M3ntoR Opublikowano 20 Marca 2012 Zgłoś Udostępnij Opublikowano 20 Marca 2012 Witam mam dosyć popularny ostatnimi czasy problem z rootkitem zeroacces. Praktycznie wszystkie wyniki w google w których zawarte są wyrazy związane z usuwaniem wirusów przekierowywują mnie na abnow.com Próbowałem robić parę rzeczy na własną rękę: -ComboFix, ale niestety nie działa -Malwarebytes-poszedł skan. Abnow.com nie wyświetla się już w Mozilli, w Chrome nadal. -Skany anty rootkitami tez coś znalazły -ad-aware, też coś tam niby wywalił Ale ciągle ni mogę odpalić ComoFixa, nawet w trybie awaryjnym i po zmianie nazwy (słyszałem że u kogoś tam zadzialał). zauważyłem też że niektóre stronki wyświetlają mi się bez Flasha, albo w ogóle w totalnym nieładzie. Zrobiłem też naprawianie komputera narzędziem FRST64.exe i chciałbym wkleić loga i poczekać na dalsze wytyczne co do naprawy. Z góry dziękuję za pomoc Zamieszczam Logi z GMER i FRST GMER.txt FRST.txt Odnośnik do komentarza
Landuss Opublikowano 20 Marca 2012 Zgłoś Udostępnij Opublikowano 20 Marca 2012 Gmer to nie jest program na systemy 64-bitowe i nie używaj tego więcej na takim systemie. FRST z kolei nie nadaje się do użytkowania z poziomu uruchomionego systemu a raczej z zewnątrz (WinRe) i tym się tutaj można będzie posłużyć w sytuacji gdy jest problem z ComboFix. Infekcja jest aktywna, ale że jest to system 64 bitowy jest ją teoretycznie prościej usunąć bo infekcja na takim systemie nie jest rootkitem. 1. Przygotuj w Notatniku następujący skrypt: SubSystems: [Windows] ==> ZeroAccess NETSVC: usb_rndisx 2 usb_rndisx; C:\Windows\System32\changer.dll [5120 2009-07-14] (Iomega) C:\Windows\System32\changer.dll C:\Windows\System32\consrv.dll C:\Windows\System32\dds_log_ad13.cmd C:\Windows\system32\%APPDATA% C:\Windows\assembly\tmp\U C:\Windows\assembly\tmp\loader.tlb C:\Windows\assembly\GAC_64\desktop.ini C:\Windows\assembly\GAC_32\desktop.ini C:\Users\Mentor\AppData\Local\298a836a Plik zapisz pod nazwą fixlist.txt 2. Narzedzie FRST umieść na pendrive razem z plikiem fixlist.txt. Przy starcie komputera daj F8 i wybierz opcję "Napraw komputer", z poziomu linii komend uruchom FRST i kliknij w Fix. Na pendrive powstanie plik fixlog.txt. Restartujesz do Windows. 3. Reset Winsock: Start > Uruchom > cmd i wpisz komendę netsh winsock reset. Zresetuj system. 4. Do oceny dajesz log z działania w punkcie 2, log z OTL ze skanu i z Farbar Service Scanner (zaznacz wszystko do skanowania). Odnośnik do komentarza
M3ntoR Opublikowano 20 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 20 Marca 2012 Zrobiłem wszystko Wklejam tylko log z FSS póki co. EDIT Jest i log z OTL Fixlog.txt FSS.txt OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 20 Marca 2012 Zgłoś Udostępnij Opublikowano 20 Marca 2012 Infekcja została pomyślnie usunięta, ale jeszcze korekty wymaga odtworzenie dwóch usuniętych tutaj całkowicie usług: MpsSvc Service is not running. Checking service configuration: Checking Start type: Attention! Unable to open MpsSvc registry key. The service key does not exist. Checking ImagePath: Attention! Unable to open MpsSvc registry key. The service key does not exist. Checking ServiceDll: Attention! Unable to open MpsSvc registry key. The service key does not exist. bfe Service is not running. Checking service configuration: Checking Start type: Attention! Unable to open bfe registry key. The service key does not exist. Checking ImagePath: Attention! Unable to open bfe registry key. The service key does not exist. Checking ServiceDll: Attention! Unable to open bfe registry key. The service key does not exist. Wejdź w ten temat: KLIK. Przejdź w sekcje "Rekonstrukcja kluczy usług" i napraw dwie pierwsze - Podstawowy aparat filtrowania (BFE) oraz Zapora systemu Windows (MpsSvc) importując podane wpisy rejestru. Następnie przejdź niżej do rekonstrukcji uprawnień kluczy i wykonaj też dla tych dwóch naprawę przez SetACL. Po wykonaniu wszystkiego zgłoś się z nowym logiem z FSS Odnośnik do komentarza
M3ntoR Opublikowano 20 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 20 Marca 2012 Wszystko zrobione, oto log z FSS Dziękuję bardzo za profesjonalną pomoc! FSS.txt Odnośnik do komentarza
Landuss Opublikowano 20 Marca 2012 Zgłoś Udostępnij Opublikowano 20 Marca 2012 Usługi wróciły ale log pokazuje, ze nie są zastartowane a więc: Start > w polu szukania wpisz services.msc > z prawokliku Uruchom jako Administrator > na liście wyszukaj usługę Zapora systemu Windows oraz Podstawowy aparat filtrowania, z dwukliku wejdź do właściwości i zastartuj przyciskiem. Uruchamianie oczywiście ma być ustawione na tryb Automatyczny. I jeszcze jedna sprawa bo wcześniej tego nie zauważyłem a to tez jest pochodna ZeroAccess czyli usługa Windows Defender kierująca na nieprawidłowy (32-bitowy) plik zamaist w twoim przypadku na 64 bitowy: The ServiceDll of WinDefend: "%ProgramFiles(x86)%\Windows Defender\mpsvc.dll". Wklej więc do notatnika taki tekst: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend] "DisplayName"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-103" "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,73,00,65,00,63,00,73,00,76,00,63,00,73,00,00,00 "Start"=dword:00000002 "Type"=dword:00000020 "Description"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-1176" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00 "ObjectName"="LocalSystem" "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,\ 00,6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,\ 65,00,00,00,53,00,65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,\ 74,00,6f,00,72,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\ 00,00,00,53,00,65,00,44,00,65,00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,\ 69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,68,00,61,00,6e,00,67,\ 00,65,00,4e,00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,\ 6c,00,65,00,67,00,65,00,00,00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,\ 00,74,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 53,00,65,00,53,00,68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6e,00,63,00,\ 72,00,65,00,61,00,73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,41,00,73,00,73,00,\ 69,00,67,00,6e,00,50,00,72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,\ 00,65,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 00,00 "DelayedAutoStart"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,69,\ 00,6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,\ 20,00,44,00,65,00,66,00,65,00,6e,00,64,00,65,00,72,00,5c,00,6d,00,70,00,73,\ 00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Security] "Security"=hex:01,00,14,80,dc,00,00,00,e8,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,ac,00,06,00,00,00,00,00,28,00,ff,01,0f,00,01,06,00,00,00,00,00,\ 05,50,00,00,00,b5,89,fb,38,19,84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,\ 00,0b,28,00,00,00,00,10,01,06,00,00,00,00,00,05,50,00,00,00,b5,89,fb,38,19,\ 84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,00,00,14,00,fd,01,02,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,\ 05,20,00,00,00,20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,\ 04,00,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,01,\ 01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo\0] "Type"=dword:00000005 "Action"=dword:00000001 "GUID"=hex:e6,ca,9f,65,db,5b,a9,4d,b1,ff,ca,2a,17,8d,46,e0 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender] "DisableAntiSpyware"=dword:00000000 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku Scal Wykonaj restart systemu i zaprezentuj nowy log z FSS. Odnośnik do komentarza
M3ntoR Opublikowano 21 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 21 Marca 2012 Przy próbie scalenia wyskakuje błąd, że niektóre klucze są otwarte przez system lub inne procesy Odnośnik do komentarza
Landuss Opublikowano 22 Marca 2012 Zgłoś Udostępnij Opublikowano 22 Marca 2012 Z tego co zdąrzyłem się dowiedzieć to ten błąd jest rzeczą normalną, ale import do rejestru powinien się powieść. Wklej nowego loga z FSS. Odnośnik do komentarza
M3ntoR Opublikowano 22 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 22 Marca 2012 prosze FSS.txt Odnośnik do komentarza
Landuss Opublikowano 22 Marca 2012 Zgłoś Udostępnij Opublikowano 22 Marca 2012 Tak jak się spodziewałem import do rejestru wykonał się poprawnie. W takim razie to już wszystko i można przejść do kroków finalnych. 1. Wciśnij kombinację klawisza z flagą Windows + R wpisz CMD następnie wklej i wywołaj polecenie "C:\Users\Mentor\Desktop\ComboFix.exe" /uninstall 2. Użyj opcji Sprzątanie z OTL. 3. Na wszelki wypadek zmień hasła logowania do serwisów bo tego typu infekcja lubi takie dane łowić. 4. Opróżnij folder przywracania systemu: KLIK Odnośnik do komentarza
M3ntoR Opublikowano 24 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 24 Marca 2012 Dziękuję za pomoc Odnośnik do komentarza
Rekomendowane odpowiedzi