Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

HEUR:Backdoor.Win64.Generic

harry211

Przez harry211
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

harry211

harry211

Opublikowano
Opublikowano

Witam ;) od jakiegoś czasu mam problem z kompem - strasznie zamula, aplikacje otwierają się czasami 5 minut, anywirus sobie nie radzi, znajduje jakiegoś konia trojańskiego ale jak chce go wyleczyć przy próbie restartu pojawiają się błędy i po restarcie dalej to samo. Zdarza się, że komp sam się wyłącza. Antywirus wykrył coś takiego: Backdoor.Win32.ZAccess.aug. Pomożecie :( nie da się pracować ?

post-4375-0-06150600-1335219743_thumb.png

post-4375-0-85080800-1335219972_thumb.jpg

OTL.Txt

post-4375-0-77385300-1335220259_thumb.jpg

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Co kombinowałeś w narzędziu FRST? Dlaczego to log z OTLPE a nie normalnego OTL? Poproszę o normalne logi z OTL wykonane spod Windows. A dlatego, że usługi wyglądające na te od trojana ZeroAccess są tu przedstawione w dziwny sposób, przekierowanie na svchost.exe a nie moduł DLL, i to może być jakiś błąd poboru danych OTLPE:

 

SRV:64bit: - [2009/07/14 03:14:41 | 000,020,992 | ---- | M] (Microsoft Corporation) [Auto] -- C:\Windows\System32\svchost.exe -- (unlockerdriver5)
SRV:64bit: - [2009/07/14 03:14:41 | 000,020,992 | ---- | M] (Microsoft Corporation) [Auto] -- C:\Windows\System32\svchost.exe -- (trufos)
SRV:64bit: - [2009/07/14 03:14:41 | 000,020,992 | ---- | M] (Microsoft Corporation) [Auto] -- C:\Windows\System32\svchost.exe -- (SE27mgmt)
SRV:64bit: - [2009/07/14 03:14:41 | 000,020,992 | ---- | M] (Microsoft Corporation) [Auto] -- C:\Windows\System32\svchost.exe -- (ovt519)
SRV:64bit: - [2009/07/14 03:14:41 | 000,020,992 | ---- | M] (Microsoft Corporation) [Auto] -- C:\Windows\System32\svchost.exe -- (mcsysmon)

 

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Te usługi faktycznie tak widać w obu narzędziach, ale one wcale nie powinny tak wyglądać. Nie widać plików DLL, być może ich już nie ma po prostu, OTL wyszukuje "najbliższy traf". Przejdźmy do usuwania już.

 

 

1. Pobierz narzędzie FRST x64 i umieść na pendrive. W Notatniku wklej:

 

SubSystems: [Windows] ==> ZeroAccess
C:\Windows\System32\consrv.dll
C:\Windows\System32\dds_trash_log.cmd
C:\Windows\assembly\tmp\U
C:\Windows\assembly\tmp\loader.tlb
C:\Windows\assembly\tmp\{1B372133-BFFA-4dba-9CCF-5474BED6A9F6}
C:\Windows\assembly\GAC_64\desktop.ini
C:\Windows\assembly\GAC_32\desktop.ini
NETSVC: unlockerdriver5
NETSVC: trufos
NETSVC: SE27mgmt
NETSVC: ovt519
NETSVC: mcsysmon
Reg: reg delete HKLM\SYSTEM\ControlSet001\Services\unlockerdriver5 /f
Reg: reg delete HKLM\SYSTEM\ControlSet001\Services\trufos /f
Reg: reg delete HKLM\SYSTEM\ControlSet001\Services\SE27mgmt /f
Reg: reg delete HKLM\SYSTEM\ControlSet001\Services\ovt519 /f
Reg: reg delete HKLM\SYSTEM\ControlSet001\Services\mcsysmon /f
Reg: reg delete HKLM\SOFTWARE\mozilla\Firefox\Extensions /v {6E19037A-12E3-4295-8915-ED48BC341614} /f
CMD: C:\Windows\system32\fsutil.exe reparsepoint delete C:\Windows\system64
CMD: attrib -r -s -h C:\Windows\system32\drivers\etc\hosts
CMD: del /q C:\Windows\tasks\At*.job
CMD: del /q C:\Users\Jacek\AppData\Local\Temp*.html
C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml
C:\Program Files (x86)\mozilla firefox\searchplugins\fcmdSrch.xml
C:\Program Files (x86)\mozilla firefox\searchplugins\Search_Results.xml
C:\Users\Jacek\AppData\Roaming\Mozilla\Firefox\Profiles\eu5bfebk.default\searchplugins\Search_Results.xml

 

Plik zapisz pod nazwą fixlist.txt. Wstaw na pendrive obok narzędzia FRST.

 

2. F8 przy starcie komputera > "Napraw komputer" > w linii komend uruchom zgodnie z opisem narzędzie FRST i wybierz w nim opcję Fix. Skrypt umieszczony na pendrive zostanie przetworzony i powstanie plik fixlog.txt. Po ukończeniu pracy narzędzia restartujesz do Windows.

 

3. Uruchom GrantPerms x64, w oknie wklej:

 

C:\Windows\system32\drivers\etc\hosts


C:\Windows\system64

 

Klik w Unlock.

 

4. Zresetuj Winsock: Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wpisz komendę netsh winsock reset > zatwierdź restart komputera.

 

5. Zresetuj plik HOSTS do postaci domyślnej: posłuż się narzędziem Fix-it z artykułu KB972034.

 

6. Przejdź do Panelu sterowania i odinstaluj adware Windows Searchqu Toolbar oraz aplikacje FoxTab.

 

7. Wygeneruj do oceny nowe logi: OTL z opcji Skanuj (już bez Extras) + AdwCleaner z opcji Search + Farbar Service Scanner (wszystkie opcje zaznaczone). Dołącz fixlog.txt z punktu 2.

 

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano
ale chyba nie pomogło bo dalej antywirus znajduje jakiegoś wirusa ;/

 

No tak, ale gdzie, czyli jaka ścieżka dostępu, by można było ocenić co to jest? Poza tym, wprawdzie skrypt nie znalazł wszystkich elementów (widocznie antywirus to usuwał wcześniej), ale definitywnie nastąpiła poprawa i infekcja nie jest czynna, bowiem był możliwy reset Winsock naruszonego przez trojana ZeroAccess (przy czynnym trojanie jest to awykonalne). Zostały nam do wykonania poprawki, usuwanie szczątków oraz rekonstrukcja usług Windows skasowanych przez ZeroAccess (Zapora systemu Windows, Centrum zabezpieczeń i Windows Defender).

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
FF - prefs.js..browser.search.defaultenginename: "Search Results"
FF - prefs.js..browser.search.order.1: "Search Results"
FF - prefs.js..keyword.URL: "http://dts.search-results.com/sr?src=ffb&appid=0&systemid=419&sr=0&q="
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Mozilla\Firefox\Extensions]
"{6E19037A-12E3-4295-8915-ED48BC341614}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2419}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2419}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2419}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
""=-
 
:Files
C:\Windows\SysNative\drivers\etc\hosts.old
C:\Windows\system64
rd /s /q C:\FRST /C
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami usuwania.

 

2. Uruchom AdwCleaner i zastosuj w nim opcję Delete.

 

3. Odbuduj skasowane usługi:

  • Rekonstrukcja usług firewalla: KLIK. Odtwarzasz dwie usługi (BFE i MpsSvc) a nie trzy i omijasz sfc /scannow.
  • Rekonstrukcja usługi Centrum zabezpieczeń: KLIK.
  • Rekonstrukcja usługi Windows Defender: KLIK.

4. Zresetuj system. Wygeneruj nowe logi: OTL z opcji Skanuj oraz Farbar Service Scanner. Dorzuć log z wynikami przetwarzania skryptu w punkcie 1. I podaj gdzie antywirus dopatrzył się szkodnika.

 

 

 

 

 

.

Odnośnik do komentarza
harry211

harry211

Opublikowano
  • Autor
Opublikowano

kurczę nie dam rady już do tego dziś usiąść ale jest nieźle bo po restarcie "nie wywala" już wirusów. Nie wiem, może były w kwarantannie - wcześniej jak dawałem "usuń" restartował mi się komp, i trzeba było pominąć żeby cokolwiek móc zrobić, teraz dałem usuń i spokój... Jutro dokończę misję (nie wcześniej niż o 20.00 bo do 18 pracuję) i podeślę logi ale jeszcze raz bardzo dziękuję - komputer się już nie grzeje a zużycie procesora na normalnym poziomie ;). Admin - jesteś WIELKI, już myślałem o skorzystaniu z 4 lub 5 opcji po starcie komputera i wybraniu "Napraw komputer" - czyli reset wszystkiego do stanu początkowego.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano
jest nieźle bo po restarcie "nie wywala" już wirusów. Nie wiem, może były w kwarantannie - wcześniej jak dawałem "usuń" restartował mi się komp, i trzeba było pominąć żeby cokolwiek móc zrobić, teraz dałem usuń i spokój...

 

Czy posiadasz jakikolwiek raport skanera z przebiegu usuwania, z nagranymi ścieżkami dostępu co było usuwane?

 

 

PS. Zwracasz się do mnie jak do faceta. Jestem kobietą.

 

.

Odnośnik do komentarza
harry211

harry211

Opublikowano
  • Autor
Opublikowano

Welkom ;)

 

podaje co pokazuje mój antywirus:

  1. 2012-04-24 22:01:26 Usunięto Koń trojański Backdoor.Win32.ZAccess.aug C:\Windows\assembly\GAC_32\Desktop.ini
  2. 2012-04-23 19:50:34 Usunięto Koń trojański Backdoor.Win64.ZAccess.bh c:\windows\system32\pensup.dll
  3. 2012-04-23 19:49:17 Usunięto Koń trojański Backdoor.Win32.ZAccess.aug C:\Windows\assembly\GAC_32\Desktop.ini
  4. 2012-04-23 20:03:03 Usunięto Koń trojański Backdoor.Win64.ZAccess.bh c:\windows\system32\rt2500.dll
  5. 2012-04-23 20:04:26 Usunięto Koń trojański Backdoor.Win64.ZAccess.bh C:\Windows\System32\EpmShd.dll
  6. 2012-04-24 22:01:26 Usunięto Koń trojański HEUR:Backdoor.Win64.Generic C:\Windows\assembly\GAC_64\Desktop.ini
  7. 2012-04-23 20:18:11 Usunięto Koń trojański Trojan-Downloader.Win32.Agent.gyal C:\Windows\assembly\temp\U\000000cf.@
  8. 2012-04-23 20:25:46 Usunięto Koń trojański Backdoor.Win32.ZAccess.aug C:\Windows\assembly\GAC_32\Desktop.ini
  9. 2012-04-23 20:33:29 Usunięto Koń trojański Backdoor.Win64.ZAccess.bh C:\Windows\System32\backupexecagentbrowser.dll
  10. 2012-04-23 20:51:22 Usunięto Koń trojański Backdoor.Win64.ZAccess.bh C:\Windows\System32\mstdfrgs.dll Wysoki poziom bezpieczeństwa
  11. 2012-04-23 21:19:35 Usunięto Koń trojański Backdoor.Win64.ZAccess.bh C:\Windows\System32\ptilink.dll Wysoki poziom bezpieczeństwa
  12. 2012-04-24 08:06:45 Usunięto Koń trojański HEUR:Backdoor.Win64.Generic C:\Windows\assembly\temp\U\80000000.$
  13. 2012-04-24 19:02:40 Usunięto Koń trojański Trojan-Dropper.Win64.ZAccess.a C:\Windows\System32\consrv.dll
  14. 2012-04-24 23:22:04 Usunięto Koń trojański Backdoor.Win32.ZAccess.ckc c:\Windows\assembly\temp\U\80000032.@

Stan: Poddano kwarantannie (zdarzenia: 3)

  1. 2012-04-24 20:25:09 Poddano kwarantannie Koń trojański HEUR:Backdoor.Win64.Generic C:\Windows\assembly\temp\U\80000000.@
  2. 2012-04-24 20:25:09 Poddano kwarantannie Koń trojański HEUR:Backdoor.Win64.Generic C:\Windows\assembly\temp\U\80000000.$
  3. 2012-04-23 20:22:54 Poddano kwarantannie nieznane zagrożenie UDS:DangerousObject.Multi.Generic c:\Windows\SysWOW64\120671j2o.com_

 

kurczę zatrzymałem się na narzędziu SetACL - nie da się nic wypakować, jak klikam ten plik przez ułamek sek mignie czarny ekran-okno i tyle

post-4375-0-70657500-1335382825_thumb.jpg

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano
kurczę zatrzymałem się na narzędziu SetACL - nie da się nic wypakować, jak klikam ten plik przez ułamek sek mignie czarny ekran-okno i tyle

 

Wykonujesz nie to co należy. Po pierwsze: próbujesz rozpakować plik, który nie jest archiwum, to co jest na obrazku tu to już końcowy plik wykonywalny SetACL.exe. Po drugie: to program konsolowy, bezpośrednie uruchomienie skutkuje samoczynnym zamknięciem. Po trzecie: w instrukcji było powiedziane co innego, tego programu nie masz uruchamiać bezpośrednio, masz go skopiować do katalogu C:\Windows.

 

PS. I proszę stosuj opcję Edytuj, gdy nikt jeszcze nie odpisał, a chcesz uzupełnić insformacje, zamiast tworzyć X postów w serii. Posty wyżej sklejam.

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Podałeś mi niewłaściwy raport fixlog, to stary z narzędzia FRST i go usuwam. Miałeś podać log wytworzony z przetwarzania skryptu OTL. Logami z OTL zajmę się potem, po naprawieniu tego:

 

 

Przesyłam logi, coś tam nie poszło obrazkowo i czegoś brakowało przesyłam screen.

 

Log z Farbar Service Scanner jest bez zmian. Nadal brakuje w rejestrze usług: BFE, MpsSvc, wscsvc i WinDefend. W takiej sytuacji zadanie z SetACL nie mogło się wcale wykonać na nieistniejącym kluczu. Czy Ty na pewno zaimportowałeś pliki REG odtwarzające usługi w rejestrze? A jeśli tak, to czy nie było aby jakiś błędów? Powtarzaj wszystko od początku: import plików REG, po tym dwa pliki fix.txt ładowane po kolei przez SetACL z linii komend, restart systemu.

 

 

 

 

.

Odnośnik do komentarza
harry211

harry211

Opublikowano
  • Autor
Opublikowano
Log z Farbar Service Scanner jest bez zmian. Nadal brakuje w rejestrze usług: BFE, MpsSvc, wscsvc i WinDefend. W takiej sytuacji zadanie z SetACL nie mogło się wcale wykonać na nieistniejącym kluczu. Czy Ty na pewno zaimportowałeś pliki REG odtwarzające usługi w rejestrze? A jeśli tak, to czy nie było aby jakiś błędów?

 

czy zaimportowałem pliki REG? Wypakowałem je, dałem prawy guzik "Scal" i po kliknięciu wyświetlił się ten plik w notatniku, nie było żadnej komendy typu że plik dodano do rejestru itd.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano
czy zaimportowałem pliki REG? Wypakowałem je, dałem prawy guzik "Scal" i po kliknięciu wyświetlił się ten plik w notatniku, nie było żadnej komendy typu że plik dodano do rejestru itd.

 

Czyli: nie zaimportowałeś. To co opisujesz nie jest prawidłowe i wskazuje, że funkcja "Scal" jest skojarzona z otwieraniem pliku a nie jego importem. W prawidłowych warunkach po użyciu Scal zgłasza się pop-up zatwierdzania importu, a nie otwiera się Notatnik. Korektę opcji Scal wykonam potem. Na teraz ukończmy naprawę usług. Poza tym, mówisz o "wypakowaniu" plików, co masz na myśli? Dwa pliki były do pobrania w formacie TXT i należało ręcznie zmienić im nazwę na REG, dwa kolejne miałeś ręcznie stworzyć w Notatniku.

 

By zaimportować te pliki REG, zrób obejście tzn.: Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator. W edytorze rejestru z menu Plik wybierz opcję Importuj i po kolei wskaż wszystkie pliki REG.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Do powtórki była tylko część z plikami REG i SetACL, a nie akcje w AdwCleaner. Nareszcie: wszystkie usługi odbudowane. Przechodzimy do tej części:

 

 

1. Drobna korekta na wyszukiwarkę w IE dts.search-results.com oraz próba naprawy opcji "Scal". Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2419}]
 
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.reg]
 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.reg]
 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.reg\OpenWithList]
 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.reg\OpenWithProgids]
"regfile"=hex(0):

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Tak jak poprzednio: uruchom regedit i przez menu zaimportuj plik, zresetuj system. Po restarcie przetestuj na tym samym pliku REG czy Scal działa już prawidłowo, tzn. użyj tę opcję, a przy zgłoszeniu dialogu importu po prostu anuluj.

 

2. Uporządkuj po narzędziach: w AdwCleaner zastosuj Uninstall, w OTL uruchom Sprzątanie, resztę pobranych narzędzi usuń ręcznie.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...