abraham2ooo Opublikowano 23 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 23 Kwietnia 2012 Witam. Do tej pory radziłem sobie raczej ze wszystkimi infekcjami, z jakimi mialem do czynienia, zazwyczaj google albo ComboFix rozwiązywałe sprawę, ale teraz mam małą zagwozdkę - ZeroAccess. Klientka zadzwoniła do mnie, że coś sie dzieje z antyvirusem, ochrona jest nieaktywna i nie idzie jej włączyć. Przy sprawdzaniu poszperalem chwilę, uruchomiłem ComboFixa i za pierwszym razem się zawiesił, reset i ponowne uruchomienie Combo, wyskoczyło: po naciśnięciu ok, 2-3 min i: tu po OK był jeszcze jeden kompunikat, po którym uruchomił się ponownie komputer. Później jeszcze ComboFix wymienił problemy z plikami Volsnap.sys i apenoq1s.dll Przeskanował komputer, wyrzucił parę plików i folderów (niestety nie mam pierwszego loga, usunąłem go, bo myślałem, że sprawa załatwiona, wrzucam bieżący). Po restarcie zainstalowany Eset działa, nie ma konkretnych objawów działania wirusa, internet jest, ale podczas ponownego uruchamiania Combofixa cały czas pokazuje się powyższy komunikat, bardzo długo pracuje, komputer się restuje, sprawdzanie przechodzi w 15 min (dość długo, mz.) nic nie wykrywa i wyświetla załączony log (odpalałem go dzisiaj 4 czy 5 razy i cały czas to samo). Przeczytałem juz kilka tematów związanych z tym rootkitem, próbowałem się go pozbyć, ale nadal coś gdzieś siedzi. Najbardziej niepokoją mnie: [2012-04-23 18:13:03 | 000,518,144 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWREG.exe [2012-04-23 18:13:03 | 000,406,528 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWSC.exe [2012-04-23 18:13:03 | 000,212,480 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWXCACLS.exe [2012-04-23 18:13:03 | 000,060,416 | ---- | C] (NirSoft) -- C:\WINDOWS\NIRCMD.exe [2012-04-23 17:14:01 | 000,256,000 | ---- | C] () -- C:\WINDOWS\PEV.exe [2012-04-23 17:14:01 | 000,208,896 | ---- | C] () -- C:\WINDOWS\MBR.exe [2012-04-23 17:14:01 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe [2012-04-23 17:14:01 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe [2012-04-23 17:14:01 | 000,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe usuwałem je ręcznie z OTL Live CD, ale znów się pojawiły. Antizeroaccess pisze, że nic nie wykrył. Użyłem jeszcze TDSSKiller i Kaspersky Removal Tool, i one też nic nie wykryły. Raporty z Gmera i mbam dołączę jutro, puściałem skanowanie na noc i rano jadę do klientki po logi. Proszę o pomoc. ComboFix.txt Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 24 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 24 Kwietnia 2012 Raporty z Gmera i mbam dołączę jutro, puściałem skanowanie na noc i rano jadę do klientki po logi. GMER tu jest niezbędny. Oczekuję nań. Po weryfikacji przejdę do czyszczenia kosmetycznego resztek śmieci. Po restarcie zainstalowany Eset działa, nie ma konkretnych objawów działania wirusa, internet jest, ale podczas ponownego uruchamiania Combofixa cały czas pokazuje się powyższy komunikat, bardzo długo pracuje, komputer się restuje, sprawdzanie przechodzi w 15 min (dość długo, mz.) nic nie wykrywa i wyświetla załączony log (odpalałem go dzisiaj 4 czy 5 razy i cały czas to samo). W logach nie widzę pośrednich znaków, by rootkit ZeroAccess był czynny, ale jak mówię nie ma raportu z GMER pod kątem rootkitów. Pytaniem jest, który komunikat widzisz przy uruchamianiu ComboFix, ten z pierwszego obrazka czy ten z drugiego? Najbardziej niepokoją mnie: [2012-04-23 18:13:03 | 000,518,144 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWREG.exe [2012-04-23 18:13:03 | 000,406,528 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWSC.exe [2012-04-23 18:13:03 | 000,212,480 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWXCACLS.exe [2012-04-23 18:13:03 | 000,060,416 | ---- | C] (NirSoft) -- C:\WINDOWS\NIRCMD.exe [2012-04-23 17:14:01 | 000,256,000 | ---- | C] () -- C:\WINDOWS\PEV.exe [2012-04-23 17:14:01 | 000,208,896 | ---- | C] () -- C:\WINDOWS\MBR.exe [2012-04-23 17:14:01 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe [2012-04-23 17:14:01 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe [2012-04-23 17:14:01 | 000,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe usuwałem je ręcznie z OTL Live CD, ale znów się pojawiły. To są składniki ComboFix ... . Odnośnik do komentarza
abraham2ooo Opublikowano 24 Kwietnia 2012 Autor Zgłoś Udostępnij Opublikowano 24 Kwietnia 2012 GMER tu jest niezbędny. Załączam. Żadnych alertów na czerwono nie widać. (tak późno, bo z rana wydawał mi się za krótki i puściłem jeszcze raz ) W logach nie widzę pośrednich znaków, by rootkit ZeroAccess był czynny, ale jak mówię nie ma raportu z GMER pod kątem rootkitów. Pytaniem jest, który komunikat widzisz przy uruchamianiu ComboFix, ten z pierwszego obrazka czy ten z drugiego? Widzę oba komunikaty, plus trzeci po polsku, że ComboFix wykrył rootkita i musi ponownie uruchomić komputer, ale po drugim komunikacie zamykają się już wszystkie procesy systemowe i nie mogę zrobić screena. To są składniki ComboFix ... No tak, dobrze wiedzieć na przyszlość. gmer.txt Odnośnik do komentarza
picasso Opublikowano 25 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 25 Kwietnia 2012 Raporty nie wskazują, by była tu czynna infekcja, komunikaty ComboFix są dla mnie zupełnie niejasne i nie pasują do tego co widzę. Sprawdź jaki będzie mieć skutek deinstalacja narzędzia. Wykonasz ją w punkcie 2: 1. Wykonaj wspominane przeze mnie wcześniej korekty, tzn. usunięcie szczątków i wpisów typu "not found". Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Documents and Settings\All Users\Dane aplikacji\F4D55F2C0029A93F00675A380CDF108C C:\Documents and Settings\s. Iwona\Dane aplikacji\Search Settings :OTL DRV - File not found [Adapter | On_Demand | Unknown] -- -- (Winsock - Google Desktop Search Backup Before Last Install) DRV - File not found [Adapter | On_Demand | Unknown] -- -- (Winsock - Google Desktop Search Backup Before First Install) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\ArcaBit\ArcaVir\ps_drv.sys -- (ps_drv) DRV - File not found [Kernel | On_Demand | Unknown] -- C:\DOCUME~1\S0904~1.IWO\USTAWI~1\Temp\mbr.sys -- (mbr) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\HPZipr12.sys -- (HPZipr12) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\S0904~1.IWO\USTAWI~1\Temp\CFcatchme.sys -- (CFcatchme) DRV - File not found [Kernel | On_Demand | Running] -- C:\DOCUME~1\S0904~1.IWO\USTAWI~1\Temp\catchme.sys -- (catchme) O2 - BHO: (PDFCreator Toolbar Helper) - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - Reg Error: Value error. File not found O3 - HKU\S-1-5-21-2608949019-1795743748-2640794766-1006\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found. O3 - HKU\S-1-5-21-2608949019-1795743748-2640794766-1006\..\Toolbar\WebBrowser: (PDFCreator Toolbar) - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - Reg Error: Value error. File not found O9 - Extra Button: ArcaVir >> - {40525A66-DB98-480D-BCF9-7AF88C1AF438} - C:\Program Files\ArcaBit\WebExtensions\ie\ArcaIEExt.dll File not found O9 - Extra 'Tools' menuitem : ArcaVir >> - {40525A66-DB98-480D-BCF9-7AF88C1AF438} - C:\Program Files\ArcaBit\WebExtensions\ie\ArcaIEExt.dll File not found O16 - DPF: {CAFEEFAC-0016-0000-0000-ABCDEFFEDCBA} "http://java.sun.com/update/1.6.0/jinstall-1_6_0-windows-i586.cab" (Reg Error: Key error.) O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.) :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{31CF9EBE-5755-4a1d-AC25-2834D952D9B4}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}] [-HKEY_LOCAL_MACHINE\SOFTWARE\swearware] :Commands [emptytemp] Klik w Wykonaj skrypt. Zaprezentuj raport z wynikami przetwarzania tego skryptu. 2. W Start > Uruchom > wklej komendę F:\ComboFix.exe /uninstall, zresetuj system, pobierz ponownie ComboFix na Pulpit (a nie dysk F) i uruchom. Te same zgłoszenia? . Odnośnik do komentarza
abraham2ooo Opublikowano 26 Kwietnia 2012 Autor Zgłoś Udostępnij Opublikowano 26 Kwietnia 2012 OTL usunął zadane śmieci, log załączam. ComboFix, zarówno odinstalowany z F:, jak i nowy, pobrany na pulpit nie wykazują błędów związanych z ZeroAccess, Cały czas działa jeszcze catchme: c:\docume~1\S0904~1.IWO\USTAWI~1\Temp\catchme.dll Usunąć go przez OTL, ręcznie, czy samoistnie się usuwa? ComboFix.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 26 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 26 Kwietnia 2012 Skoro teraz ComboFix nic nie wykrywa, a nic od ZeroAccess nie było tu usuwane (brak takich danych), to nie widzę innego wyjaśnienia niż jakieś kłopoty z przetworzeniem informacji własnych narzędzia, które to zostały wymazane przez kasację pewnego klucza CF w skrypcie OTL + deinstalację narzędzia. Skanów dodatkowych już nie zadaję, bo je robiłeś (TDSSKiller i Kaspersky Removal Tool). Dokończ sprawy porządkowe: 1. Przez Dodaj / Usuń programy rozpraw się z adware Dealio Toolbar v4.3 + DealPly + PDFCreator Toolbar. To zresztą wygląda na odpadki jakoś brutalnie niezgrabnie usuwane wcześniej, być może Windows poprosi tylko o usunięcie wpisu z listy zainstalowanych nie umiejąc wykryć pełnej instalacji. Popraw przez AdwCleaner z opcji Delete, po tym od razu Uninstall. 2. Po raz kolejny prawidłowa deinstalacja ComboFix przez komendę: "C:\Documents and settings\s. Iwona\Pulpit\ComboFix.exe" /uninstall Gdy ukończy, możesz użyć Sprzątanie w OTL. 3. Do przeprowadzenia ważne aktualizacje: KLIK. Tu wersje widoczne na liście zainstalowanych: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216010FF}" = Java 6 Update 26"{3248F0A8-6813-11D6-A77B-00B0D0160000}" = Java SE Runtime Environment 6"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish"{D5A6D02F-3CBB-4FBF-8F65-C3A6D721E8A4}" = OpenOffice.org 3.2"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin"FBDBServer_1_5_is1" = Firebird 1.5.0"Opera 11.61.1250" = Opera 11.61 4. Prewencyjna wymiana haseł logowania w serwisach. OTL usunął zadane śmieci, log załączam. ComboFix, zarówno odinstalowany z F:, jak i nowy, pobrany na pulpit nie wykazują błędów związanych z ZeroAccess,Cały czas działa jeszcze catchme: c:\docume~1\S0904~1.IWO\USTAWI~1\Temp\catchme.dll Usunąć go przez OTL, ręcznie, czy samoistnie się usuwa? To nie jest wyliczone w procesach, lecz jako plik na dysku, na dodatek w Temp. Lokalizacje tymczasowe były tu już czyszczone skryptem OTL, ale po tym uruchamiałeś ComboFix, który posługuje się Catchme. Po prostu jak mówię wyżej odinstalujesz ComboFix, a w razie czego ręcznie doczyścisz lokalizacje tymczasowe (TFC - Temp Cleaner robi to samo co komenda w OTL). . Odnośnik do komentarza
abraham2ooo Opublikowano 26 Kwietnia 2012 Autor Zgłoś Udostępnij Opublikowano 26 Kwietnia 2012 Wszystko jasne, dziękuję za pomoc Odnośnik do komentarza
Rekomendowane odpowiedzi