00,4e,00,77,00,73,00,61,00,70,00,61,00,67,00,65,00,6e,\ 00,74,00,00,00,52,00,61,00,73,00,61,00,75,00,74,00,6f,00,00,00,52,00,61,00,\ 73,00,6d,00,61,00,6e,00,00,00,52,00,65,00,6d,00,6f,00,74,00,65,00,61,00,63,\ 00,63,00,65,00,73,00,73,00,00,00,53,00,45,00,4e,00,53,00,00,00,53,00,68,00,\ 61,00,72,00,65,00,64,00,61,00,63,00,63,00,65,00,73,00,73,00,00,00,53,00,52,\ 00,53,00,65,00,72,00,76,00,69,00,63,00,65,00,00,00,54,00,61,00,70,00,69,00,\ 73,00,72,00,76,00,00,00,57,00,6d,00,69,00,00,00,57,00,6d,00,64,00,6d,00,50,\ 00,6d,00,53,00,70,00,00,00,54,00,65,00,72,00,6d,00,53,00,65,00,72,00,76,00,\ 69,00,63,00,65,00,00,00,77,00,75,00,61,00,75,00,73,00,65,00,72,00,76,00,00,\ 00,42,00,49,00,54,00,53,00,00,00,53,00,68,00,65,00,6c,00,6c,00,48,00,57,00,\ 44,00,65,00,74,00,65,00,63,00,74,00,69,00,6f,00,6e,00,00,00,4c,00,6f,00,67,\ 00,6f,00,6e,00,48,00,6f,00,75,00,72,00,73,00,00,00,50,00,43,00,41,00,75,00,\ 64,00,69,00,74,00,00,00,68,00,65,00,6c,00,70,00,73,00,76,00,63,00,00,00,75,\ 00,70,00,6c,00,6f,00,61,00,64,00,6d,00,67,00,72,00,00,00,69,00,70,00,68,00,\ 6c,00,70,00,73,00,76,00,63,00,00,00,73,00,65,00,63,00,6c,00,6f,00,67,00,6f,\ 00,6e,00,00,00,41,00,70,00,70,00,49,00,6e,00,66,00,6f,00,00,00,6d,00,73,00,\ 69,00,73,00,63,00,73,00,69,00,00,00,4d,00,4d,00,43,00,53,00,53,00,00,00,77,\ 00,65,00,72,00,63,00,70,00,6c,00,73,00,75,00,70,00,70,00,6f,00,72,00,74,00,\ 00,00,45,00,61,00,70,00,48,00,6f,00,73,00,74,00,00,00,50,00,72,00,6f,00,66,\ 00,53,00,76,00,63,00,00,00,73,00,63,00,68,00,65,00,64,00,75,00,6c,00,65,00,\ 00,00,68,00,6b,00,6d,00,73,00,76,00,63,00,00,00,53,00,65,00,73,00,73,00,69,\ 00,6f,00,6e,00,45,00,6e,00,76,00,00,00,77,00,69,00,6e,00,6d,00,67,00,6d,00,\ 74,00,00,00,62,00,72,00,6f,00,77,00,73,00,65,00,72,00,00,00,54,00,68,00,65,\ 00,6d,00,65,00,73,00,00,00,42,00,44,00,45,00,53,00,56,00,43,00,00,00,41,00,\ 70,00,70,00,4d,00,67,00,6d,00,74,00,00,00,00,00 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku opcja Scal 3. Następnie uruchamiasz OTL ponownie na dodatkowym warunku - w oknie Własne opcje skanowania/Skrypt wpisz netsvcs Wywołujesz opcję Skanuj. 4. Pokazujesz nowe logi z OTL oraz z Farbar Service Scanner (zaznacz wszystko do skanowania) Odnośnik do komentarza
tolklu Opublikowano 15 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 15 Marca 2012 Dzięki za szybką odpowiedź-jesteście w tym względzie niesamowici. Załączam logi FSS.txt OTL.Txt OTL z netsvcs.Txt Odnośnik do komentarza
Landuss Opublikowano 15 Marca 2012 Zgłoś Udostępnij Opublikowano 15 Marca 2012 To teraz zasadnicze pytanie - czy masz dostęp do sieci czy nadal go nie ma? Odnośnik do komentarza
tolklu Opublikowano 15 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 15 Marca 2012 Niestety w tej kwestii nie widzę żadnych zmian.. dostępu brak, a dokładnie informacja, że sieć jest niezidentyfikowana. Tak było również przy poprzednich "atakach" Odnośnik do komentarza
Landuss Opublikowano 15 Marca 2012 Zgłoś Udostępnij Opublikowano 15 Marca 2012 Wykonaj reset sieci - wklej w notatnik: reg delete HKLM\SYSTEM\CurrentControlSet\Control\Network /v Config /f ipconfig /flushdns netsh winhttp reset proxy netsh advfirewall reset netsh winsock reset netsh int ip reset c:\resetlog.txt pause Zapisz ten plik jako FIX.BAT i uruchom go. Restart i zobacz czy coś się zmieniło. Odnośnik do komentarza
tolklu Opublikowano 15 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 15 Marca 2012 Niestety nie udało się, brak uprawnień. Coś bym z tym zrobił, ale nie chce teraz działać na własną rękę. Dokładnie wygląda to tak (problem z zalaczeniem pliku): C:\Users\klucz\Desktop>reg delete HKLM\SYSTEM\CurrentControlSet\Control\Network/v Config /f BŁĄD: Odmowa dostępu. C:\Users\klucz\Desktop>ipconfig /flushdns Konfiguracja IP systemu Windows Pomyślnie opróżniono pamięć podręczną programu rozpoznawania nazw DNS. C:\Users\klucz\Desktop>netsh winhttp reset proxy Błąd podczas zapisywania ustawień serwera proxy. (5) Odmowa dostępu. Bieżące ustawienia serwera proxy WinHTTP: Dostęp bezpośredni (bez serwera proxy). C:\Users\klucz\Desktop>netsh advfirewall reset Żądana operacja wymaga podniesienia uprawnień (uruchom jako administrator). C:\Users\klucz\Desktop>netsh winsock reset Pomyślnie zresetowano Winsock Catalog. Musisz ponownie uruchomić komputer, aby ukończyć resetowanie. C:\Users\klucz\Desktop>netsh int ip reset c:\resetlog.txt Resetowanie Globalny nie powiodło się. Żądana operacja wymaga podniesienia uprawnień (uruchom jako administrator). Resetowanie Interfejs nie powiodło się. Żądana operacja wymaga podniesienia uprawnień (uruchom jako administrator). Brak ustawień określonych przez użytkownika do zresetowania. C:\Users\klucz\Desktop>pause Aby kontynuować, naciśnij dowolny klawisz . . . Odnośnik do komentarza
Landuss Opublikowano 15 Marca 2012 Zgłoś Udostępnij Opublikowano 15 Marca 2012 Uruchom plik z prawokliku jako administrator. Odnośnik do komentarza
tolklu Opublikowano 15 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 15 Marca 2012 To się popisałem. Wszystko ewidentnie zmierza w dobrym kierunku, bo już nie mam żadnych błędów w dzienniku, ale niestety połączenia z internetem również. ---- Właśnie zdobyłem internet mobilny i po zainstalowaniu zadziałał, ale wpinam ponownie swój stary internet stacjonarny i nie działa ( na innym komputerze działa). Dosyć dziwne. ----- wchodząc we właściwości połączenia widzę że namiętnie wysyła pakiety, ale nic nie odbiera Odnośnik do komentarza
picasso Opublikowano 16 Marca 2012 Zgłoś Udostępnij Opublikowano 16 Marca 2012 Właśnie zdobyłem internet mobilny i po zainstalowaniu zadziałał, ale wpinam ponownie swój stary internet stacjonarny i nie działa ( na innym komputerze działa). Dosyć dziwne.----- wchodząc we właściwości połączenia widzę że namiętnie wysyła pakiety, ale nic nie odbiera Wykonaj: 1. Start > w polu szukania wpisz devmgmt.msc > z prawokliku Uruchom jako Administrator. W menu Widok włącz pokazywanie ukrytych urządzeń. Przeszukaj sekcje Karty sieciowe oraz Sterowniki niezgodne z Plug and Play. Zweryfikuj czy widnieją obiekty z wykrzyknikami / pytajnikami. Znalezione zaznacz i odinstaluj. Restart systemu. 2. Wykonaj weryfikację plików systemowych komendą sfc /scannow, za pomocą kolejnej komendy zrób log filtrowany do znaczników [sR] i przedstaw ten log: KLIK. . Odnośnik do komentarza
tolklu Opublikowano 23 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 23 Marca 2012 Przepraszam, że odpisuje tak późno, ale miałem małą batalie z dostawcą internetu. Sprowadziłem do siebie 2 kolejne komputery i na nich internet działał. Moje podejrzenia z systemu przesuneły sie na dostawce, który udostepnia internet na zasadzie identyfikacji zarejestrowanych mac'ów. Oczywiscie operator zapewniał, że mój mac jest zarejestrowany i wszystko powinno działać. Poprosiłem to technika, zeby sobie sam przyszedł i stwierdził, że nie działa(z ewentualnym obarczeniem nie kosztami jezeli przyczyna nie leżała by po ich stronie). Technik nie zjawił się w umówinym terminie. Żadnego kontaktu. Podziekowałem operatorowi i korzystam już z internetu od innego operatora i na szczescie wszystko działa. Szczerze powiem, że nie mam pomysłu co moglo sie u nich wydarzyć, ale po waszej analizie zanieczyszczen mojego kompa, czułem ze to coś po ich stronie. Niestety mój case nie przyda sie zbyt wielu osobom, poniewaz korzystam z internetu kolejowego (budynek należy do PKP). Dziekuję bardzo za pomoc. Wiem, że to niezbyt właściwe miejsce żeby o to pytać, ale na jakiej zasadzie działacie? bo pomagacie setkom ludzi i to w niezwykle efektywny sposób! a nawet nigdzie nie widać reklam - i tu pojawia się kolejne pytanie: czy taki zwykły człowiek może wam jakoś pomóc w tym co robicie? PS jeżeli bedziecie (mimo wszystko) zainteresowani logami to je wrzuce Odnośnik do komentarza
Landuss Opublikowano 23 Marca 2012 Zgłoś Udostępnij Opublikowano 23 Marca 2012 W takim razie jeśli chodzi o finalizacje usuwania infekcji to: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Na wszelki wypadek zmień hasła logowania do serwisów. Wiem, że to niezbyt właściwe miejsce żeby o to pytać, ale na jakiej zasadzie działacie? bo pomagacie setkom ludzi i to w niezwykle efektywny sposób! a nawet nigdzie nie widać reklam - i tu pojawia się kolejne pytanie: czy taki zwykły człowiek może wam jakoś pomóc w tym co robicie? Poczytaj tutaj: KLIK Temat jako rozwiązany zamykam. Odnośnik do komentarza
Rekomendowane odpowiedzi