ATRAPS.Gen i ZeroAccess

[eminesia]

Zaczęłam temat na innym forum, skierowano mnie tutaj. Mam nadzieje, że pomożecie.

 

Stała się rzecz bardzo dziwna. Pierwszy raz uruchomiłam na obecnym komputerze przeglądarkę IE i po wejściu na jeden zwykły adres, nagle wszystkie aplikacje zostały wyłączone. Pojawiła się za to nowa aplikacja - jakiś program antywirusowy, który ciągle wyświetlał komunikat o konieczności kupna tegoż oraz o ewentualnych infekcjach. Po odinstalowaniu tegoż przez Dodaj/Usuń programy, aplikacje zaczęły działać ponownie, a Avira zaczął wykrywać wciąż 2 trojany o nazwie jak w temacie (Gen i Gen2), które się nie chcą usunąć.

To logi z OTL zaraz po infekcji:

http://www.wklej.org/id/769186/

http://www.wklej.org/id/769187/

 

Przeskanowałam komputer za pomocą Malwarebytes (log: http://www.wklej.org/id/769404/). Avira nadal krzyczy co jakiś czas, że oba wirusy są i znajdują się na dysku (log z ostatniego skanowania: http://wklej.org/id/771340/).

 

Malwarebytes nie wykrywa już żadnych infekcji.

 

Pomocy.

 

Zrobiłam scanowanie SystemLook, gdzie wkleiłam:

 

:reg

HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s

:filefind

services.exe

:regfind

{3b99f81f-31d5-dbab-1bcf-87d0107a285a}

:dir

C:\ProgramData\F4D55F3B000003C3000060ABB4EB2367

 

Oto log: http://wklej.org/id/771363/

 

Jeszcze przed chwilą Avira wysłała komunikat o treści: "In accordance with security guidelines, the Administrator has blocked access to file 'Y:\AUTORUN.INF'.". Sama nic nie blokowałam.

[picasso]

Nie wiem po co tu w skanie SystemLook komenda dir na oczywisty katalog po infekcji typu Smart Fortress.

 

Są tu aż dwa skombinowane ze sobą warianty ZeroAccess, CLSID + infekcja w services.exe.

 

 

1. Otwórz Notatnik i wklej w nim:

 

reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT

 

Plik umieść wprost na C:\.

 

2. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator. Wklej komendę:

 

sfc /scanfile=C:\Windows\system32\services.exe

 

3. Uruchom BlitzBlank i w karcie Script wklej:

 

DeleteFolder: 

C:\Windows\Installer\{3b99f81f-31d5-dbab-1bcf-87d0107a285a}
C:\Users\k\AppData\Local\{3b99f81f-31d5-dbab-1bcf-87d0107a285a}
C:\ProgramData\F4D55F3B000003C3000060ABB4EB2367
 
Execute: 
C:\fix.bat

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Execute Now. Zatwierdź restart komputera. Przed ekranem z logo Windows powinien pojawić się ekran z działaniami BlitzBlank. Finalnie BlitzBlank wygeneruje na dysku C log.

 

4. Wygeneruj logi do oceny:

 

---- Wynik komendy SFC: Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator. Wklej komendę:

 

findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt

 

Otworzy się log, dołącz go.

 

---- Nowy skan w SystemLook na warunki:

 

:reg

HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
 
:filefind
services.exe
 
:regfind
{3b99f81f-31d5-dbab-1bcf-87d0107a285a}
 
:folderfind
{3b99f81f-31d5-dbab-1bcf-87d0107a285a}

 

---- Wklej też wprost do posta zawartość raportu BlitzBlank.

 

 

.

[eminesia]

Jak chcę umieścić plik FIX.BAT na C:\ to mi krzyczy, że nie mam uprawnień do zapisywania w tej lokalizacji i proponuje mi zapisanie w folderze 'k' (to moja nazwa usera). Zapisać gdzieś indziej?

[picasso]

Tak, to normalne. Miałam na myśli: plik zapisz w obojętnym miejscu gdzie masz uprawnienia (np. na Pulpicie), i dopiero po tym przenieś go na C (otrzymasz dialog UAC podnoszenia uprawnień). Bezpośredni zapis na C jest za to możliwy, gdy Notatnik wywołasz przez opcję kontekstową "Uruchom jako Administrator".

 

Plik musi być finałowo na C, gdyż ta ścieżka jest użyta w skrypcie BlitzBlank.

 

 

 

.

[eminesia]

BlitzBlank -> http://wklej.org/id/771430/

SFC -> http://wklej.org/id/771428/

SystemLook -> http://wklej.org/id/771436/

[picasso]

Prawie wszystko wykonane i jesteśmy już na prostej. Plik services.exe wyleczony, foldery ZeroAccess usunięte, ale nie wykonał się poprawnie import do rejestru i klasa CLSID ZeroAccess nadal w rejestrze.

 

1. Z prawokliku na zrobiony wcześniej plik FIX.BAT wybierz opcję "Uruchom jako Administrator". Gdy zadanie się wykona, zresetuj system.

 

2. Wygeneruj nowy log z SystemLook na warunek:

 

:reg
HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s

 

Ponadto, zrób również log z Farbar Service Scanner z wszystkimi opcjami zaznaczonymi.

 

 

 

.

[eminesia]

SystemLook -> http://wklej.org/id/771452/

FSS -> http://wklej.org/id/771454/

[picasso]

Zrobione. Infekcja ZeroAccess wyeliminowana, ale to nie koniec działań. Wymagane drobne kasacje. ZeroAccess wygenerował plik o wadliwej nazwie:

 

File not found -- C:\Windows\SysNative\

 

Trojan rozkurzył także rejestr, usunął usługi Zapory systemu Windows, Centrum zabezpieczeń i Windows Defender. Do wykonania kolejna porcja zadań:

 

1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator. Wklej komendę (dokładnie z posta do okna):

 

del "\\?\C:\Windows\System32\ "

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
:Files
C:\Users\k\AppData\Roaming\OpenCandy
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami usuwania.

 

3. Odbuduj skasowane usługi:

• Rekonstrukcja usług Zapory systemu Windows: KLIK.
  
• Rekonstrukcja usługi Centrum zabezpieczeń: KLIK.
  
• Rekonstrukcja usługi Windows Defender: KLIK.
  

4. Zresetuj system i wygeneruj nowe logi: Farbar Service Scanner oraz OTL z opcji Skanuj.

 

 

 

.

[eminesia]

1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator. Wklej komendę (dokładnie z posta do okna):

 

del "\\?\C:\Windows\System32\ "

 

C:\Windows\system32>del "\\?\C:\Windows\System32\ "

Nie można odnaleźć \\?\C:\Windows\System32\ .

[picasso]

Hmmm, ta komenda zawsze mi działała do usuwania tych "noname" od ZeroAccess:

 

 

Na razie to zostaw, nie jest to aż tak istotne. Przejdź do dalszych czynności i zgłoś się z logami.

 

 

 

.

[eminesia]

Ad. 2

OTL 1 -> http://wklej.org/id/771719/

 

Ad. 3

SFC -> http://wklej.org/id/771743/

 

Ad. 4

FSS -> http://wklej.org/id/771744/

OTL 2 -> http://wklej.org/id/771751/

OTL Extras -> http://wklej.org/id/771752/

[picasso]

Komentarze do logów:

- SFC: niepotrzebne, to już było prowadzone tylko z zawężeniem do naprawy pliku services.exe. Podajesz mi nieświeży wczorajszy log. Log zbędny.

- OTL: ciekawa sprawa, ten plik bez nazwy, który zakreślałam, ... nie jest już wykrywany. Wnioski: musiał zostać w jakiś sposób usunięty. Czy w linii komend nie zastosowałaś przypadkiem komendy dwa razy?

- FSS: wskazuje, że wszystkie usługi zostały odbudowane. Aczkolwiek Centrum zabezpieczeń, Windows Update i Windows Defender mają status zatrzymany. Ten ostatni z kolei w później zrobionym logu OTL już ma usługę na chodzie. W podsumowaniu: sądzę, że jest OK.

 

Przechodzimy do finałowego czyszczenia:

 

1. Porządki po narzędziach: w OTL uruchom Sprzątanie, ręcznie dokasuj inne używane narzędzia / fiksy / logi.

 

2. Czyszczenie folderów Przywracania systemu: KLIK.

 

3. Na wszelki wypadek wykonaj jeszcze pełne skanowanie posiadanymi przez siebie programami i zgłoś się tu z wynikami.

 

 

 

.

[eminesia]

Faktycznie, wpisałam dwa razy.

 

Log z Aviry -> http://wklej.org/id/772115/

 

Wygląda na to, że wszystko już w porządku.

Bardzo dziękuję za pomoc. Świetnie, że istnieje ktoś kompetentny i pomocny w takich sprawach.

[picasso]

Na zakończenie:

 

1. Nie zauważyłam wcześniej na Twojej liście programów pozycji pdfforge Toolbar. Odinstaluj to, zresztą wygląda to na martwy wpis.

 

2. Wykonaj drobne aktualizacje: KLIK. Wyciąg z Twojej listy zainstalowanych:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F86416020FF}" = Java™ 6 Update 20 (64-bit)
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX 64-bit
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin 64-bit
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216022F0}" = Java™ 6 Update 22
"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31
"{AA59DDE4-B672-4621-A016-4C248204957A}" = Skype™ 5.5
"{AC76BA86-7AD7-1033-7B44-AA1000000001}" = Adobe Reader X (10.1.0)
"Mozilla Firefox 12.0 (x86 pl)" = Mozilla Firefox 12.0 (x86 pl)

 

3. Dla bezpieczeństwa zmień hasła logowania w serwisach.

 

 

 

.