Backdoor.Win32.Zaccess.oun

[kakeriel]

Przepraszam, wtrącę się, ale mam albo miałem identyczny problem, napisałem na searchengines to mnie tutaj przekierowali ale za nim dostałem wiad. ten virus zdążył zniknąć albo nie wiem gdzie przepadł a też walczyłem wszystkim z tym cała noc i tak nagle sam siebie przestał sie tworzyć, antyvirus(kaspersky) wykrywał jako "Backdoor.win32.zaccess.oun" a eset właśnie te "Sirefef". Wydaje mi sie że znalazłem rozwiązanie na jakiejś zagranicznej stronie bo jednak cisza jak zrobiłem to co tam kazali link do tematu: http://forums.majorg...ad.php?t=259275

[Landuss]

Tu jest zakaz dopisywania się do czyjegoś tematu. Wydzielam Twój temat w osobny. Jeśli zaś chodzi o instrukcję na jak to wspominasz "zagranicznym forum" to nie sugeruj sie czyimś podobnym tematem. Instrukcje nie są dla wszystkich takie same mimo tej samej infekcji. Skrypty muszą być pisane dokładnie pod dany system. Stosując cudzy skrypt można sobie narobić szkody.

 

Kolejna sprawa gdzie są wymagane logi? Widze, że na poprzednim forum je wstawiłeś, to dlaczego nie zrobiłeś tutaj tego samego? Jeśli już masz logi to proszę o ich wstawienie tu na forum oraz wykonanie dodatkowego logu na warunku dostosowanym.

 

Uruchom OTL, wszystkie opcje ustaw na Żadne + Brak natomiast w okno Własne opcje skanowania / skrypt wklej:

 

netsvcs
C:\Windows\system32\consrv.dll /64
C:\Windows\assembly\GAC_64\*.*
C:\Windows\assembly\GAC_32\*.*
dir /s /a C:\Windows\assembly\temp /C
dir /s /a C:\Windows\assembly\tmp /C
HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
/md5start
services.exe
/md5stop

 

Klikasz w Skanuj i prezentujesz wynikowy log.

[kakeriel]

Okej dzięki będę pamiętać, uzupełniam poprzednie logi: http://wklej.org/id/768544/ http://wklej.org/id/768548/

nowy log z OTL ze tym skryptem i ustawianiami http://wklej.org/id/768916/

[picasso]

Wygląda na to, że infekcja została wyleczona. Stwierdziłeś:

 

Wydaje mi sie że znalazłem rozwiązanie na jakiejś zagranicznej stronie bo jednak cisza jak zrobiłem to co tam kazali link do tematu

 

Czyli wnioskuję, że wykonałeś komendę sfc /scannow? Proszę o przedstawienie co ta komenda robiła (jeśli pomogła, to naprawiany był conajmniej plik services.exe). Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator i wklej komendę:

 

findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt

 

Wynikowy log podaj.

 

 

 

.

[kakeriel]

tak po wykonaniu tej komendy ucichło, komp sie zrestartował ale nie wiem czy to przez wykonanie tej komendy, doszło do 100% i wszystko zgasło, czy przez antyvira(kaspersky) który co chwile leczył ten desktop.ini, myślę że komenda naprawiła a anty vir wreszcie wyleczył problem hah Oto log z tej komendy http://wklej.org/id/768931/ piszę mission complete więc musi być git

 

@ps. dobry dowcip ze wklejeniem komendy do cmd xd

[picasso]

Owszem, ta komenda usunęła modyfikację ZeroAccess w pliku services.exe:

 

2012-06-07 12:19:44, Info    CSI    000002f8 [sR] Repairing corrupted file [ml:520{260},l:46{23}]"\??\C:\Windows\System32"\[l:24{12}]"services.exe" from store

 

Ale nie tylko to. Komenda również naprawiła inne pliki (kompletnie nie związane z tą infekcją), tylko że te szczególne pliki mogą pochodzić z cracka aktywacji. W skrócie: jeśli mataczyłeś z aktywacją, komenda SFC wszystko zlikwidowała. Na przyszłość: by naprawić tylko jeden plik a nie wszystkie, należy użyć sfc /scanfile, szczegóły w KLIK.

 

---

To nie koniec leczenia tej infekcji. Trojan naruszył Winsock:

 

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000001 - mmswsock.dll File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000002 - mmswsock.dll File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000003 - mmswsock.dll File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000004 - mmswsock.dll File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000005 - mmswsock.dll File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000006 - mmswsock.dll File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000007 - mmswsock.dll File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000008 - mmswsock.dll File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000009 - mmswsock.dll File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000010 - mmswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000006 - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000007 - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000008 - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000009 - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000010 - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL File not found

 

Jest też możliwe, że ZeroAccess skasował z rejestru Zaporę systemu, Centrum zabezpieczeń i Windows Defender.

 

 

1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wpisz komendę netsh winsock reset > zatwierdź restart komputera.

 

2. Usunięcie wpisów odpadkowych + włączenie usługi Windows Update. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKCU\..\URLSearchHook: {472734EA-242A-422b-ADF8-83D1E48CC825} - No CLSID value found
IE - HKCU\..\URLSearchHook: {687578b9-7132-4a7a-80e4-30ee31099e03} - No CLSID value found
IE - HKCU\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - No CLSID value found
IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}"
IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678"
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678"
FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT3072253&SearchSource=2&q="
FF - prefs.js..keyword.URL: "http://www.google.com/search?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&q="
[2012-01-29 01:30:53 | 000,000,000 | ---D | M] (uTorrentBar Community Toolbar) -- C:\Users\Kakeriel\AppData\Roaming\mozilla\Firefox\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}
[2012-05-18 11:46:31 | 000,000,000 | ---D | M] (uTorrentControl2 Community Toolbar) -- C:\Users\Kakeriel\AppData\Roaming\mozilla\Firefox\Profiles\ya7qbwo1.default\extensions\{687578b9-7132-4a7a-80e4-30ee31099e03}
O2 - BHO: (kikin Plugin) - {E601996F-E400-41CA-804B-CD6373A7EEE2} - C:\Program Files (x86)\kikin\ie_kikin.dll File not found
O3:64bit: - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found
O3:64bit: - HKCU\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found
O9 - Extra 'Tools' menuitem : My kikin - {0F7195C2-6713-4d93-A1BC-DA5FA33F0A65} - C:\Program Files (x86)\kikin\ie_kikin.dll File not found
O9 - Extra Button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Users\Kakeriel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\IMVU\Run IMVU.lnk File not found
 
:Files
sc config wuauserv start= auto /C
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami.

 

3. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras) + Farbar Service Scanner z wszystkimi opcjami zaznaczonymi. Dołącz log z wynikami usuwania z punktu 2.

 

 

 

 

 

.

[kakeriel]

nie wiem czy to coś ma do rzeczy ale windows live usuwałem ręcznie bo mi nie potrzebny a windowsowe zapory defendery wyłączyłem na stałe w services.msc i nie wiem czy sam ręcznie z rejestru ich nie wyrzuciłem kiedyś jak to sprawdzić ? czy nadal mam wykonać te polecania ? głupi pomysł wirusy mnie zjadają teraz

 

@wykonywałem dalej polecenia zatrzymałem sie na tym że windows update sie włączyć nie chce a też go chyba w services.msc wyłączyłem bo te updejty kompa zamulają już miałem nie raz nauczke i format bo odinstalowanie guzik dało

[picasso]

nie wiem czy to coś ma do rzeczy ale windows live usuwałem ręcznie bo mi nie potrzebny

 

To nie ma żadnego związku. Windows Live mógł pozostać owszem w Winsock po deinstalacji pakietu, ale to i tak nie jest tu podstawową usterką. Przedstawione przeze mnie naruszenie Winsock (od góry do dołu moduły "not found") to klasyczny hijack robiony przez ZeroAccess.

 

 

a windowsowe zapory defendery wyłączyłem na stałe w services.msc i nie wiem czy sam ręcznie z rejestru ich nie wyrzuciłem kiedyś jak to sprawdzić ?

 

Wątpię, byś wyrzucał z rejestru, co najwyżej mogłeś to wyłączyć via services.msc. Zrób log z Farbar Service Scanner. Ja się wszystkiego dowiem z tego raportu.

 

 

@wykonywałem dalej polecenia zatrzymałem sie na tym że windows update sie włączyć nie chce a też go chyba w services.msc wyłączyłem bo te updejty kompa zamulają już miałem nie raz nauczke i format bo odinstalowanie guzik dało

 

Przecież w skrypcie przestawiam Typu uruchomienia usługi, nie miałeś tego robić ręcznie. Wykonaj co mówię, przedstaw raporty, a będę mieć jasny obraz sytuacji.

Przy okazji, opisywane objawy z Windows Update nie są prawidłowe. Jeśli coś zamulało, stało się wtedy coś jeszcze. Format? Jest tyle sposobów na diagnostykę (i specjalizowane logi z akcji Windows Update), że ten krok wydaje mi się drastyczny.

 

 

 

.

[kakeriel]

przepraszam za dużo thc we krwi

log z punktu 2: http://wklej.org/id/768966/

punkt 3: OTL: http://wklej.org/id/768971/ Farbar Service Scaner: http://wklej.org/id/768974/

[picasso]

Winsock prawidłowo zresetowany, ustąpiły modyfikacje ZeroAccess. Skrypt również wykonany. Tylko drobnostka do usunięcia, załatwisz ją nowym skryptem do OTL o zawartości:

 

:OTL
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {687578B9-7132-4A7A-80E4-30EE31099E03} - No CLSID value found.

 

I skasuj z dysku ComboFix przemianowany na explorer.exe, już Ci niepotrzebny:

 

[2012-06-07 12:12:41 | 004,538,022 | R--- | C] (Swearware) -- C:\Users\Kakeriel\Desktop\explorer.exe

 

Ten plik zresztą powoduje błąd poboru danych OTL, który szuka pierwszego zbliżonego wyniku i w skanie zwraca głupoty w tym momencie, jakoby plik powłoki (32-bit + 64-bit) był sygnowany tak jak ComboFix:

 

O20:64bit: - HKLM Winlogon: Shell - (explorer.exe) - explorer.exe (Swearware)
O20 - HKLM Winlogon: Shell - (explorer.exe) - explorer.exe (Swearware)

 

 

---

Log z Farbar Service Scanner potwierdza co sugerowałam, ZeroAccess wywalił z rejestru całą Zaporę, Centrum zabezpieczeń i Windows Defender:

 

Windows Firewall:
=============
MpsSvc Service is not running. Checking service configuration:
Checking Start type: ATTENTION!=====> Unable to open MpsSvc registry key. The service key does not exist.
Checking ImagePath: ATTENTION!=====> Unable to open MpsSvc registry key. The service key does not exist.
Checking ServiceDll: ATTENTION!=====> Unable to open MpsSvc registry key. The service key does not exist.
 
bfe Service is not running. Checking service configuration:
Checking Start type: ATTENTION!=====> Unable to open bfe registry key. The service key does not exist.
Checking ImagePath: ATTENTION!=====> Unable to open bfe registry key. The service key does not exist.
Checking ServiceDll: ATTENTION!=====> Unable to open bfe registry key. The service key does not exist.
 
 
Action Center:
============
wscsvc Service is not running. Checking service configuration:
Checking Start type: ATTENTION!=====> Unable to open wscsvc registry key. The service key does not exist.
Checking ImagePath: ATTENTION!=====> Unable to open wscsvc registry key. The service key does not exist.
Checking ServiceDll: ATTENTION!=====> Unable to open wscsvc registry key. The service key does not exist.
 
 
Windows Defender:
==============
WinDefend Service is not running. Checking service configuration:
Checking Start type: ATTENTION!=====> Unable to open WinDefend registry key. The service key does not exist.
Checking ImagePath: ATTENTION!=====> Unable to open WinDefend registry key. The service key does not exist.
Checking ServiceDll: ATTENTION!=====> Unable to open WinDefend registry key. The service key does not exist.

 

1. Odbuduj skasowane usługi (omiń sfc /scannow w tych instrukcjach, już wykonane):

• Rekonstrukcja usług Zapory systemu Windows: KLIK. Odtwarzasz dwie usługi (BFE i MpsSvc) a nie trzy.
  
• Rekonstrukcja usługi Centrum zabezpieczeń: KLIK.
  
• Rekonstrukcja usługi Windows Defender: KLIK.
  

2. Zresetuj system i wygeneruj nowy log z Farbar Service Scanner.

 

 

 

.

[kakeriel]

z rekonstrukcji niechcący nie doczytałem i dodałem mpsdrv.reg, wszystko bez problemu w Farbar Service Scanner zaznaczyłem wszystkie opcje bo tak coś mi sie ubzdurało chyba że dobrze właśnie link: http://wklej.org/id/768997/

[picasso]

z rekonstrukcji niechcący nie doczytałem i dodałem mpsdrv.reg

 

Nic nie szkodzi. To nic nie zmienia, gdy usługa już jest poprawna. Po prostu import poprawny na poprawny nie ma żadnych skutków. Patrząc w log, usługi odbudowane, ale Zapora ma status zatrzymany:

 

Windows Firewall:
=============
MpsSvc Service is not running. Checking service configuration:
The start type of MpsSvc service is OK.
The ImagePath of MpsSvc service is OK.
The ServiceDll of MpsSvc service is OK.

 

Prawdopodobnie dlatego, że jest zainstalowany Kaspersky Internet Security. KIS ma w planie deaktywację zapory.

 

 

---

Finalizacja czyszczenia:

 

1. Porządki po narzędziach: w OTL uruchom Sprzątanie, ręcznie dokasuj pozostałe używane narzędzia.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Wykonaj pełne skanowanie za pomocą Malwarebytes Anti-Malware i przedstaw z tego log, o ile coś zostanie wykryte.

 

 

 

.

[kakeriel]

zrobiłem szybkie i wyszło coś takiego: http://wklej.org/id/769005/ robie jednak lepiej pełne ale to zajmie z kilka godzin z tym dyskiem D jakiś BitMiner chyba jakiś creeper albo herobrain xD

[picasso]

Nie na darmo zadałam skan w MBAM. Twój Kaspersky nie zgłosił bowiem w wynikach wszystkich komponentów utworzonych przez ZeroAccess, tylko pliki desktop.ini widział (a to poboczne elementy). To co wykrył MBAM to zasadniczy folder tej infekcji (już nieczynny po wyleczeniu services.exe).

 

1. Włącz widzialność wszystkich ukrytych: Opcje folderów i wyszukiwania > Widok > zaznacz Pokaż ukryte pliki i foldery + odptaszkuj Ukryj chronione pliki systemu operacyjnego. Przez SHIFT+DEL skasuj cały folder C:\Windows\Installer\{f4714222-6901-f477-d479-62626e03951f}.

 

2. Ponów, tym razem pełne, skanowanie MBAM.

 

 

.

[kakeriel]

Wyskoczyło że w tym folderze plik o nazwie "@" jest plikiem systemowym, małpa ? usunęło bez problemu MBAM skanuje pełnie cały komputer, ja mówie dobranoc bo na D:\ są śmieci z 5 ostatnich lat jak nie więcej, wszystkie pulpity i dane tam wrzucam jakie miałem od początku kiedy zacząłem używać kompa przez noc może pójdzie i dziękuje za pomoc chyba że jeszcze nie koniec tych wirusów, podziwiam to co robisz dla wszystkich wow ! ciężkie do pojęcia ile w tym wszystkim tu pracy włożonej, komputer ma jednak swój wszechświat

[picasso]

Wyskoczyło że w tym folderze plik o nazwie "@" jest plikiem systemowym, małpa ?

 

To nie przez małpę, tylko atrybut S (= systemowy) nałożony na obiekty. Dlatego podawałam przy włączaniu widoku konfigurację opcji "Ukryj chronione pliki systemu operacyjnego" (czyli obiekty mająca dwa atrybuty HS = ukryty systemowy). Te foldery i pliki ZeroAccess mają właśnie takie atrybuty.

 

 

.

[kakeriel]

No więc wracam bo wirusa nie ma(pełne skanowania MBAM i KIS) a komputer czasami potrafi sie zawiesić na menadżerze zadań, zamknę program a jego proces nadal jest w menadżerze gdy go chce zakończyć taki proces to sie cały komputer blokuje, nie zawiesza sie ale no nic nie da sie zrobić, nic sie nie wczytuje gdy się coś klika, część programów musiałem przeinstalować bo nie działały jak należy, no i najbardziej co mnie irytuje to to że program PS3 media serwer nie odnajduje konsoli coś znowu z udostępnianiem siadło, i zapora i defender te windowsowe narzędzia errorami sypią jak sie jakikolwiek chce uruchomić

[picasso]

no i najbardziej co mnie irytuje to to że program PS3 media serwer nie odnajduje konsoli coś znowu z udostępnianiem siadło, i zapora i defender te windowsowe narzędzia errorami sypią jak sie jakikolwiek chce uruchomić

 

Przy obecności Kasperskiego powinny być "błędy" Windows Defender i zapory, gdyż KIS przejmuje ich rolę i wyklucza w ramach antykolizyjnego działania. Niemniej zaczynam tracić pewność czy ten fragment to na pewno tylko robota KIS:

 

ale Zapora ma status zatrzymany:

 

Windows Firewall:
=============
MpsSvc Service is not running. Checking service configuration:
The start type of MpsSvc service is OK.
The ImagePath of MpsSvc service is OK.
The ServiceDll of MpsSvc service is OK.

 

Prawdopodobnie dlatego, że jest zainstalowany Kaspersky Internet Security. KIS ma w planie deaktywację zapory.

 

Wróć do instrukcji rekonstrukcji zapory: KLIK. Wykonaj zaktualizowaną ostatnio część instrukcji, adresującą usługę SharedAccess (import pliku REG + zrzucenie przez SetACL uprawnień dla tej usługi). Zresetuj system.

 

 

 

.