Problem z Windows 7, infekcja ZeroAccess

[kaczor0]

Zaczęło się od tego, iż coś się stało z Siecią. Chciałem przesłać zdjęcia na komputer ojca przez router ale z niewiadomych przyczyn na początku w ogóle folder "Sieć" mi się zawieszał [nic się nie pojawiało], później po restarcie i kombinacjach z routerem i kablem zaczął pokazywać tylko w Urzadzeniach Multimedialnych. Nie wiem czemu także nie mogę ustawić Odnajdowania Sieci w Centrum Udostępniania [znalazłem coś w Googlach z wpisywaniem paru komend w cmd ale nic nie dało].

 

Postanowiłem przeskanować system. Dawno tego nie robiłem, zwykle jak trzeba ściągam co jakiś czas darmowy program, skanuję i wywalam [za bardzo mi laptopa muli]. Najpierw nowy Avast! 7 Free, coś tam znalazł [parę trojanów, robaków], lecz po chwili wyskoczyło okienko, że do usunięcia czegoś tam trzeba zresetować komputer i przed zbootowaniem Windowsa zeskanuje i usunie. Tak też zrobiłem, i przed uruchomieniem Windowsa skanowało ładne 30 min, po tym zaczęło przenosić do kwarantanny i "Trwa uruchamianie systemu Windows...", i gdy powinien ujawić się pulpit - laptop się zresetował i wyskoczyło okienko o Uruchomieniu Systemu Normalnie lub uruchomienie narzędzia do naprawy boota. Włączyłem go, przywrócił system do przed instalacji antywirusa i było ok. Ludzie narzekali na avasta jednak, że czasem właśnie psuje system spróbowałem z drugim darmowym - Ashampoo Anti-Malware. Zeskanowałem tylko systemową część [i tak nie do końca a skanował ciut ponad godzinę] - parę trojanów, backdoor, rootkit, robak - standard. :] Też chciał uruchomić ponownie, ponieważ zainfekowane pliki były w użyciu i przed bootem zastąpi je "czystymi". Podobnie jak z avastem - przed bootem coś się pojawiło o pomyślnym usunięciu - i to samo co po Avaście, i też trzeba było przywrócić.

 

Co robić? [wybaczcie za lekturę powyżej ] Logi poniżej:

OTL -> http://wklej.to/KVCp7

Extras z OTL -> http://wklej.to/zavlG

FSS -> http://wklej.to/fD0Yi

 

Zostałem tu przekierowany z innego forum, iż podobno jest to ZeroAcces, i w jego zwalczeniu specjalizuje się jeden z waszych użytkowników. Czekam z niecierpliwością na pomoc.

[Landuss]

Zostałem tu przekierowany z innego forum, iż podobno jest to ZeroAcces, i w jego zwalczeniu specjalizuje się jeden z waszych użytkowników. Czekam z niecierpliwością na pomoc.

 

Z jakiego forum?

 

Jeśli chodzi o logi rzeczywiście jest tu ZeroAccess. System jest 64-bitowy a na takim systemie infekcja nie jest rootkitem, ma zupełnie inny mechanizm. Usuwanie przeprowadzisz ze środowiska zewnętrznego (WinRe). Skasowane są też usługi systemowe miedzy innymi Centrum zabezpieczeń czy zapora, ale to naprawisz potem. Najpierw usuwanie infekcji.

 

1. Przygotuj w Notatniku następujący skrypt:

 

SubSystems: [Windows] ==> ZeroAccess
CMD: C:\Windows\system32\fsutil.exe reparsepoint delete C:\Windows\system64
NETSVC: CSRBC
2 CSRBC; C:\Windows\System32\ProcObsrv.dll [6656 2009-07-14] (Oak Technology Inc.)
C:\Windows\Temp\vqyadg
C:\Windows\System32\ProcObsrv.dll
C:\Windows\System32\consrv.dll
C:\Windows\System32\dds_trash_log.cmd
C:\Windows\assembly\GAC_64\desktop.ini
C:\Windows\assembly\GAC_32\desktop.ini
C:\Windows\assembly\tmp\U
C:\Windows\assembly\tmp\loader.tlb
C:\Windows\assembly\tmp\{1B372133-BFFA-4dba-9CCF-5474BED6A9F6}

 

Plik zapisz pod nazwą fixlist.txt

 

3. Pobierz narzędzie FRST x64. Umieść go na pendrive razem z plikiem fixlist.txt. Przy starcie komputera F8 i wybierz opcję "Napraw komputer", z poziomu linii komend uruchom FRST i klik w Fix. Na pendrive powstanie plik fixlog.txt.

 

4. Restartujesz do Windows.

 

5. Uruchom GrantPerms x64, w oknie wklej:

 

C:\Windows\system64

 

Klik w Unlock.

 

6. Reset Winsock: Start > Uruchom > cmd i wpisz komendę netsh winsock reset. Zresetuj system.

 

7. Do oceny dajesz log z działania w punkcie 3, nowy log z OTL ze skanu oraz z Farbar Service Scanner (zaznacz wszystko do skanowania).

[kaczor0]

Hmm...tylko nie mam pendrive'a. Moze być telefon w funkcji Pamięci Masowej lub po prostu zrzucić to na kartę pamięci SD, i włożyć ją do czytnika kart w laptopie?

[Landuss]

Tak możesz spróbować, tu chodzi tylko o zrzucenie danych na nośnik zewnętrzny obojętnie jaki.

[kaczor0]

Zrobione, w załącznikach raporty FSS, OTL [z Extras] i po fixie w FRST.

Fixlog.txt

OTL.Txt

Extras.Txt

FSS.txt

[Landuss]

Rootkit usunięty, pora teraz na naprawę usług systemowych i usuwanie pozostałych śmieci.

 

1. Pobierz sobie na dysk tego fixa ode mnie: KLIK. Uruchom go przez dwuklik. Powinna się pojawić informacja o prawidlowym imporcie do rejestru. Ewentualne błędy zignoruj.

 

2. WAŻNE: Zrestartuj system.

 

3. Przejdź do tego tematu: KLIK. Popatrz na sekcję "Rekonstrukcja uprawnień kluczy" i napraw dwie pierwsze - Podstawowy aparat filtrowania (BFE) oraz Zapora systemu Windows (MpsSvc) za pomocą SetACL. Ewentualne błędy zignoruj.

 

4. Wejdź w panel usuwania programów i odinstaluj pozycje - V9 HomeTool / vShare Plugin / vShare.tv plugin 1.3

 

5. Uruchom narzędzie AdwCleaner z opcji Delete

 

6. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:Files
C:\Windows\system64
C:\Windows\SysNative\dds_trash_log.cmd
C:\Program Files (x86)\mozilla firefox\searchplugins\v9.xml
C:\Program Files (x86)\mozilla firefox\plugins\npvsharetvplg.dll
C:\Users\Kaczor\AppData\Roaming\Mozilla\Firefox\Profiles\hpa494w0.default\searchplugins\startsear.xml
 
:OTL
FF - prefs.js..browser.search.defaultengine: "Web Search"
FF - prefs.js..browser.search.defaultenginename: "Web Search"
FF - prefs.js..browser.search.order.1: "Web Search"
FF - prefs.js..browser.search.selectedEngine: "Web Search"
FF - prefs.js..browser.startup.homepage: "http://startsear.ch/?aff=1&cf=7f6966c3-e48c-11e0-8892-e811320090b8"
FF - prefs.js..keyword.URL: "http://startsear.ch/?aff=1&q="
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
 
:Commands
[emptytemp]

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Powstanie log, który zachowaj.

 

7. Uruchamiazs ponownie OTL na warunku dostosowanym - w oknie Własne opcje skanowania/Skrypt wklejasz tekst:

 

hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
hkcu\software\clients\startmenuinternet|command /rs
hkcu\software\clients\startmenuinternet|command /64 /rs

 

Klikasz w Skanuj.

 

8. Prezentujesz nowe logi z OTL ze skanu, log z usuwania powstały w punkcie 6 oraz nowy log z FSS.

[kaczor0]

Wszystko zrobione, bez żadnych błędów. Daję link do loga z OTL po tym skrypcie, jest w formacie .log i nie mam uprawnień żeby umieścić go w załączniku -> http://wklej.to/87WoO .

 

Tylko, czy będę mógł z powrotem zainstalować plugin vShare? Często oglądam mecze w Internecie.

OTL.Txt

FSS.txt

[Landuss]

Tylko, czy będę mógł z powrotem zainstalować plugin vShare? Często oglądam mecze w Internecie.

 

Tyle, że ten plugin tak jak wspomniałem jest wątpliwej reputacji i ma klasyfikację szkodliwą. Wiem, wszyscy użytkownicy tutaj tłumaczą to "oglądaniem meczy" ale to nie do końca tak jest. Plugin wstawia swój toolbar, zmienia strony startowe przeglądarek i przestawia domyślne wyszukiwarki na startsearch (też wątpliwa reputacja) bez zgody użytkownika. Takiej wtyczce ufać nie mozna. To już lepszy LiveVDO Plugin choć też oparty na vShare, ale mniej ingeruje w przeglądarki.

 

Jeśli chodzi o logi jest prawie dobrze. Jeszcze drobne poprawki.

 

1. Usługa Windows Defender kieruje na nieprawidłowy 32 bitowy plik i trzeba to zmienić. Dawałem co prawda w fiksie naprawę usługi, ale coś tu widocznie nie poszło do końca jak należy. Wklej więc do notatnika ten tekst:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend]
"DisplayName"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-103"
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,73,00,65,00,63,00,73,00,76,00,63,00,73,00,00,00
"Start"=dword:00000002
"Type"=dword:00000020
"Description"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-1176"
"DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00
"ObjectName"="LocalSystem"
"ServiceSidType"=dword:00000001
"RequiredPrivileges"=hex(7):53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,\
  00,6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,\
  65,00,00,00,53,00,65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,\
  00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,\
  74,00,6f,00,72,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\
  00,00,00,53,00,65,00,44,00,65,00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,\
  69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,68,00,61,00,6e,00,67,\
  00,65,00,4e,00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,\
  6c,00,65,00,67,00,65,00,00,00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,\
  00,74,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\
  53,00,65,00,53,00,68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,50,00,72,00,69,\
  00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6e,00,63,00,\
  72,00,65,00,61,00,73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,72,00,69,\
  00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,41,00,73,00,73,00,\
  69,00,67,00,6e,00,50,00,72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,\
  00,65,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\
  00,00
"DelayedAutoStart"=dword:00000001
"FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\
  00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Parameters]
"ServiceDllUnloadOnStop"=dword:00000001
"ServiceDll"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,69,\
  00,6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,\
  20,00,44,00,65,00,66,00,65,00,6e,00,64,00,65,00,72,00,5c,00,6d,00,70,00,73,\
  00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Security]
"Security"=hex:01,00,14,80,dc,00,00,00,e8,00,00,00,14,00,00,00,30,00,00,00,02,\
  00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
  00,00,02,00,ac,00,06,00,00,00,00,00,28,00,ff,01,0f,00,01,06,00,00,00,00,00,\
  05,50,00,00,00,b5,89,fb,38,19,84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,\
  00,0b,28,00,00,00,00,10,01,06,00,00,00,00,00,05,50,00,00,00,b5,89,fb,38,19,\
  84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,00,00,14,00,fd,01,02,00,01,01,\
  00,00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,\
  05,20,00,00,00,20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,\
  04,00,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,01,\
  01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo\0]
"Type"=dword:00000005
"Action"=dword:00000001
"GUID"=hex:e6,ca,9f,65,db,5b,a9,4d,b1,ff,ca,2a,17,8d,46,e0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender]
"DisableAntiSpyware"=dword:00000000

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku Scal

 

Gdyby był jakiś błąd to zignoruj. Zrestartuj system.

 

2. Log z OTL notuję brak pliku hosts na tym systemie:

 

Hosts file not found

 

Plik musisz utworzyć. Upewnij się, że masz włączone pokazywanie rozszerzeń (Mój komputer > Organizuj > Opcje folderów i wyszukiwania > Widok > odznacz Ukrywaj rozszerzenia znanych typów). Otwórz Notatnik i wklej w nim:

 

#	127.0.0.1	   localhost

#	::1		   localhost

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz pod nazwą hosts bez żadnego rozszerzenia

 

Plik zapisz na wszelki wypadek na pulpit a potem wstaw do folderu C:\Windows\system32\drivers\etc.

 

3. Drobny skrypt do OTL o takiej zawartości:

 

:OTL

IE - HKCU\..\SearchScopes\{040952A5-EBD7-4AD9-A50B-EF5E44CCA320}: "URL" = http: //startsear.ch/?aff=1&q={searchTerms}
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - No CLSID value found.

 

4. Do wglądu ostatecznie dajesz nowy log z OTL ze skanowania i z FSS.

[kaczor0]

Zrobione.

FSS.txt

OTL.Txt

[Landuss]

W punkcie 3 miałeś kliknąć w Wykonaj skrypt a nie w Skanuj więc popraw to bo najwyraźniej zrobiłeś ten błąd tak wynika z raportu. Poza tym jest w porządku i można przejść do czynności finalnych.

 

1. Jak już wykonasz skrypt z punktu 3 zastosuj opcję Sprzątanie w OTL. To usuwanie program i jego raporty. Skorzystaj też z opcji Uninstall w AdwCleaner. Możesz pozbyć się też już fiksa ode mnie, GrantPerms i FRST.

 

2. Opróżnij folder przywracania systemu: KLIK

 

3. Zaktualizuj wymienione oprogramowanie do najnowszych wersji:

 

"{26A24AE4-039D-4CA4-87B4-2F86416025FF}" = Java 6 Update 25 (64-bit)

"Mozilla Firefox 11.0 (x86 pl)" = Mozilla Firefox 11.0 (x86 pl)

 

Szczegóły aktualizacyjne: KLIK

 

4. Na wszelki wypadek pozmieniaj sobie hasła logowania do serwisów w sieci.

 

Pozostaje teraz ocena czy wszystko już z systemem w porządku.

Edytowane 5 Czerwca 2012 przez picasso
5.06.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso