radioactive15 Opublikowano 19 Czerwca 2012 Zgłoś Udostępnij Opublikowano 19 Czerwca 2012 Witam Otóż od dwóch dni zauważyłem iż mój komputer po aktualizacji Java z 6 na 7 zaczął się zawieszać. Dzisiaj postanowiłem zająć się diagnostyką. I tak,od włączenia komputera zauważyłem połączenie procesu explorer.exe z ip należącego do Malezji. (firma hostingowa). Domyśliłem się że może być to rootkit lub botnet należący do sieci zombie. Zacząłem skanowanie od Dr.Web Cure it.Wykryło kilka moich programów (interesuje się bezpieczeństwem-amator),oraz Java.BitCoinMiner.1 czy coś w tym stylu,został usunięty. Sprawdziłem czy nie mam infekcji ZeroAccess- czysty. Później pojechałem Gmer'em i OTL. Gmer nic nie wykrył,nie mam pojęcia co to może być. Jak coś-proces "oxsb2g2h.exe" to Gmer Poniżej zamieszczam logi. Webroot AntiZeroAccess 0.8 Log File Execution time: 19/06/2012 - 13:48 Host operation System: Windows Xp X86 version 5.1.2600 Dodatek Service Pack 3 13:48:05 - CheckSystem - Begin to check system... 13:48:05 - OpenRootDrive - Opening system root volume and physical drive.... 13:48:05 - C Root Drive: Disk number: 0 Start sector: 0x00000800 Partition Size: 0x0BD74000 sectors. 13:48:05 - PrevX Main driver extracted in "C:\WINDOWS\system32\drivers\ZeroAccess.sys". 13:48:05 - InstallAndStartDriver - Main driver was installed and now is running. 13:48:05 - CheckSystem - Disk class driver state is OK. 13:48:06 - CheckFile - Unable to send FSCTL_GET_RETRIEVAL_POINTERS to file object. DeviceIoControl last error: 5 13:48:06 - CheckFile - Unable to send FSCTL_GET_RETRIEVAL_POINTERS to file object. DeviceIoControl last error: 5 13:48:06 - CheckFile - Unable to send FSCTL_GET_RETRIEVAL_POINTERS to file object. DeviceIoControl last error: 5 13:48:06 - CheckFile - Unable to send FSCTL_GET_RETRIEVAL_POINTERS to file object. DeviceIoControl last error: 5 13:48:06 - CheckFile - Unable to send FSCTL_GET_RETRIEVAL_POINTERS to file object. DeviceIoControl last error: 5 13:48:07 - CheckFile - Unable to read "sptd.sys" file. CreateFile last eror: 0x00000020. 13:48:07 - StopAndRemoveDriver - AntiZeroAccess Driver is stopped and removed. 13:48:07 - StopAndRemoveDriver - File "ZeroAccess.sys" was deleted! 13:48:07 - Execution Ended! OTL.Txt Extras.Txt Gmer.txt Odnośnik do komentarza
picasso Opublikowano 20 Czerwca 2012 Zgłoś Udostępnij Opublikowano 20 Czerwca 2012 Jest tu czynna podejrzana usługa, która wygląda na podróbkę usługi IPv6: SRV - [2008-04-14 22:51:50 | 000,116,224 | --S- | M] (Microsoft Corporation) [Auto | Running] -- C:\WINDOWS\system32\c6to4.dll -- (6to4) Ta usługa w oryginale na XP wygląda następująco, skierowanie na całkiem inny plik: SRV - [2010-02-12 06:34:58 | 000,100,864 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\WINDOWS\system32\6to4svc.dll -- (6to4) Ponadto, są na dysku pewne foldery relatywne do infekcji oraz widać szczątki infekcji z dysków wymiennych. W autoryzacji zapory jest jeden wpis sugerujący, że tu był wirus Sality (infekujący wszystkie wykonywalne na wszystkich dyskach) + mapowanie MountPoints pokazuje historyczne podpięcia zainfekowanych nośników USB: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]"O:\wmpbpl.exe" = O:\wmpbpl.exe:*:Enabled:ipsec O33 - MountPoints2\{2d1835a2-cfc2-11e0-9109-002618d43932}\Shell\AutoRun\command - "" = nhbivui.exeO33 - MountPoints2\{2d1835a2-cfc2-11e0-9109-002618d43932}\Shell\explore\Command - "" = nhbivui.exeO33 - MountPoints2\{2d1835a2-cfc2-11e0-9109-002618d43932}\Shell\open\Command - "" = nhbivui.exeO33 - MountPoints2\{c390f92e-8abd-11e0-9038-002618d43932}\Shell\AutoRun\command - "" = O:\setup.exeO33 - MountPoints2\{d68a8840-402b-11e1-925f-002618d43932}\Shell\AUtoplay\cOmManD - "" = O:\wmpbpl.exeO33 - MountPoints2\{d68a8840-402b-11e1-925f-002618d43932}\Shell\AutoRun\command - "" = O:\wmpbpl.exeO33 - MountPoints2\{d68a8840-402b-11e1-925f-002618d43932}\Shell\eXpLore\COMMand - "" = O:\wmpbpl.exeO33 - MountPoints2\{d68a8840-402b-11e1-925f-002618d43932}\Shell\opEn\coMmANd - "" = O:\wmpbpl.exe Niemniej reszta danych z OTL nie wskazuje, by tu była ta infekcja w stanie czynnym, to wygląda raczej na stare odpadki. Skanowałeś też Dr. Web, a ten nie powinien być ślepy na tę infekcję. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL SRV - [2008-04-14 22:51:50 | 000,116,224 | --S- | M] (Microsoft Corporation) [Auto | Running] -- C:\WINDOWS\system32\c6to4.dll -- (6to4) SRV - File not found [Disabled | Stopped] -- C:\Program Files\OpenVPN Technologies\OpenVPN Client\core\capiws.exe -- (OpenVPNAccessClient) DRV - File not found [Kernel | Disabled | Stopped] -- System32\Drivers\usbVM31b.sys -- (ZSMC302) DRV - File not found [Kernel | Disabled | Stopped] -- system32\DRIVERS\wanatw4.sys -- (wanatw) DRV - File not found [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\Drivers\PROCEXP151.SYS -- (PROCEXP151) DRV - File not found [Kernel | Disabled | Unknown] -- C:\WINDOWS\System32\drivers\dwshd.sys -- (dwshd) :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System] "EnableLUA"=- :Files netsh firewall reset /C C:\Documents and Settings\All Users\Dane aplikacji\kYkUJjRyDFrudCR8r4 C:\Documents and Settings\Maks i Michał\Dane aplikacji\dclogs C:\Documents and Settings\Maks i Michał\Dane aplikacji\wyUpdate AU :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany, otrzymasz log z wynikami. 2. Wyczyść preferencje Firefox z adware pochodzącego z wtyczek vShare / LiveVDO. Zastosuj AdwCleaner z opcji Delete. 3. Wygeneruj nowy log z OTL z opcji Skanuj (już bez Extras). Dodaj logi automatycznie utwoprzone z usuweania w punktach 1+2. I tak,od włączenia komputera zauważyłem połączenie procesu explorer.exe z ip należącego do Malezji. (firma hostingowa). W jaki sposób to sprawdziłeś / czym? Sprawdziłem czy nie mam infekcji ZeroAccess- czysty. Tym narzędziem tego nie potwierdzisz. Ten specyficzny skaner adresuje starszy wariant infekcji. Aktualnie w obiegu są dwie nowe postaci trojana, które działają kompletnie inną techniką i żadne z narzędzi dedykowanych do usuwania ZeroAccess nie wykrywa tego. Jak coś-proces "oxsb2g2h.exe" to Gmer To jest dla nas oczywiste. Po pierwsze stały charakterystyczny rozmiar pliku, po drugie nagłówek loga z GMER ma precyzyjne dane z jakiego EXE startował GMER i jaką usługę tymczasową montował: GMER 1.0.15.15641 - "http://www.gmer.net"Rootkit scan 2012-06-19 21:02:48Windows 5.1.2600 Dodatek Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-6 ST3500418AS rev.CC34Running: oxsb2g2h.exe; Driver: C:\DOCUME~1\MAKSIM~1\USTAWI~1\Temp\axldipog.sys Otóż od dwóch dni zauważyłem iż mój komputer po aktualizacji Java z 6 na 7 zaczął się zawieszać. Dodatkowe uwagi, do wdrożenia już po czyszczeniu systemu: 1. W Dzienniku zdarzeń jest m.in. taki oto błąd sugerujący uszkodzenie struktury systemu plików: Error - 2012-06-19 07:55:55 | Computer Name = STACJONARNY | Source = Ntfs | ID = 262199Description = Struktura systemu plików na dysku jest uszkodzona i nie do użytku.Uruchom narzędzie chkdsk na woluminie C:. Dostosuj się do komunikatu i przeprowadź sprawdzanie dysku pod kątem błędów. 2. Podejrzewać też można i aktywność Kasperskiego. 3. Do deinstalacji zbędny Akamai NetSession Interface. Odśwież też kodeki K-Lite Codec Pack. . Odnośnik do komentarza
radioactive15 Opublikowano 20 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 20 Czerwca 2012 hmm tak miałem kilka razy infekcję Sality oraz z urządzeń przenośnych,ale zazwyczaj walczyłem z nimi sposobem-tryb awaryjny i dr web. Nie wiem czy tak powinno być ale podczas wykonywania skryptu przy etapie "Trwa zamykanie systemu Windows..." komputer się zawiesił przez 10 minut i musiałem pojechać dolnym resetem. Krok drugi wykonany. Trzeci także. IP sprawdziłem poprzez aktywność sieciową w Kaspersky. Po wpisaniu adresu w google,wyskoczyło mi że pochodzi z firmy hostingowej. 124.217.231.213 AdwCleanerS1.txt 06202012_143340.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 20 Czerwca 2012 Zgłoś Udostępnij Opublikowano 20 Czerwca 2012 Podstawowe usuwanie odbyło się. Skrypt OTL jednak nie wykonał komendy resetu reguł zapory, z niesprecyzowanego powodu. Zaś AdwCleaner o dziwo nie ruszył tego adware. Poprawki: 1. Start > Uruchom > cmd i wpisz komendę netsh firewall reset. 2. Zamknij Firefox. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL FF - prefs.js..browser.search.selectedEngine: "Web Search..." FF - prefs.js..keyword.URL: "http://startsear.ch/?q=" [2011-09-10 21:15:40 | 000,001,565 | ---- | M] () -- C:\Documents and Settings\Maks i Michał\Dane aplikacji\Mozilla\Firefox\Profiles\tf4fcmtg.default\searchplugins\web-search.xml SRV - File not found [Disabled | Stopped] -- C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe -- (Apple Mobile Device) Klik w Wykonaj skrypt. Tym razem bez resetu. 3. Przeprowadź pełne skanowanie w Malwarebytes Anti-Malware. 4. Wystarczy, że podasz tylko log z wynikami usuwania OTL + raport z MBAM (o ile coś znajdzie) oraz wypowiesz się co się teraz dzieje w systemie, czy po usuwaniu jest jakaś poprawa. . Odnośnik do komentarza
radioactive15 Opublikowano 20 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 20 Czerwca 2012 1. Wykonany. 2. Wykonany. 3. Wykonane,wykryło 6 zagrożeń,logi poniżej. 4. Chyba coś się poprawiło,nie widać żadnych ścin. EDIT: po usunięciu zagrożeń i uruchomieniu ponownie wywaliło cały explorer.exe.Nie chce się włączyć,jest tylko tapeta,nic więcej. Na dodatek przy ekranie logowania zawsze w prawym górnym rogu był napis "Protected by Kaspersky". Teraz nic się nie wyświetla (piszę z innego kompa). 06202012_154047.txt mbam-log-2012-06-20 (15-42-38).txt Odnośnik do komentarza
picasso Opublikowano 20 Czerwca 2012 Zgłoś Udostępnij Opublikowano 20 Czerwca 2012 Kończymy: 1. Porządki po narzędziach: w OTL uruchom Sprzątanie + w AdwCleaner Uninstall. 2. Wyczyść foldery Przywracania systemu: KLIK. Prawdopodobnie w pierwszym podejściu uzyskasz błąd nakazujący aktywację Przywracania, bo wg OTL jest niespójny stan usług Przywracania systemu (wyłączony sterownik, ale nie usługa). 3. Nadal aktualne wskazówki na temat sprawdzania dysku oraz aplikacji Akamai NetSession Interface. 4. Inne aktualizacje do nadrobienia: KLIK. Tu z Twojej listy zainstalowanych wykaz: Internet Explorer (Version = 6.0.2900.5512) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216026FF}" = Java 6 Update 29"{26A24AE4-039D-4CA4-87B4-2F83217005FF}" = Java 7 Update 5"{AA59DDE4-B672-4621-A016-4C248204957A}" = Skype™ 5.5"{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.1) - Polish"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin"Adobe Shockwave Player" = Adobe Shockwave Player 11.6"ENTERPRISE" = Microsoft Office Enterprise 2007"Mozilla Firefox 12.0 (x86 pl)" = Mozilla Firefox 12.0 (x86 pl) PS. A jeśli szukasz alternatyw dla GG10-potwora jedzącego zasoby, to przewertuj Darmowe komunikatory i opisy WTW / Miranda / Kadu / AQQ. . Odnośnik do komentarza
radioactive15 Opublikowano 20 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 20 Czerwca 2012 Czytaj edit Odnośnik do komentarza
picasso Opublikowano 20 Czerwca 2012 Zgłoś Udostępnij Opublikowano 20 Czerwca 2012 EDIT: po usunięciu zagrożeń i uruchomieniu ponownie wywaliło cały explorer.exe.Nie chce się włączyć,jest tylko tapeta,nic więcej.Na dodatek przy ekranie logowania zawsze w prawym górnym rogu był napis "Protected by Kaspersky". Teraz nic się nie wyświetla (piszę z innego kompa). Jakoś nie widzę związku z usuwaniem w MBAM, to nie ta skala obiektów. Czy w Trybie awaryjnym jest taki sam problem? I przeprowadź skanowanie dysku, pusta tapeta = CTRL+SHIFT+ESC i z poziomu menedżera zadań uruchom linię komend cmd, wklep polecenie chkdsk /f /r i restart systemu. . Odnośnik do komentarza
radioactive15 Opublikowano 20 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 20 Czerwca 2012 ok,po restarcie widzę że wszystko powróciło do normy,wykonałem polecenie sprawdzające które przyniosło rezultat "Dysk jest wolny od błędów". Zabieram się więc za sprzątanie. 1. Wykonane. 2. Wykonane 3. Zrobione,nie jestem pewny co do odinstalowania tego ponieważ ten komponent należy do Need For Speed World,bez niego nie będzie chyba działać. 4. Zrobię na samym końcu. Jak na razie jest wszystko dobrze,dziękuje ci serdecznie za pomoc Odnośnik do komentarza
picasso Opublikowano 20 Czerwca 2012 Zgłoś Udostępnij Opublikowano 20 Czerwca 2012 3. Zrobione,nie jestem pewny co do odinstalowania tego ponieważ ten komponent należy do Need For Speed World,bez niego nie będzie chyba działać. Nawet jeśli to przyszło z grą, to wątpię, by było konieczne. Dla porównania temat: KLIK. . Odnośnik do komentarza
radioactive15 Opublikowano 23 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 23 Czerwca 2012 Ok,zrobione,dziękuje za pomoc,temat close Odnośnik do komentarza
Rekomendowane odpowiedzi