BlackBerry2012 Opublikowano 16 Czerwca 2012 Zgłoś Udostępnij Opublikowano 16 Czerwca 2012 Witam serdecznie wszystkich Użytkowników oraz Prowadzących to forum. Pozwoliłem sobie założyć nowy temat, gdyż mam taki oto problem i nie za bardzo potrafię sobie z nim poradzić. Niedawno zainstalowałem Kaspersky Anti-virus i znalazł on w moim komputerze następujące trojany: Backdoor.Win32.ZAccess.mbg Backdoor.Win64.ZAccess.bn Backdoor.Win64.ZAccess.bm oraz HEUR:Trojan.Win.32.Generic - poddany kwarantannie Nie bedę się może rozpisywał jak do tego doszło gdyż to dość długa historia (więcej na ten temat tutaj: http://forum.cdactio...howtopic=192270), natomiast czytałem, że trojany te są bardzo groźne . Sprawa jest o tyle denerwująca, że w czasie, gdy jestem podłączony do internetu co chwilę wyświetla się komunikat, że "istnieją nieprzetworzone obiekty" i słychać niepokojące cykanie twardego dysku. Ktoś pomoże? Poniżej logi z OTL: OTL.Txt Extras.Txt Odnośnik do komentarza
Landuss Opublikowano 16 Czerwca 2012 Zgłoś Udostępnij Opublikowano 16 Czerwca 2012 W logach rzeczywiście infekcja ZeroAccess w najnowszym wydaniu. Tu system 64 bitowy więc możliwa infekcja systemowego services.exe i to trzeba sprawdzić. Wykonaj log dodatkowy - uruchom SystemLook x64 i do okna wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look i przedstaw wynikowy raport. Odnośnik do komentarza
BlackBerry2012 Opublikowano 16 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 16 Czerwca 2012 Nie wiem czy zrobiłem to poprawnie, ale raport się utworzył. SystemLook 30.07.11 by jpshortstuff Log created at 15:57 on 16/06/2012 by Sławek Administrator - Elevation successful ========== reg ========== [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] (No values found) [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32] "ThreadingModel"="Both" @="C:\Users\Sławek\AppData\Local\{24170ae6-20bc-da6c-9048-24565aee7a9f}\n." [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}] @="Microsoft WBEM New Event Subsystem" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] @="%systemroot%\system32\wbem\wbemess.dll" "ThreadingModel"="Both" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] @="MruPidlList" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] @="%SystemRoot%\system32\shell32.dll" "ThreadingModel"="Apartment" ========== filefind ========== Searching for "services.exe" C:\Windows\System32\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 014A9CB92514E27C0107614DF764BC06 C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB -= EOF =- Odnośnik do komentarza
Landuss Opublikowano 16 Czerwca 2012 Zgłoś Udostępnij Opublikowano 16 Czerwca 2012 Services.exe wygląda na szkodliwie zmodyfikowany (niezgodna suma kontrolna): Searching for "services.exe" C:\Windows\System32\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 014A9CB92514E27C0107614DF764BC06 C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB 1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator. Wklej komendę: sfc /scanfile=C:\Windows\system32\services.exe Zresetuj system. 2. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator. Wklej komendę: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt Otworzy się log, który zachowaj i pokaż na forum. Jeśli plik zostanie wyleczony przez sfc to przejdziemy do dalszych działań. Odnośnik do komentarza
BlackBerry2012 Opublikowano 16 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 16 Czerwca 2012 Komendy wpisywałem ręcznie bo miałem problem, żeby skopiować. Sprawdzałem 3 razy, żeby sie nie pomylić ale w pierwszej po sfc nie dałem spacji. Mam nadzieję, że nie jest to istotne. 2012-06-16 17:01:39, Info CSI 00000009 [sR] Verifying 1 components 2012-06-16 17:01:39, Info CSI 0000000a [sR] Beginning Verify and Repair transaction 2012-06-16 17:01:39, Info CSI 0000000c [sR] Repairing corrupted file [ml:520{260},l:46{23}]"\??\C:\Windows\System32"\[l:24{12}]"services.exe" from store 2012-06-16 17:01:39, Info CSI 0000000e [sR] Verify complete 2012-06-16 17:01:39, Info CSI 0000000f [sR] Repairing 1 components 2012-06-16 17:01:39, Info CSI 00000010 [sR] Beginning Verify and Repair transaction 2012-06-16 17:01:39, Info CSI 00000012 [sR] Repairing corrupted file [ml:520{260},l:46{23}]"\??\C:\Windows\System32"\[l:24{12}]"services.exe" from store 2012-06-16 17:01:39, Info CSI 00000014 [sR] Repair complete 2012-06-16 17:01:39, Info CSI 00000015 [sR] Committing transaction 2012-06-16 17:01:39, Info CSI 00000019 [sR] Unable to complete Verify and Repair transaction because some of the files that need to be repaired are in use. A reboot is required to complete this operation. 2012-06-16 17:01:39, Info CSI 0000001a [sR] Repairing 1 components 2012-06-16 17:01:39, Info CSI 0000001b [sR] Beginning Verify and Repair transaction 2012-06-16 17:01:39, Info CSI 0000001d [sR] Repairing corrupted file [ml:520{260},l:46{23}]"\??\C:\Windows\System32"\[l:24{12}]"services.exe" from store 2012-06-16 17:01:39, Info CSI 0000001f [sR] Repair complete Odnośnik do komentarza
Landuss Opublikowano 16 Czerwca 2012 Zgłoś Udostępnij Opublikowano 16 Czerwca 2012 Plik został naprawiony przez sfc i można lecieć dalej. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O2:64bit: - BHO: (no name) - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - No CLSID value found. O2 - BHO: (no name) - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - No CLSID value found. O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {EBD898F8-FCF6-4694-BC3B-EABC7271EEB1} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - No CLSID value found. O4 - HKCU..\Run: [] File not found O4 - HKCU..\Run: [ALLUpdate] "C:\Program Files (x86)\ALLPlayer\ALLUpdate.exe" "sleep" File not found :Files C:\Windows\Installer\{24170ae6-20bc-da6c-9048-24565aee7a9f} C:\Users\Sławek\AppData\Local\{24170ae6-20bc-da6c-9048-24565aee7a9f} :Reg [-HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] :Services MSK80Service McProxy McODS McNASvc McNaiAnn mcmscsvc McMPFSvc :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. 2. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz z SystemLook tak jak poprzednio i z Farbar Service Scanner (zaznacz wszystko do skanowania) Odnośnik do komentarza
BlackBerry2012 Opublikowano 16 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 16 Czerwca 2012 Zrobione. Poniżej zamieszczam nowo wykonane logi: SystemLook 30.07.11 by jpshortstuff Log created at 18:02 on 16/06/2012 by Sławek Administrator - Elevation successful ========== reg ========== [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] (No values found) [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32] "ThreadingModel"="Both" @="C:\Users\Sławek\AppData\Local\{24170ae6-20bc-da6c-9048-24565aee7a9f}\n." [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}] @="Microsoft WBEM New Event Subsystem" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] @="%systemroot%\system32\wbem\wbemess.dll" "ThreadingModel"="Both" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] @="MruPidlList" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] @="%SystemRoot%\system32\shell32.dll" "ThreadingModel"="Apartment" ========== filefind ========== Searching for "services.exe" C:\Windows\System32\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB -= EOF =- OTL.Txt FSS.txt Odnośnik do komentarza
Landuss Opublikowano 16 Czerwca 2012 Zgłoś Udostępnij Opublikowano 16 Czerwca 2012 Skrypt prawie wykonany. Jedynie jeden z kluczy nie został usunięty i to trzeba powtórzyć. Spróbuj nieco innym sposobem. 1. Wklej do OTL taki skrypt: :Files reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f /C :Commands [reboot] Klik w Wykonaj skrypt i zatwierdź restart. Powinien pojawić się log, który zachowaj w celu pokazania. 2. Napraw usunięte przez rootkita ważne usługi systemowe (omijając skan sfc): Rekonstrukcja usług Zapory systemu Windows (MpsSvc + bfe): KLIK. Rekonstrukcja usługi Centrum zabezpieczeń: KLIK. Rekonstrukcja usługi Windows Defender: KLIK. 3. Pokazujesz log z usuwania w punkcie 1 oraz nowy log z SystemLook i z FSS. Odnośnik do komentarza
BlackBerry2012 Opublikowano 18 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 18 Czerwca 2012 Trochę to trwało, ale jakoś w końcu przez to przebrnąłem SystemLook 30.07.11 by jpshortstuff Log created at 15:36 on 18/06/2012 by Sławek Administrator - Elevation successful ========== reg ========== [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] (No values found) [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32] "ThreadingModel"="Both" @="C:\Users\Sławek\AppData\Local\{24170ae6-20bc-da6c-9048-24565aee7a9f}\n." [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}] @="Microsoft WBEM New Event Subsystem" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] @="%systemroot%\system32\wbem\wbemess.dll" "ThreadingModel"="Both" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] @="MruPidlList" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] @="%SystemRoot%\system32\shell32.dll" "ThreadingModel"="Apartment" ========== filefind ========== Searching for "services.exe" C:\Windows\System32\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB -= EOF =- 06162012_182447.txt FSS.txt Odnośnik do komentarza
Landuss Opublikowano 18 Czerwca 2012 Zgłoś Udostępnij Opublikowano 18 Czerwca 2012 Klucz nadal nie został usunięty. Usuniesz ręcznie - Wciśnij klawisz z flagą Windows + R wklep regedit i usuń z prawokliku ten klucz: HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} Po tej operacji zrób restart i wykonaj nowy log z SystemLook. Odnośnik do komentarza
BlackBerry2012 Opublikowano 18 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 18 Czerwca 2012 Załączam log SystemLook 30.07.11 by jpshortstuff Log created at 21:33 on 18/06/2012 by Sławek Administrator - Elevation successful ========== reg ========== [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] (Unable to open key - key not found) [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}] @="Microsoft WBEM New Event Subsystem" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] @="%systemroot%\system32\wbem\wbemess.dll" "ThreadingModel"="Both" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] @="MruPidlList" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] @="%SystemRoot%\system32\shell32.dll" "ThreadingModel"="Apartment" ========== filefind ========== Searching for "services.exe" C:\Windows\System32\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB -= EOF =- Odnośnik do komentarza
Landuss Opublikowano 18 Czerwca 2012 Zgłoś Udostępnij Opublikowano 18 Czerwca 2012 Teraz usunięte wszystko jak należy. Możesz przejść do finalizacji: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj Jave i Adobe Readera do najnowszych wersji: KLIK 4. Zmień dla bezpieczeństwa hasła logowania do serwisów w sieci. Odnośnik do komentarza
BlackBerry2012 Opublikowano 18 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 18 Czerwca 2012 Pkt.2. Przy usuwaniu punktów przywracania z dysków C i D jest tam jeszcze katalog "Recovery". Czy z niego również mam usunąć wszystkie punkty przywracania? Odnośnik do komentarza
Landuss Opublikowano 18 Czerwca 2012 Zgłoś Udostępnij Opublikowano 18 Czerwca 2012 Według mnie też, jak wszystko to wszystko. Odnośnik do komentarza
BlackBerry2012 Opublikowano 19 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 19 Czerwca 2012 1.Nie wiem czy dobrze zrobiłem? Zainstalowałem: Java SE Development Kit 7 Update 5 - wersję 32 bit (mam dwie przeglądarki iExplorer oraz przegladarkę Chrome), Java SE Runtime Environment 6 Update 33 - wersję 64 bit. 2. Czy mogę skasować pliki BFE.reg, MpsSvc.reg itp., z których wykonywałem scalanie? Odnośnik do komentarza
Landuss Opublikowano 19 Czerwca 2012 Zgłoś Udostępnij Opublikowano 19 Czerwca 2012 1.Nie wiem czy dobrze zrobiłem? Zainstalowałem:Java SE Development Kit 7 Update 5 - wersję 32 bit (mam dwie przeglądarki iExplorer oraz przegladarkę Chrome), Java SE Runtime Environment 6 Update 33 - wersję 64 bit. Źle, masz przecież podane wszystko. Zainstalowałeś Jave JDK zamiast JRE. Odinstaluj te Javy i pobierz poprawne wersje zarówno 32 bitową jak i 64 bitową. 2. Czy mogę skasować pliki BFE.reg, MpsSvc.reg itp., z których wykonywałem scalanie? Możesz. To do niczego nie będzie potrzebne. Odnośnik do komentarza
BlackBerry2012 Opublikowano 19 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 19 Czerwca 2012 Sorry, narobiłem zamieszania z tą Javą, ale już jest OK. Rozumiem, że teraz z komputerem jest już wszystko w porządku? Odnośnik do komentarza
Landuss Opublikowano 19 Czerwca 2012 Zgłoś Udostępnij Opublikowano 19 Czerwca 2012 To ty powinieneś odpowiedzieć sobie na pytanie czy jest już w porządku. Powinno być bo wszystko wykonane jak należy. Temat jako rozwiązany zamykam. Odnośnik do komentarza
Rekomendowane odpowiedzi