Infekcja Backdoor.Win32.ZAccess.mbg i inne

[bloodorange]

Witam!

 

Wczoraj, w pewnym momencie zaczęłam dostawać od Kasperskiego komunikaty o zagrożeniach w postaci:

Backdoor.Win32.ZAccess.mbg

Trojan.Win32.Small.bmph

Trojan.Win32.Zapchast.acdo.

Niby zostały przez Kasperskiego usunięte (poniżej logi), ale po chwili na nowo wyskakiwały komunikaty o zagrożeniu.

 

Usunięto Koń trojański Backdoor.Win32.ZAccess.mbg C:\Windows\Installer\{2e39e9e8-0b6d-f6b1-6ad1-975d459dade0}\U\00000001.@ 2012-06-26 13:25:23
Usunięto Koń trojański Trojan.Win32.Small.bmph C:\Windows\Installer\{2e39e9e8-0b6d-f6b1-6ad1-975d459dade0}\U\80000000.@ 2012-06-26 13:25:16
Usunięto Koń trojański Trojan.Win32.Zapchast.acdo C:\Windows\Installer\{2e39e9e8-0b6d-f6b1-6ad1-975d459dade0}\U\800000cb.@

 

Ponadto przestała działać Zapora systemu Windows, Windows Defender oraz Centrum zabezpieczeń systemu Windows.

 

Próbowałam skanowania programem Malwarebytes Anti-Malware, który przy szybkim skanowaniu również znalazł 3 zagrożenia i niby po resteracie systemu usunął je, jednak po chwili ponownie wracały.

Kierując się wskazówkami z niektórych postów na tym forum, naprawiłam services.exe przy pomocy narzędzia sfc. Po tej operacji nagle komunikaty o zagrożeniach ustały. Odtworzyłam też zaporę itd. przy pomocy wskazówek Picasso. Mimo tych zabiegów obawiam się, iż w systemie nadal coś siedzi. Proszę o sprawdzenie logów w miarę możliwości. Operuję na systemie Windows 7 Professional 32-bit.

gmer.txt

OTL.Txt

Extras.Txt

[Landuss]

Według logów, obiekty ZeroAccess nadal są na dysku a więc infekcja nie została usunięta. Wykonaj raport uzupełniający - Uruchom SystemLook, w oknie wklej:

 

:reg
HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
 
:filefind
services.exe

 

Klik w Look. Przedstaw wynikowy raport.

 

Kierując się wskazówkami z niektórych postów na tym forum, naprawiłam services.exe przy pomocy narzędzia sfc.

 

Tutaj raczej nie było infekcji na tym pliku. To jest system 32 bitowy a services.exe jest infekowany na systemach 64 bitowych. ZeroAccess wygląda różnie w zależności od systemu.

[bloodorange]

Dzięki za zajęcie się sprawą. Poniżej zamieszczam raport z SystemLook'a:

 

 

SystemLook 30.07.11 by jpshortstuff

Log created at 08:33 on 28/06/2012 by Kika

Administrator - Elevation successful

 

========== reg ==========

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

(Unable to open key - key not found)

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}]

@="Microsoft WBEM New Event Subsystem"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32]

@="%systemroot%\system32\wbem\wbemess.dll"

"ThreadingModel"="Both"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

@="MruPidlList"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]

@="%SystemRoot%\system32\shell32.dll"

"ThreadingModel"="Apartment"

 

 

========== filefind ==========

 

Searching for "services.exe"

C:\Windows\System32\services.exe --a---- 259072 bytes [23:11 13/07/2009] [01:14 14/07/2009] 5F1B6A9C35D3D5CA72D6D6FDEF9747D6

C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_cf36168b2e9c967b\services.exe --a---- 259072 bytes [23:11 13/07/2009] [01:14 14/07/2009] 5F1B6A9C35D3D5CA72D6D6FDEF9747D6

 

-= EOF =-

[Landuss]

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
O3 - HKU\S-1-5-21-2679180560-3091958839-3284794598-1002\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
 
:Files
C:\windows\Installer\{2e39e9e8-0b6d-f6b1-6ad1-975d459dade0}
C:\Users\Kika\AppData\Local\{2e39e9e8-0b6d-f6b1-6ad1-975d459dade0}
C:\Users\Kika\AppData\Roaming\A1EDF239-6C37-4F17-9A5B-4316842F5E06
 
:Services
uplook agent tracer
AuditPro Scan
SANDRA
pxldipow
EverestDriver
cpuz132
AIDA32Driver
 
:Commands
[resethosts]
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

Pokazujesz nowy log z OTL ze skanowania oraz z Farbar Service Scanner (zaznacz wszystko do skanowania)

[bloodorange]

Skrypt wykonany. Poniżej zamieszczam raport z OTLa, który otrzymałam po restarcie systemu oraz nowy raport z pełnego skanowania + raport z Farbar Service Scannera:

OTL_raport_po_skrypcie.txt

OTL2.Txt

FSS.txt

[Landuss]

Wszystko poprawnie wykonane i nie ma się tu czym więcej zajmować. Możesz przejść do finalizacji:

 

1. Użyj opcji Sprzątanie z OTL.

 

2. Opróżnij folder przywracania systemu: KLIK

 

3. Zaktualizuj wymienione programy do najnowszych wersji:

 

"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java 6 Update 29

"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish

"Mozilla Firefox 12.0 (x86 pl)" = Mozilla Firefox 12.0 (x86 pl)

 

Szczegóły aktualizacyjne: KLIK

 

4. Zmień hasła logowania do serwisów w sieci.

[bloodorange]

Ok. Dzięki wielkie za pomoc!