Problem z trojanem zeroaccess

[lbj6]

Cześć,

 

dobrze wiedzieć, że w internecie siedzą nie tylko źli ludzie, ale i ci dobrzy. Przechodząc do tematu.

 

Kilka dni temu antywirus zaczął krzyczeć o dziwnych rzeczach dziejących się z komputerem. Szybka analiza wykazała, że to trojan zeroaccess!inf. Pogrzebałem trochę po sieci i znalazłem informacje o Combofiksie i jego cudownych właściwościach. Uruchomiłem, przeskanowałem, pobieżny przegląd efektów wykazał, że istota problemu odeszła. Pojawiły się jednak kolejne. Najbardziej dotkliwą był brak możliwości ustanowienia połączenia z siecią - sieć nie mogła być zidentyfikowana. Dopiero ustawienie połączenia na sztywno zadziałało. Minęło kilka dni, a ja nie miałem za bardzo czasu ni możliwości by siedzieć przy komputerze. Dopiero w weekend zacząłem nieco grzebać i trafiłem m.in. na Wasze forum i już wiem, że Combofiks ma nie tylko rewelacyjne właściwości, ale i te gorsze. Doczytałem, że problem może być z usługą DHCP i że pewnie po usunięciu infekcji (o ile rzeczywiście tak się stało) na komputerze zostało wiele śmieci.

 

W związku z powyższym proszę serdecznie o pomoc. Dołączam zestawy logów z Combofiksa - nie odinstalowywałem go, logi są z 23 marca oraz logi z OTL i GMER (z dziś).

Niestety z przyczyn niezależnych ode mnie nie mogłem wyłączyć / odinstalować antywirusa, więc programy działały obok siebie, mam nadzieję, że zbyt dużych problemów to nie przysporzy.

ComboFix.txt

OTL.Txt

Extras.Txt

GMER.txt

[picasso]

ComboFix wprawdzie częściowo usunął infekcję w sferze aktywnej, ale jest nie doczyszczona cała masa usług odpadków po ZeroAccess, a sieć ma trudności, bo rootkit ZeroAccess naruszył plik sieciowy Windows:

 

DRV - [2009-07-14 01:12:11 | 000,074,240 | ---- | M] () [Kernel | System | Stopped] -- C:\Windows\System32\drivers\tdx.sys -- (tdx)

 

Odpowiednikiem tego uszkodzenia są te błędy z Dziennika zdarzeń:

 

Error - 2012-04-01 04:07:10 | Computer Name = ... | Source = Service Control Manager | ID = 7000
Description = Nie można uruchomić usługi Sterownik obsługi starszych urządzeń TDI
 NetIO z powodu następującego błędu:   %%193
 
Error - 2012-04-01 04:07:10 | Computer Name = ... | Source = Service Control Manager | ID = 7001
Description = Usługa Klient DNS zależy od usługi Sterownik obsługi starszych urządzeń
 TDI NetIO, której nie można uruchomić z powodu następującego błędu:   %%193

 

 

1. Przejdź w Tryb awaryjny Windows i wykonaj weryfikację poprawności plików systemowych za pomocą komendy sfc /scannow, za pomocą kolejnej komendy przefiltruj log do wystąpień znaczników [sR]: KLIK.

 

2. Odbuduj domyślną wartość NetSvcs dla systemu Windows 7. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost]
"netsvcs"=hex(7):41,00,65,00,4c,00,6f,00,6f,00,6b,00,75,00,70,00,53,00,76,00,\
  63,00,00,00,43,00,65,00,72,00,74,00,50,00,72,00,6f,00,70,00,53,00,76,00,63,\
  00,00,00,53,00,43,00,50,00,6f,00,6c,00,69,00,63,00,79,00,53,00,76,00,63,00,\
  00,00,6c,00,61,00,6e,00,6d,00,61,00,6e,00,73,00,65,00,72,00,76,00,65,00,72,\
  00,00,00,67,00,70,00,73,00,76,00,63,00,00,00,49,00,4b,00,45,00,45,00,58,00,\
  54,00,00,00,41,00,75,00,64,00,69,00,6f,00,53,00,72,00,76,00,00,00,46,00,61,\
  00,73,00,74,00,55,00,73,00,65,00,72,00,53,00,77,00,69,00,74,00,63,00,68,00,\
  69,00,6e,00,67,00,43,00,6f,00,6d,00,70,00,61,00,74,00,69,00,62,00,69,00,6c,\
  00,69,00,74,00,79,00,00,00,49,00,61,00,73,00,00,00,49,00,72,00,6d,00,6f,00,\
  6e,00,00,00,4e,00,6c,00,61,00,00,00,4e,00,74,00,6d,00,73,00,73,00,76,00,63,\
  00,00,00,4e,00,57,00,43,00,57,00,6f,00,72,00,6b,00,73,00,74,00,61,00,74,00,\
  69,00,6f,00,6e,00,00,00,4e,00,77,00,73,00,61,00,70,00,61,00,67,00,65,00,6e,\
  00,74,00,00,00,52,00,61,00,73,00,61,00,75,00,74,00,6f,00,00,00,52,00,61,00,\
  73,00,6d,00,61,00,6e,00,00,00,52,00,65,00,6d,00,6f,00,74,00,65,00,61,00,63,\
  00,63,00,65,00,73,00,73,00,00,00,53,00,45,00,4e,00,53,00,00,00,53,00,68,00,\
  61,00,72,00,65,00,64,00,61,00,63,00,63,00,65,00,73,00,73,00,00,00,53,00,52,\
  00,53,00,65,00,72,00,76,00,69,00,63,00,65,00,00,00,54,00,61,00,70,00,69,00,\
  73,00,72,00,76,00,00,00,57,00,6d,00,69,00,00,00,57,00,6d,00,64,00,6d,00,50,\
  00,6d,00,53,00,70,00,00,00,54,00,65,00,72,00,6d,00,53,00,65,00,72,00,76,00,\
  69,00,63,00,65,00,00,00,77,00,75,00,61,00,75,00,73,00,65,00,72,00,76,00,00,\
  00,42,00,49,00,54,00,53,00,00,00,53,00,68,00,65,00,6c,00,6c,00,48,00,57,00,\
  44,00,65,00,74,00,65,00,63,00,74,00,69,00,6f,00,6e,00,00,00,4c,00,6f,00,67,\
  00,6f,00,6e,00,48,00,6f,00,75,00,72,00,73,00,00,00,50,00,43,00,41,00,75,00,\
  64,00,69,00,74,00,00,00,68,00,65,00,6c,00,70,00,73,00,76,00,63,00,00,00,75,\
  00,70,00,6c,00,6f,00,61,00,64,00,6d,00,67,00,72,00,00,00,69,00,70,00,68,00,\
  6c,00,70,00,73,00,76,00,63,00,00,00,73,00,65,00,63,00,6c,00,6f,00,67,00,6f,\
  00,6e,00,00,00,41,00,70,00,70,00,49,00,6e,00,66,00,6f,00,00,00,6d,00,73,00,\
  69,00,73,00,63,00,73,00,69,00,00,00,4d,00,4d,00,43,00,53,00,53,00,00,00,77,\
  00,65,00,72,00,63,00,70,00,6c,00,73,00,75,00,70,00,70,00,6f,00,72,00,74,00,\
  00,00,45,00,61,00,70,00,48,00,6f,00,73,00,74,00,00,00,50,00,72,00,6f,00,66,\
  00,53,00,76,00,63,00,00,00,73,00,63,00,68,00,65,00,64,00,75,00,6c,00,65,00,\
  00,00,68,00,6b,00,6d,00,73,00,76,00,63,00,00,00,53,00,65,00,73,00,73,00,69,\
  00,6f,00,6e,00,45,00,6e,00,76,00,00,00,77,00,69,00,6e,00,6d,00,67,00,6d,00,\
  74,00,00,00,62,00,72,00,6f,00,77,00,73,00,65,00,72,00,00,00,54,00,68,00,65,\
  00,6d,00,65,00,73,00,00,00,42,00,44,00,45,00,53,00,56,00,43,00,00,00,41,00,\
  70,00,70,00,4d,00,67,00,6d,00,74,00,00,00,00,00
 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku na plik opcją Scal

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL

SRV - File not found [Auto | Stopped] -- %systemroot%\system32\nsm1serd.dll -- (yukonwxp)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\avgcoresvc.dll -- (wmdmpmsn)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\kpfwsvc.dll -- (winachsf)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\tosrfsnd.dll -- (websensecpmcommunicationagent)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\NWUSBPort.dll -- (w29n51)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\pdcomp.dll -- (vmauthdservice)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\gusvc.dll -- (vaiomediaplatform-integratedserver-appserver)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\acprfmgrsvc.dll -- (ups)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\mgactrl.dll -- (tavsvc)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\merakpop3.dll -- (Tablet2k)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\ctsfm2k.dll -- (symids)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\CTEXFIFX.DLL.dll -- (Spsmqvsm)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\avfilter.dll -- (smbusp)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\ELmou.dll -- (sfilter)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\i81x.dll -- (se45mdm)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\ctmmfilt.dll -- (se44bus)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\apache2.dll -- (SE2Ebus)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\dptrackerd.dll -- (s125mdm)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\viamraid.dll -- (s117obex)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\lxct_device.dll -- (roxmediadb9)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\hcf_msft.dll -- (retroexplauncher)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\srtspx.dll -- (pcandis5)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\atikmdag.dll -- (patrol_scheduler)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\ventrilo.dll -- (p1131vid)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\YahooAUService.dll -- (Nsynas32)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\ndasscsi.dll -- (NdisFilt)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\rpskt.dll -- (merakcontrol)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\diskperf.dll -- (mcsysmon)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\paamsrv.dll -- (lvuvc)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\zdeviceservice.dll -- (lmimaint)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\ppa3.dll -- (lbtserv)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\symndis.dll -- (kpfwsvc)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\artdhcp.dll -- (kavsvc)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\ownershipprotocol.dll -- (ip6fw)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\orbmediaservice.dll -- (inspect)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\s616nd5.dll -- (igateway)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\pdlncfwk.dll -- (idechndr)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\zpnodecollector.dll -- (ibmfilter)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\epstnt01.dll -- (GTPTSER)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\abiosdsk.dll -- (GT680x)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\afs2k.dll -- (giveio)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\sscdbhk5.dll -- (GENERICDRV)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\Rawwan.dll -- (fsbwsys)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\NSSvcMgr.dll -- (forcewarewebinterface)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\SE27mdm.dll -- (fix)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\lemsgt.dll -- (EPOWER)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\symantecantibotagent.dll -- (earthlinksafeconnectagent)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\msvad_simple.dll -- (drvmcdb)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\basic2.dll -- (djsnetcn)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\winmtsrv.dll -- (datunidr)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\NuidFltr.dll -- (cxusb)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\s116bus.dll -- (cxlpt)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\aavmker4.dll -- (comhost)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\transarcafsdaemon.dll -- (clmtomcatstartersvc)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\zfdwm.dll -- (cisvc)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\se45mdfl.dll -- (cdmservice)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\pgpsdkservice.dll -- (CAMFLT)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\regservice.dll -- (BUFADPT)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\CXTUNE.dll -- (btnetfilter)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\proxyserverservice.dll -- (bdfdll)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\GENERICDRV.dll -- (avgmfx86)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\PCTINDIS5.dll -- (atalk)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\vmauthdservice.dll -- (aspnet_state)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\IJPLMSVC.dll -- (antivirservice)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\ssdiagn.dll -- (ANC)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\resourcemanagermail.dll -- (amsint)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\hnmsvc.dll -- (ACDaemon)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\delldmi.dll -- (_iomega_active_disk_service_)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\lnowicki\AppData\Local\Temp\catchme.sys -- (catchme)
FF - prefs.js..browser.startup.homepage: "pl.v9.com/ins/ins_1332543244_119391"
[2012-03-24 00:54:05 | 000,002,415 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\v9.xml
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.)
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami.

 

4. Przedstawiasz log z wynikami SFC z punktu 1, log z przetwarzania skryptu z punktu 3 oraz nowy log z OTL z opcji Skanuj.

 

 

 

.

[lbj6]

Dzięki za szybką odpowiedź. Dodaję logi, o które prosiłaś.

sfc.txt

04012012_113514.txt

OTL_2.Txt

[picasso]

Wszystkie zadania pomyślnie przeprowadzone. Narzędzie SFC naprawiło plik:

 

2012-04-01 11:28:21, Info    CSI    000001b6 [sR] Cannot repair member file [l:14{7}]"tdx.sys" of Microsoft-Windows-TDI-Over-TCPIP, Version = 6.1.7600.16385, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch
2012-04-01 11:28:21, Info    CSI    000001b7 [sR] Repaired file \SystemRoot\WinSxS\Manifests\\[l:14{7}]"tdx.sys" by copying from backup
2012-04-01 11:28:21, Info    CSI    000001b9 [sR] Repairing corrupted file [ml:520{260},l:62{31}]"\??\C:\Windows\System32\drivers"\[l:14{7}]"tdx.sys" from store

 

Plik otrzymał sygnaturę Microsoftu i zniknął z listy niedomyślnych sterowników OTL. Sieć powinna już działać poprawnie bez sztywnego adresowania (Klient DNS będący w zależności od TDX może już startować), aczkolwiek jeszcze pod tym kątem na wszelki wypadek poniżej punkt 1 do wykonania.

 

 

1. Start > w polu szukania wpisz devmgmt.msc > z prawokliku Uruchom jako Administrator. W menu Widok włącz pokazywanie ukrytych urządzeń. Posprawdzaj czy na liście w sekcjach "Sterowniki niezgodne z Plug and Play" oraz "Karty sieciowe" widnieją jakieś zdefektowane urządzenia z wykrzyknikiem. Jeśli nie, OK. Jeśli tak, z prawokliku je odinstaluj i zresetuj system. Windows na restarcie przebuduje urządzenia.

 

2. Odinstaluj w prawidłowy sposób ComboFix, co także wyczyści foldery Przywracania systemu. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę:

 

C:\Users\lnowicki\Desktop\ComboFix.exe /uninstall

 

Gdy deinstalacja się ukończy, możesz zastosować opcję Sprzątanie w OTL, parającą się samokasacją OTL i jego kwarantanny.

 

3. Wykonaj pełne skanowanie za pomocą Malwarebytes Anti-Malware. Przedstaw raport, o ile coś zostanie wykryte. Pustego nie ma sensu dołączać.

 

 

 

.

[lbj6]

Dzięki śliczne.

 

Ad. 1 Nie znalazłem żadnych problemów z urządzeniami. Połączenie z internetem na podstawie danych uzyskanych automatycznie, więc jest ok.

ComboFix i OTL odinstalowane bez przeszkód

Skanowanie Malwarebytes Anti-Malware też nie wykazało żadnych problemów.

 

Dzięki raz jeszcze za błyskawiczną i sprawną pomoc. Będę pamiętał o wsparciu dla forum.

[picasso]

Tu jeszcze mamy do zrobienia pewne rzeczy:

 

1. Aktualizacje systemu + oprogramowania pobocznego wg wytycznych: KLIK. Na Twojej liście widać brak SP1 oraz wersje:

 

Enterprise Edition  (Version = 6.1.7600) - Type = NTWorkstation
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216018FF}" = Java™ 6 Update 18
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Mozilla Firefox 9.0.1 (x86 pl)" = Mozilla Firefox 9.0.1 (x86 pl)
"Opera 11.60.1185" = Opera 11.60
 
========== HKEY_USERS Uninstall List ==========
 
[HKEY_USERS\S-1-5-21-1644491937-117609710-682003330-71028\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Google Chrome" = Google Chrome

 

(Google Chrome to 17.0.963.83 = wg ścieżek z głównego OTL)

 

2. Na wszelki wypadek zmiana haseł logowania w serwisach.

 

Dopiero jak wykonasz w/w i potwierdzisz pomyślną instalację pakietu SP1 / brak błędów w tej materii, temat uznam za zakończony.

 

 

.

[lbj6]

Ok., powyższe będę mógł wykonać dopiero bardzo późnym wieczorem. Dam znać jak poszło.

Edytowane 7 Maja 2012 przez picasso
7.05.2012 - Ponad miesiąc, brak dodatkowych komentarzy, temat zamykam. //picasso