ZeroAccess - TR/ATRAPS.Gen2

[Glowa]

Cześć. Mam mały problem, od jakiegoś czasu mój antywirus czyli Avira wyświetla mi uciążliwy komunikat o wirusie. http://iv.pl/images/62748089583282179964.png

Dowiedziałem się na jednym z forum komputerowyh, że ten wirus to ZeroAcces i odesłali mnie tutaj po pomoc.

[picasso]

Dostosuj się do zasad działu: KLIK. Podaj komplet obowiązkowych logów OTL + GMER.

[Glowa]

Raport z OTL:

OTL.Txt

Extras.Txt

[picasso]

EDIT: Logi wstawione. Możemy przejść dalej. Potrzebny skan dostosowany na miejsce ładowania ZeroAccess. Uruchom SystemLook x64, w oknie wklej:

 

:reg
HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
 
:filefind
services.exe
 
:regfind
{684dc44e-a260-4b00-7564-f9d4211caffb}

 

Klik w Look. Przedstaw wynikowy raport. Oczywiście odpowiadasz już w nowym poście.

 

 

.

[Glowa]

Raport z SystemLooka.

 

SystemLook 30.07.11 by jpshortstuff

Log created at 12:14 on 10/06/2012 by Bartosz

Administrator - Elevation successful

 

========== reg ==========

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

(Unable to open key - key not found)

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}]

@="Microsoft WBEM New Event Subsystem"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32]

@="%systemroot%\system32\wbem\wbemess.dll"

"ThreadingModel"="Both"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

@="MruPidlList"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]

@="%SystemRoot%\system32\shell32.dll"

"ThreadingModel"="Apartment"

 

 

========== filefind ==========

 

Searching for "services.exe"

C:\Windows\System32\services.exe --a---- 329216 bytes [23:19 13/07/2009] [01:39 14/07/2009] 50BEA589F7D7958BDD2528A8F69D05CC

C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB

 

========== regfind ==========

 

Searching for "{684dc44e-a260-4b00-7564-f9d4211caffb}"

No data found.

 

-= EOF =-

[picasso]

Trojan zainfekował systemowy plik services.exe. Leczenie będzie rozłożone na dwa etapy: przywrócenie oryginalnego pliku Windows, a dopiero po potwierdzeniu tego skasowanie folderu ZeroAccess.

 

1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator. Wklej komendę:

 

sfc /scanfile=C:\Windows\system32\services.exe

 

Zresetuj system.

 

2. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator. Wklej komendę:

 

findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt

 

Otworzy się log, dołącz go.

 

 

 

.

[Glowa]

Pierwszy krok wykonałem, ale przy drugim wyskakuje mi pusty notatnik.

[picasso]

Czy na pewno cmd uruchomiłeś jako Administrator i tę komendę przekleiłeś z posta do okna (by uniknąć literówek / błędów zamknięć)?

[Glowa]

Spróbowałem jeszcze raz i tym razem wyskoczył raport.

sfc.txt

[picasso]

Hmmm, widzę, że skanowanie SFC robiłeś dziś więcej niż raz. Poprzedni skan ogólny sfc /scannow już naprawiał plik services.exe ... Tak jak i zadany przeze mnie aktualnie na ten plik. Proszę o potwierdzenie, czy plik nie jest naprawiany w sposób pozorowany. Do SystemLook wklej na szukanie:

 

:filefind
services.exe

 

 

.

 

 

[Glowa]

Proszę.

 

SystemLook 30.07.11 by jpshortstuff

Log created at 14:10 on 10/06/2012 by Bartosz

Administrator - Elevation successful

 

========== filefind ==========

 

Searching for "services.exe"

C:\Windows\System32\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB

C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB

 

-= EOF =-

[picasso]

Plik się jednak podmienił. Nie rozumiem więc co ma znaczyć to naprawianie pliku w kółko przez SFC. Przechodzimy dalej:

 

1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wpisz komendę netsh winsock reset > zatwierdź restart komputera.

 

2. Odbuduj skasowany plik HOSTS. Włącz pokazywanie rozszerzeń: w Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok > odznacz Ukrywaj rozszerzenia znanych typów. Otwórz Notatnik i wklej w nim:

 

#	127.0.0.1       localhost
#	::1             localhost

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz pod nazwą hosts bez żadnego rozszerzenia

 

Plik umieść w folderze C:\Windows\system32\drivers\etc.

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files

C:\Windows\Installer\{684dc44e-a260-4b00-7564-f9d4211caffb}
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{88EEAEC4-5854-4FB2-8620-01351FF44890}"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{88EEAEC4-5854-4FB2-8620-01351FF44890}"
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami usuwania.

 

4. Odinstaluj śmieci: Yontoo 1.10.02 + SweetPacks Toolbar for Internet Explorer 4.5 + LiveVDO plugin 1.3 (wprowadziło adware w system). Popraw przez AdwCleaner z opcji Delete.

 

5. Wygeneruj do oceny nowe logi: OTL z opcji Skanuj (już bez Extras) oraz Farbar Service Scanner z wszystkimi opcjami zaznaczonymi. Przestaw też log z wynikami usuwania pozyskany w punkcie 3 + log zrobiony przez AdwCleaner.

 

 

 

.

[Glowa]

Śmieci usunięte, wstawiam nowe logi:

otl skrypt.txt

adw search.txt

adw delete.txt

FSS.txt

OTL końcowy.Txt

[picasso]

Akcje prawie poprawnie wykonane, nie wykonałeś odbudowy pliku HOSTS, OTL nadal zgłasza:

 

Hosts file not found

 

I nastąpi teraz etap odtwarzania szkód, trojan skasował z rejestru usługi Zapory systemu Windows, Centrum zabezpieczeń i Windows Defender.

 

1. Powtórz operację z plikiem HOSTS: przypominam, że musisz widzieć rozszerzenia, a plik ma mieć nazwę hosts bez rozszerzenia a nie hosts.txt.

 

2. Odbuduj skasowane usługi:

• Rekonstrukcja usług Zapory systemu Windows: KLIK.
  
• Rekonstrukcja usługi Centrum zabezpieczeń: KLIK.
  
• Rekonstrukcja usługi Windows Defender: KLIK.
  

3. Zresetuj system i wygeneruj nowy log z Farbar Service Scanner.

 

 

.

[Glowa]

Udało mi się naprawić Centrum Akcji (Zabezpieczeń) oraz wydaję mi się, ze również Windows Defender. Jednak z zaporą nadal mam problem, wykonałem kroki z 1 postu w poradniku, lecz gdy chce wykonać te z drugiego mam problem z SetACL. Problem zamieszczam na screenie, który daje do załączników. Zapora wyświetla teraz błąd 0x8007042c

FSS.txt

[picasso]

Zapora oczywiście nie działa, bez wykonania resetu uprawnień przez SetACL w ogóle nie wstanie, a log z Farbar mi niepotrzebny teraz (on dopiero po wykonaniu wszystkiego). Przypuszczalny problem z "nierozpoznawaniem nazwy SetACL":

- albo nie umieściłeś programu SetACL.exe w folderze C:\Windows tylko gdzie indziej np. wprost na C:\

- albo wykonałeś wcześniej jakąś błędną komendę i program SetACL.exe uległ samokasacji i należy go uzupełnić

- albo masz uszkodzone Zmienne środowiskowe i w komendzie należy wykorzystać pełną ścieżkę C:\Windows\SetACL.exe a nie samo SetACL.

 

 

 

.

[Glowa]

Faktycznie, mój błąd - przepraszam za zamieszanie. Przy wklejaniu fix na sam C, przy okazji SetACL też tam wylądował, a nie w c:\windows

Wracając do tematu zapora wstała, daje nowe logi:

FSS.txt

[picasso]

Wszystko ładnie odtworzone. Galopujemy w kierunku finału:

 

1. Czyszczenie po narzędziach: w OTL uruchom Sprzątanie, w AdwCleaner zastosuj Uninstall, przez SHIFT+DEL skasuj odpadek po ComboFix C:\32788R22FWJFW i resztę używanych narzędzi.

 

2. Wyczyść foldery przywracania systemu: KLIK.

 

3. Wykonaj pełne skanowanie Malwarebytes Anti-Malware. przedstaw wynikowy raport, o ile coś zostanie wykryte.

 

 

.

[Glowa]

Coś tam jeszcze wykryło:

mbam-log-2012-06-11 (20-49-26).txt

[picasso]

Jesteś zbyt szybko, czyli w czasokresie ekspresowego a nie pełnego skanowania. A ten szczególny wykryty plik to ... część cracka do Office. Omiń.

[Glowa]

Logi pełnego skanu:

mbam-log-2012-06-16 (10-31-32).txt

[picasso]

Pierwszy wynik punktujący Scripter's Spectrum.svp AllPlayer to fałszywy alarm. Drugi owszem od trojana ZeroAccess. Opróżnij cały folder C:\Windows\WinSxS\Temp. By to było możliwe, musisz tymczasowo przestawić uprawnienia tego folderu i jego podfolderów posiłkując się modelem: KLIK.

[Glowa]

Robię wg. tej instrukcji i nadal odmawia mi usunięcia tych plików.

[aspazja]

Kiedy u mnie ręczne przyznawanie kontroli nie chce uparcie zadziałać, a mam 100% pewność co do efektów usuwania, korzystam z Unlockera - http://www.emptyloop.com/unlocker/

 

Linki bezpośrednie do pliku poniżej napisu "Download for Windows 2000 / XP / 2003 / Vista / Windows 7 - Unlocker is Freeware"

Najlepiej odznaczyć śmieci typu Babylon Toolbar, asystenta czy aktualizacje, a zostawić samo rozszerzenie powłoki.

 

Pozdrawiam.

[picasso]

aspazja

 

Unlocker działa na uprawnieniach użytkownika a nie konta TrustedInstaller (które to konto ma własność tych obszarów).

 

 

Glowa

 

Z pewnością gdzieś nie są przestawione uprawnienia. Czy przestawiłeś uyprawnienia również składowych folderu C:\Windows\WinSxS\Temp?

 

 

 

.