Skocz do zawartości

Witamy na forum Fixitpc.pl
Aktualnie przeglądasz stronę jako gość. Jeżeli posiadasz już konto, zaloguj się - w przeciwnym wypadku zarejestruj konto. Rejestracja jest darmowa, prosta i umożliwia pełny dostęp do funkcji forum.
Zdjęcie

Rootkit.Zeroaccess, proszę o pomoc w usunięciu


  • Zamknięty Temat jest zamknięty
16 odpowiedzi w tym temacie

#1
Alexoss

Alexoss

    Użytkownik

  • Użytkownicy
  • PipPip
  • 20 postów
Witam

Zostałem skierowany tutaj po założeniu tematu:
http://forum.idg.pl/...tl-t211860.html

objawy
- przekierowania na abnow .com
- blokowane skrzynki, bukmacherzy
- alerty zabezpieczeń windows przy odpalaniu programów
- avast zawiesza się przy pełnym skanowaniu

Proszę o sprawdzenie loga i wskazówki jak naprawić system

Załączone pliki



#2
picasso

picasso

    Administrator

  • Administratorzy
  • 28777 postów
Rootkit niewątpliwie czynny. Wg GMER aktualnie jest zainfekowany sterownik systemowy serial.sys. Ponadto standardowe składniki ZeroAccess widoczne, takie jak zablokowany link symboliczny C:\WINDOWS\$NtUninstallKB11225$, przekierowanie w Winsock, wpis w Shell, usługi pomocnicze.

Na tego rootkita mocniejsza artyleria wstępna. Pobierz ComboFix, wejdź w Tryb awaryjny Windows i uruchom narzędzie zgodnie z wytycznymi w opisie. Przedstaw raport z jego pracy oraz zrobione już po nowe logi z GMER i OTL.


.

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu.


#3
Alexoss

Alexoss

    Użytkownik

  • Użytkownicy
  • PipPip
  • 20 postów
Po użyciu combofix większość objawów ustąpiło.

Google przy wyszukiwaniu zaczął natomiast wysyłać komunikaty jak poniżej, więc najprawdopodobniej nie wszystko zostało usunięte.

Nasze systemy wykryły nietypowy ruch pochodzący z Twojej sieci komputerowej. Ta strona ma na celu sprawdzenie, czy to rzeczywiście Ty wysyłasz żądania, a nie robot. Dlaczego tak się stało?
Adres IP: 66.199.XXX.XX
Godzina: 2012-03-06T19:41:22Z


Efektów ubocznych pracy combofix na razie nie stwierdziłem.

Poniżej logi i proszę o wskazówki dalszego postępowania.

/ p.s. Blisko 2 tyg zwłoki w podjęciu naprawy systemu wynikło z konieczności dokończenia projektu, istniało ryzyko uszkodzenia systemu w czasie naprawy a termin gonił /

Załączone pliki

  • Załączony plik  ComboFix.txt   13.21 KB   68 Ilość pobrań
  • Załączony plik  GMER.txt   91.49 KB   60 Ilość pobrań
  • Załączony plik  OTL.Txt   59.26 KB   59 Ilość pobrań
  • Załączony plik  Extras.Txt   35.8 KB   54 Ilość pobrań


#4
picasso

picasso

    Administrator

  • Administratorzy
  • 28777 postów
Wygląda na to, że przeciągając naprawę w międzyczasie nabawiłeś się kolejnego rootkita Rloader, co sugeruje GMER w tych zapiskach (patch atapi nie był poprzednio widzialny):

---- Kernel code sections - GMER 1.0.15 ----

.text atapi.sys B7F10852 1 Byte [CC] {INT 3 }

---- Threads - GMER 1.0.15 ----

Thread System [4:124] 89D2839F
Thread System [4:708] 8917B0F4


Zaś usuwanie rootkita ZeroAccess niekompletne, ComboFix wykrył zainfekowany przez rootkita sterownik i brak kopii do zamiany:

c:\windows\system32\drivers\afd.sys . . . jest zainfekowany!! . . . Failed to find a valid replacement.


Ponadto, wartość NetSvcs naruszona przez rootkita wymaga naprawy.


1. Uruchom Kaspersky TDSSKiller i dla wyniku Virus.Win32.Rloader.a na zainfekowanym acpi.sys wybierz opcję Cure. Zresetuj system.

2. Zamiana pliku afd.sys oraz wyczyszczenie NetSvcs. Pobierz kopię afd.sys zgodną z XP SP3: KLIK. Plik rozpakuj do umownego katalogu C:\TMP utworzonego ręcznie. Otwórz Notatnik i wklej w nim:

FCopy::
C:\TMP\afd.sys|C:\windows\system32\drivers\afd.sys
C:\TMP\afd.sys|C:\windows\system32\dllcache\afd.sys

NetSvc::
MSSQL$MSSMLBIZ
asp.net_1.1.4322
dirms_defragmentation
mindretrieve
aracpi
MSICPL
AsIO
JiaoCap
vmodem
WmaCVideo32
sandrathesrv
streamloadservice
botcbs

Driver::
MSSQL$MSSMLBIZ
asp.net_1.1.4322
dirms_defragmentation
mindretrieve
aracpi
MSICPL
JiaoCap
vmodem
WmaCVideo32
sandrathesrv
streamloadservice
botcbs


Plik zapisz pod nazwą CFScript.txt. Przeciągnij go i upuść na ikonę ComboFixa.

Dołączona grafika

3. Wyczyszczenie odpadków Babylon Toolbar. Uruchom AdwCleaner z opcji Delete.

4. Przedstaw: log z pracy ComboFix, log z pracy AdwCleaner, nowy log z GMER oraz OTL z opcji Skanuj (bez Extras).




.

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu.


#5
Alexoss

Alexoss

    Użytkownik

  • Użytkownicy
  • PipPip
  • 20 postów
TDSSKiller znalazł jeszcze Rootkit.Win32.TDSS.tdl4 Physical drive: \Device\Harddisk1\DR1
Jaką akcje mam wybrać ?

#6
picasso

picasso

    Administrator

  • Administratorzy
  • 28777 postów
Wyposażony jesteś w rootkity od A do Z. W GMER to nie było widoczne, skan GMER pochodzi z innego dysku fizycznego (Harddisk0\DR0). W Kasperskym dobierz akcję Cure i zresetuj system.

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu.


#7
Alexoss

Alexoss

    Użytkownik

  • Użytkownicy
  • PipPip
  • 20 postów
Wszystko zrobione, podaję logi.

Załączone pliki



#8
picasso

picasso

    Administrator

  • Administratorzy
  • 28777 postów
Istotnie, wszystko zrobione.

1. Kosmetyczne poprawki. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:OTL 
SRV - File not found [Auto | Stopped] -- -- (Nero BackItUp Scheduler 4.0)
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (catchme)

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"

:Files
rd /s /q C:\TDSSKiller_Quarantine /C
rd /s /q C:\WINDOWS\ERDNT /C
rd /s /q C:\TMP /C

:Commands
[emptytemp]


Klik w Wykonaj skrypt.

2. Odinstaluj AdwCleaner pożytkując w nim opcję Uninstall.

3. Odinstaluj ComboFix, co też wyczyści foldery Przywracania systemu. W Start > Uruchom > wklej:

"C:\Documents and Settings\Piotr\Pulpit\ComboFix.exe" /uninstall

Gdy proces się ukończy, możesz użyć Sprzątanie w OTL.

3. Wykonaj pełne skanowanie systemu za pomocą aplikacji: Kaspersky Virus Removal Tool + Malwarebytes Anti-Malware. Przedstaw raporty z wykrytymi zagrożeniami, o ile takowego będą.



.

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu.


#9
Alexoss

Alexoss

    Użytkownik

  • Użytkownicy
  • PipPip
  • 20 postów
Sprzątanie przebiegło pomyślnie ale później Kaspersky znalazł znowu Rootkit.Win32.TDSS.mbr \Device\Harddisk1\DR1
/ na razie dałem skip /

Mbam nic nie znalazł.

Czy ten rootkit jest aktywny jeśli jest na innym dysku czy to tylko jakiś plik lub program który instaluje wirus ?

Załączone pliki



#10
picasso

picasso

    Administrator

  • Administratorzy
  • 28777 postów
Niepokojąco to brzmi, nawrót sugeruje usuwanie pozorowane. Czy na tym drugim dysku, którego czepia się namolnie Kaspersky, jest jakiś inny system operacyjny? Rozpisz mi jak układ partycji widzialny w OTL:

Drive C: | 107,42 Gb Total Space | 9,38 Gb Free Space | 8,73% Space Free | Partition Type: NTFS
Drive E: | 273,44 Gb Total Space | 1,99 Gb Free Space | 0,73% Space Free | Partition Type: NTFS
Drive F: | 273,44 Gb Total Space | 4,40 Gb Free Space | 1,61% Space Free | Partition Type: NTFS
Drive G: | 277,21 Gb Total Space | 35,26 Gb Free Space | 12,72% Space Free | Partition Type: NTFS
Drive H: | 34,18 Gb Total Space | 10,84 Gb Free Space | 31,70% Space Free | Partition Type: NTFS
Drive I: | 117,19 Gb Total Space | 14,12 Gb Free Space | 12,05% Space Free | Partition Type: NTFS
Drive J: | 107,43 Gb Total Space | 4,04 Gb Free Space | 3,76% Space Free | Partition Type: NTFS
Drive K: | 113,81 Gb Total Space | 4,78 Gb Free Space | 4,20% Space Free | Partition Type: NTFS


... ma się do układu dysków fizycznych, możesz się posłużyć narzędziem MBRCheck do produkcji raportu, który mi przedstawi konstrukcję.



.

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu.


#11
Alexoss

Alexoss

    Użytkownik

  • Użytkownicy
  • PipPip
  • 20 postów
hmm, jeśli dobrze interpretuje loga to problem jest z:

PhysicalDrive1 Model Number: SAMSUNGHD403LJ, Rev: CT100-11
H: --> \\.\PhysicalDrive1 at offset 0x00000000`00007e00 (NTFS)
I: --> \\.\PhysicalDrive1 at offset 0x00000008`8b905a00 (NTFS)
J: --> \\.\PhysicalDrive1 at offset 0x00000025`d7a2de00 (NTFS)
K: --> \\.\PhysicalDrive1 at offset 0x00000040`b31c6e00 (NTFS)

O ile pamiętam dysk został przepięty z danymi ze starego pc jakieś 2-3 lata temu,bez formatowania, ale na wszystkich partycjach są tam same pliki typu avi,mp3,pdf,doc itp
Jedyna rzecz która się rzuca w oczy to K:\MSOCache pewnie po starym office

Natomiast z innych partycji znalazłem katalog :
G:\Nowy folder\instalki po formacie\zlob
a w katalogu
killbox.exe
HJTInstall.exe
SmitfraudFix.exe
SmitfraudFix.exe
Silent Runners.vbs
SDFix
smitRem

Ale to tak na marginesie bo pewnie nie ma związku z problemem

Załączone pliki



#12
picasso

picasso

    Administrator

  • Administratorzy
  • 28777 postów
Czyli mamy dwa dyski:

      Size  Device Name          MBR Status
--------------------------------------------
931 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: 858845D53EA37CAD905BAB010542C912FBC33C8C
372 GB \\.\PhysicalDrive1 Unknown MBR code
SHA1: D762452FB02F5A02BD722AC5AEA558562E64242E


Na drugim wedle Twoich słów nie ma dodatkowego systemu. Wbijamy więc nową sygnaturę w MBR tegoż dysku:

1. Pobierz MBRWizard CLI Freeware. Umieść w katalogu C:\Windows.

2. Start > Uruchom > cmd > wpisz komendę:

Mbrwiz /Disk=1 /Repair=xp

3. Zresetuj system. Wykonaj skany Kaspersky, czy nadal coś tu widzi zdrożnego.


Natomiast z innych partycji znalazłem katalog :
G:\Nowy folder\instalki po formacie\zlob
a w katalogu
killbox.exe
HJTInstall.exe
SmitfraudFix.exe
SmitfraudFix.exe
Silent Runners.vbs
SDFix
smitRem

Ale to tak na marginesie bo pewnie nie ma związku z problemem


Przecież to są (przestarzałe) narzędzia do tworzenia logów (HijackThis + Silent Runners) + usuwania zablokowanych plików (KillBox) + usuwania określonych infekcji (reszta) ... Wszystkiego się pozbądź, to archaiczne i dziś już nieprzydatne narzędzia.



.

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu.


#13
Alexoss

Alexoss

    Użytkownik

  • Użytkownicy
  • PipPip
  • 20 postów
U Kasperskiego czysto.

Czy to już meta ?

#14
picasso

picasso

    Administrator

  • Administratorzy
  • 28777 postów
Tak, meta w rozumieniu usunięcia infekcji. Ale są tu jeszcze akcje do wykonania. Na początek: ten "dysk przepięty z danymi ze starego pc jakieś 2-3 lata temu, bez formatowania" budzi pewne podejrzenia, czy tam nie ma jakiejś innej niespodzianki, skoro uchował się rootkit w MBR. Z raportu Kaspersky Virus Removal wynika, że robiłeś ekspresowy skan na ustawieniach domyślnych. Wejdź do konfiguracji skanera i ustaw skanowanie wszystkiego, bo ten dysk należy prześwidrować na wylot. Skan potrwa długo.


.

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu.


#15
Alexoss

Alexoss

    Użytkownik

  • Użytkownicy
  • PipPip
  • 20 postów
Kaspersky po pełnym skanowaniu znalazł i usunął:

Status: Deleted (events: 2)
2012-03-09 14:20:30 Deleted Trojan program Trojan-Downloader.WMA.FakeDRM.w F:\k2\lk.il.i.wmv High
2012-03-09 14:20:57 Deleted Trojan program Trojan-Downloader.WMA.FakeDRM.bh F:\k2\rfgr.wmv High

#16
picasso

picasso

    Administrator

  • Administratorzy
  • 28777 postów
Te wyniki wyglądają na prawdziwe, pliki muzyczne mogą mieć zmanipulowane nagłówki, tak by ich odtwarzanie wykonywało łączenie na określony URL z malware. Usunięte = OK. Kasperskiego możesz już odinstalować, co nastąpi poprzez zamknięcie jego okna. Podobnie: skasuj sobie MBRWizard wstawiony do katalogu systemowego. Na zakończenie:

1. Prewencyjnie dla bezpieczeństwa zmień hasła logowania w serwisach.

2. Wykonaj aktualizacje oprogramowania: KLIK. Na Twojej liście taką kwalifikację mają następujące pozycje:

Internet Explorer (Version = 6.0.2900.5512)

========== HKEY_LOCAL_MACHINE Uninstall List ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java™ 6 Update 27
"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.6 - Polish
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player 11.6
"FileZilla Client" = FileZilla Client 3.3.5.1
"Gadu-Gadu" = Gadu-Gadu 6.1
"Mozilla Firefox (3.6.25)" = Mozilla Firefox (3.6.25)


A GG6 = toż to dramat. Sprawdź sobie takie nowoczesne pozycje jak WTW czy Miranda: Darmowe komunikatory.



.

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu.


#17
Alexoss

Alexoss

    Użytkownik

  • Użytkownicy
  • PipPip
  • 20 postów
Kwestia haseł i aktualizacji załatwiona.

Bardzo dziękuję za poświęcony czas i fachową pomoc.
Gratuluję i zazdroszczę znajomości wiedzy o systemie.

Alexoss

/temat do zamknięcia/




Użytkownicy przeglądający ten temat: 0

0 użytkowników, 0 gości, 0 anonimowych