Skocz do zawartości

ZeroAcces abnow.com


Rekomendowane odpowiedzi

Witam mam dosyć popularny ostatnimi czasy problem z rootkitem zeroacces. Praktycznie wszystkie wyniki w google w których zawarte są wyrazy związane z usuwaniem wirusów przekierowywują mnie na abnow.com

 

Próbowałem robić parę rzeczy na własną rękę:

-ComboFix, ale niestety nie działa

-Malwarebytes-poszedł skan. Abnow.com nie wyświetla się już w Mozilli, w Chrome nadal.

-Skany anty rootkitami tez coś znalazły

-ad-aware, też coś tam niby wywalił

 

Ale ciągle ni mogę odpalić ComoFixa, nawet w trybie awaryjnym i po zmianie nazwy (słyszałem że u kogoś tam zadzialał). zauważyłem też że niektóre stronki wyświetlają mi się bez Flasha, albo w ogóle w totalnym nieładzie.

 

Zrobiłem też naprawianie komputera narzędziem FRST64.exe i chciałbym wkleić loga i poczekać na dalsze wytyczne co do naprawy.

Z góry dziękuję za pomoc

 

Zamieszczam Logi z GMER i FRST

GMER.txt

FRST.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Gmer to nie jest program na systemy 64-bitowe i nie używaj tego więcej na takim systemie. FRST z kolei nie nadaje się do użytkowania z poziomu uruchomionego systemu a raczej z zewnątrz (WinRe) i tym się tutaj można będzie posłużyć w sytuacji gdy jest problem z ComboFix. Infekcja jest aktywna, ale że jest to system 64 bitowy jest ją teoretycznie prościej usunąć bo infekcja na takim systemie nie jest rootkitem.

 

1. Przygotuj w Notatniku następujący skrypt:

 

SubSystems: [Windows] ==> ZeroAccess
NETSVC: usb_rndisx
2 usb_rndisx; C:\Windows\System32\changer.dll [5120 2009-07-14] (Iomega)
C:\Windows\System32\changer.dll
C:\Windows\System32\consrv.dll
C:\Windows\System32\dds_log_ad13.cmd
C:\Windows\system32\%APPDATA%
C:\Windows\assembly\tmp\U
C:\Windows\assembly\tmp\loader.tlb
C:\Windows\assembly\GAC_64\desktop.ini
C:\Windows\assembly\GAC_32\desktop.ini
C:\Users\Mentor\AppData\Local\298a836a

 

Plik zapisz pod nazwą fixlist.txt

 

2. Narzedzie FRST umieść na pendrive razem z plikiem fixlist.txt. Przy starcie komputera daj F8 i wybierz opcję "Napraw komputer", z poziomu linii komend uruchom FRST i kliknij w Fix. Na pendrive powstanie plik fixlog.txt. Restartujesz do Windows.

 

3. Reset Winsock: Start > Uruchom > cmd i wpisz komendę netsh winsock reset. Zresetuj system.

 

4. Do oceny dajesz log z działania w punkcie 2, log z OTL ze skanu i z Farbar Service Scanner (zaznacz wszystko do skanowania).

Odnośnik do komentarza

Infekcja została pomyślnie usunięta, ale jeszcze korekty wymaga odtworzenie dwóch usuniętych tutaj całkowicie usług:

 

MpsSvc Service is not running. Checking service configuration:

Checking Start type: Attention! Unable to open MpsSvc registry key. The service key does not exist.

Checking ImagePath: Attention! Unable to open MpsSvc registry key. The service key does not exist.

Checking ServiceDll: Attention! Unable to open MpsSvc registry key. The service key does not exist.

 

bfe Service is not running. Checking service configuration:

Checking Start type: Attention! Unable to open bfe registry key. The service key does not exist.

Checking ImagePath: Attention! Unable to open bfe registry key. The service key does not exist.

Checking ServiceDll: Attention! Unable to open bfe registry key. The service key does not exist.

 

Wejdź w ten temat: KLIK.

Przejdź w sekcje "Rekonstrukcja kluczy usług" i napraw dwie pierwsze - Podstawowy aparat filtrowania (BFE) oraz Zapora systemu Windows (MpsSvc) importując podane wpisy rejestru. Następnie przejdź niżej do rekonstrukcji uprawnień kluczy i wykonaj też dla tych dwóch naprawę przez SetACL.

 

Po wykonaniu wszystkiego zgłoś się z nowym logiem z FSS

Odnośnik do komentarza

Usługi wróciły ale log pokazuje, ze nie są zastartowane a więc:

 

Start > w polu szukania wpisz services.msc > z prawokliku Uruchom jako Administrator > na liście wyszukaj usługę Zapora systemu Windows oraz Podstawowy aparat filtrowania, z dwukliku wejdź do właściwości i zastartuj przyciskiem. Uruchamianie oczywiście ma być ustawione na tryb Automatyczny.

 

I jeszcze jedna sprawa bo wcześniej tego nie zauważyłem a to tez jest pochodna ZeroAccess czyli usługa Windows Defender kierująca na nieprawidłowy (32-bitowy) plik zamaist w twoim przypadku na 64 bitowy:

 

The ServiceDll of WinDefend: "%ProgramFiles(x86)%\Windows Defender\mpsvc.dll".

 

Wklej więc do notatnika taki tekst:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend]
"DisplayName"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-103"
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,73,00,65,00,63,00,73,00,76,00,63,00,73,00,00,00
"Start"=dword:00000002
"Type"=dword:00000020
"Description"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-1176"
"DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00
"ObjectName"="LocalSystem"
"ServiceSidType"=dword:00000001
"RequiredPrivileges"=hex(7):53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,\
  00,6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,\
  65,00,00,00,53,00,65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,\
  00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,\
  74,00,6f,00,72,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\
  00,00,00,53,00,65,00,44,00,65,00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,\
  69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,68,00,61,00,6e,00,67,\
  00,65,00,4e,00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,\
  6c,00,65,00,67,00,65,00,00,00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,\
  00,74,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\
  53,00,65,00,53,00,68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,50,00,72,00,69,\
  00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6e,00,63,00,\
  72,00,65,00,61,00,73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,72,00,69,\
  00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,41,00,73,00,73,00,\
  69,00,67,00,6e,00,50,00,72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,\
  00,65,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\
  00,00
"DelayedAutoStart"=dword:00000001
"FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\
  00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Parameters]
"ServiceDllUnloadOnStop"=dword:00000001
"ServiceDll"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,69,\
  00,6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,\
  20,00,44,00,65,00,66,00,65,00,6e,00,64,00,65,00,72,00,5c,00,6d,00,70,00,73,\
  00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Security]
"Security"=hex:01,00,14,80,dc,00,00,00,e8,00,00,00,14,00,00,00,30,00,00,00,02,\
  00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
  00,00,02,00,ac,00,06,00,00,00,00,00,28,00,ff,01,0f,00,01,06,00,00,00,00,00,\
  05,50,00,00,00,b5,89,fb,38,19,84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,\
  00,0b,28,00,00,00,00,10,01,06,00,00,00,00,00,05,50,00,00,00,b5,89,fb,38,19,\
  84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,00,00,14,00,fd,01,02,00,01,01,\
  00,00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,\
  05,20,00,00,00,20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,\
  04,00,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,01,\
  01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo\0]
"Type"=dword:00000005
"Action"=dword:00000001
"GUID"=hex:e6,ca,9f,65,db,5b,a9,4d,b1,ff,ca,2a,17,8d,46,e0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender]
"DisableAntiSpyware"=dword:00000000

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku Scal

 

Wykonaj restart systemu i zaprezentuj nowy log z FSS.

Odnośnik do komentarza

Tak jak się spodziewałem import do rejestru wykonał się poprawnie. W takim razie to już wszystko i można przejść do kroków finalnych.

 

1. Wciśnij kombinację klawisza z flagą Windows + R wpisz CMD następnie wklej i wywołaj polecenie "C:\Users\Mentor\Desktop\ComboFix.exe" /uninstall

 

2. Użyj opcji Sprzątanie z OTL.

 

3. Na wszelki wypadek zmień hasła logowania do serwisów bo tego typu infekcja lubi takie dane łowić.

 

4. Opróżnij folder przywracania systemu: KLIK

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...