16 odpowiedzi w tym temacie

[Alexoss]

Witam

Zostałem skierowany tutaj po założeniu tematu:
http://forum.idg.pl/...tl-t211860.html

objawy
- przekierowania na abnow .com
- blokowane skrzynki, bukmacherzy
- alerty zabezpieczeń windows przy odpalaniu programów
- avast zawiesza się przy pełnym skanowaniu

Proszę o sprawdzenie loga i wskazówki jak naprawić system

Załączone pliki

•  mbam-log-2012-02-23 (15-04-10).txt   3.31 KB   27 Ilość pobrań
•  Extras.Txt   36.99 KB   31 Ilość pobrań
•  OTL.Txt   62.39 KB   35 Ilość pobrań
•  GMER.txt   110.79 KB   38 Ilość pobrań

[picasso]

Rootkit niewątpliwie czynny. Wg GMER aktualnie jest zainfekowany sterownik systemowy serial.sys. Ponadto standardowe składniki ZeroAccess widoczne, takie jak zablokowany link symboliczny C:\WINDOWS\$NtUninstallKB11225$, przekierowanie w Winsock, wpis w Shell, usługi pomocnicze.

Na tego rootkita mocniejsza artyleria wstępna. Pobierz ComboFix, wejdź w Tryb awaryjny Windows i uruchom narzędzie zgodnie z wytycznymi w opisie. Przedstaw raport z jego pracy oraz zrobione już po nowe logi z GMER i OTL.


.

[Alexoss]

Po użyciu combofix większość objawów ustąpiło.

Google przy wyszukiwaniu zaczął natomiast wysyłać komunikaty jak poniżej, więc najprawdopodobniej nie wszystko zostało usunięte.

Nasze systemy wykryły nietypowy ruch pochodzący z Twojej sieci komputerowej. Ta strona ma na celu sprawdzenie, czy to rzeczywiście Ty wysyłasz żądania, a nie robot. Dlaczego tak się stało?
Adres IP: 66.199.XXX.XX
Godzina: 2012-03-06T19:41:22Z

Efektów ubocznych pracy combofix na razie nie stwierdziłem.

Poniżej logi i proszę o wskazówki dalszego postępowania.

/ p.s. Blisko 2 tyg zwłoki w podjęciu naprawy systemu wynikło z konieczności dokończenia projektu, istniało ryzyko uszkodzenia systemu w czasie naprawy a termin gonił /

Załączone pliki

•  ComboFix.txt   13.21 KB   31 Ilość pobrań
•  GMER.txt   91.49 KB   26 Ilość pobrań
•  OTL.Txt   59.26 KB   24 Ilość pobrań
•  Extras.Txt   35.8 KB   23 Ilość pobrań

[picasso]

Wygląda na to, że przeciągając naprawę w międzyczasie nabawiłeś się kolejnego rootkita Rloader, co sugeruje GMER w tych zapiskach (patch atapi nie był poprzednio widzialny):

---- Kernel code sections - GMER 1.0.15 ----

.text           atapi.sys           B7F10852 1 Byte  [CC] {INT 3 }

---- Threads - GMER 1.0.15 ----

Thread          System [4:124]           89D2839F
Thread          System [4:708]           8917B0F4

Zaś usuwanie rootkita ZeroAccess niekompletne, ComboFix wykrył zainfekowany przez rootkita sterownik i brak kopii do zamiany:

c:\windows\system32\drivers\afd.sys . . . jest zainfekowany!! . . . Failed to find a valid replacement.

Ponadto, wartość NetSvcs naruszona przez rootkita wymaga naprawy.


1. Uruchom Kaspersky TDSSKiller i dla wyniku Virus.Win32.Rloader.a na zainfekowanym acpi.sys wybierz opcję Cure. Zresetuj system.

2. Zamiana pliku afd.sys oraz wyczyszczenie NetSvcs. Pobierz kopię afd.sys zgodną z XP SP3: KLIK. Plik rozpakuj do umownego katalogu C:\TMP utworzonego ręcznie. Otwórz Notatnik i wklej w nim:

FCopy::
C:\TMP\afd.sys|C:\windows\system32\drivers\afd.sys
C:\TMP\afd.sys|C:\windows\system32\dllcache\afd.sys

NetSvc::
MSSQL$MSSMLBIZ
asp.net_1.1.4322
dirms_defragmentation
mindretrieve
aracpi
MSICPL
AsIO
JiaoCap
vmodem
WmaCVideo32
sandrathesrv
streamloadservice
botcbs

Driver::
MSSQL$MSSMLBIZ
asp.net_1.1.4322
dirms_defragmentation
mindretrieve
aracpi
MSICPL
JiaoCap
vmodem
WmaCVideo32
sandrathesrv
streamloadservice
botcbs

Plik zapisz pod nazwą CFScript.txt. Przeciągnij go i upuść na ikonę ComboFixa.



3. Wyczyszczenie odpadków Babylon Toolbar. Uruchom AdwCleaner z opcji Delete.

4. Przedstaw: log z pracy ComboFix, log z pracy AdwCleaner, nowy log z GMER oraz OTL z opcji Skanuj (bez Extras).




.

[Alexoss]

TDSSKiller znalazł jeszcze Rootkit.Win32.TDSS.tdl4 Physical drive: \Device\Harddisk1\DR1
Jaką akcje mam wybrać ?

[picasso]

Wyposażony jesteś w rootkity od A do Z. W GMER to nie było widoczne, skan GMER pochodzi z innego dysku fizycznego (Harddisk0\DR0). W Kasperskym dobierz akcję Cure i zresetuj system.

[Alexoss]

Wszystko zrobione, podaję logi.

Załączone pliki

•  TDSSKiller.2.7.19.0_07.03.2012_14.49.38_log.txt   55.18 KB   25 Ilość pobrań
•  ComboFix.txt   13 KB   26 Ilość pobrań
•  AdwCleanerS1.txt   5.38 KB   24 Ilość pobrań
•  OTL.Txt   56.48 KB   22 Ilość pobrań
•  GMER.txt   96.04 KB   20 Ilość pobrań

[picasso]

Istotnie, wszystko zrobione.

1. Kosmetyczne poprawki. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:OTL 
SRV - File not found [Auto | Stopped] --  -- (Nero BackItUp Scheduler 4.0)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (catchme)

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"

:Files
rd /s /q C:\TDSSKiller_Quarantine /C
rd /s /q C:\WINDOWS\ERDNT /C
rd /s /q C:\TMP /C

:Commands
[emptytemp]

Klik w Wykonaj skrypt.

2. Odinstaluj AdwCleaner pożytkując w nim opcję Uninstall.

3. Odinstaluj ComboFix, co też wyczyści foldery Przywracania systemu. W Start > Uruchom > wklej:

"C:\Documents and Settings\Piotr\Pulpit\ComboFix.exe" /uninstall

Gdy proces się ukończy, możesz użyć Sprzątanie w OTL.

3. Wykonaj pełne skanowanie systemu za pomocą aplikacji: Kaspersky Virus Removal Tool + Malwarebytes Anti-Malware. Przedstaw raporty z wykrytymi zagrożeniami, o ile takowego będą.



.

[Alexoss]

Sprzątanie przebiegło pomyślnie ale później Kaspersky znalazł znowu Rootkit.Win32.TDSS.mbr \Device\Harddisk1\DR1
/ na razie dałem skip /

Mbam nic nie znalazł.

Czy ten rootkit jest aktywny jeśli jest na innym dysku czy to tylko jakiś plik lub program który instaluje wirus ?

Załączone pliki

•  Kaspersky.txt   194.2 KB   23 Ilość pobrań

[picasso]

Niepokojąco to brzmi, nawrót sugeruje usuwanie pozorowane. Czy na tym drugim dysku, którego czepia się namolnie Kaspersky, jest jakiś inny system operacyjny? Rozpisz mi jak układ partycji widzialny w OTL:

Drive C: | 107,42 Gb Total Space | 9,38 Gb Free Space | 8,73% Space Free | Partition Type: NTFS
Drive E: | 273,44 Gb Total Space | 1,99 Gb Free Space | 0,73% Space Free | Partition Type: NTFS
Drive F: | 273,44 Gb Total Space | 4,40 Gb Free Space | 1,61% Space Free | Partition Type: NTFS
Drive G: | 277,21 Gb Total Space | 35,26 Gb Free Space | 12,72% Space Free | Partition Type: NTFS
Drive H: | 34,18 Gb Total Space | 10,84 Gb Free Space | 31,70% Space Free | Partition Type: NTFS
Drive I: | 117,19 Gb Total Space | 14,12 Gb Free Space | 12,05% Space Free | Partition Type: NTFS
Drive J: | 107,43 Gb Total Space | 4,04 Gb Free Space | 3,76% Space Free | Partition Type: NTFS
Drive K: | 113,81 Gb Total Space | 4,78 Gb Free Space | 4,20% Space Free | Partition Type: NTFS

... ma się do układu dysków fizycznych, możesz się posłużyć narzędziem MBRCheck do produkcji raportu, który mi przedstawi konstrukcję.



.

[Alexoss]

hmm, jeśli dobrze interpretuje loga to problem jest z:

PhysicalDrive1 Model Number: SAMSUNGHD403LJ, Rev: CT100-11
H: --> \\.\PhysicalDrive1 at offset 0x00000000`00007e00 (NTFS)
I: --> \\.\PhysicalDrive1 at offset 0x00000008`8b905a00 (NTFS)
J: --> \\.\PhysicalDrive1 at offset 0x00000025`d7a2de00 (NTFS)
K: --> \\.\PhysicalDrive1 at offset 0x00000040`b31c6e00 (NTFS)

O ile pamiętam dysk został przepięty z danymi ze starego pc jakieś 2-3 lata temu,bez formatowania, ale na wszystkich partycjach są tam same pliki typu avi,mp3,pdf,doc itp
Jedyna rzecz która się rzuca w oczy to K:\MSOCache pewnie po starym office

Natomiast z innych partycji znalazłem katalog :
G:\Nowy folder\instalki po formacie\zlob
a w katalogu
killbox.exe
HJTInstall.exe
SmitfraudFix.exe
SmitfraudFix.exe
Silent Runners.vbs
SDFix
smitRem

Ale to tak na marginesie bo pewnie nie ma związku z problemem

Załączone pliki

•  MBRCheck_03.08.12_10.59.05.txt   8.83 KB   20 Ilość pobrań

[picasso]

Czyli mamy dwa dyski:

      Size  Device Name          MBR Status
  --------------------------------------------
    931 GB  \\.\PhysicalDrive0   Windows XP MBR code detected
            SHA1: 858845D53EA37CAD905BAB010542C912FBC33C8C
    372 GB  \\.\PhysicalDrive1   Unknown MBR code
            SHA1: D762452FB02F5A02BD722AC5AEA558562E64242E

Na drugim wedle Twoich słów nie ma dodatkowego systemu. Wbijamy więc nową sygnaturę w MBR tegoż dysku:

1. Pobierz MBRWizard CLI Freeware. Umieść w katalogu C:\Windows.

2. Start > Uruchom > cmd > wpisz komendę:

Mbrwiz /Disk=1 /Repair=xp

3. Zresetuj system. Wykonaj skany Kaspersky, czy nadal coś tu widzi zdrożnego.

Natomiast z innych partycji znalazłem katalog :
G:\Nowy folder\instalki po formacie\zlob
a w katalogu
killbox.exe
HJTInstall.exe
SmitfraudFix.exe
SmitfraudFix.exe
Silent Runners.vbs
SDFix
smitRem

Ale to tak na marginesie bo pewnie nie ma związku z problemem

Przecież to są (przestarzałe) narzędzia do tworzenia logów (HijackThis + Silent Runners) + usuwania zablokowanych plików (KillBox) + usuwania określonych infekcji (reszta) ... Wszystkiego się pozbądź, to archaiczne i dziś już nieprzydatne narzędzia.



.

[Alexoss]

U Kasperskiego czysto.

Czy to już meta ?

[picasso]

Tak, meta w rozumieniu usunięcia infekcji. Ale są tu jeszcze akcje do wykonania. Na początek: ten "dysk przepięty z danymi ze starego pc jakieś 2-3 lata temu, bez formatowania" budzi pewne podejrzenia, czy tam nie ma jakiejś innej niespodzianki, skoro uchował się rootkit w MBR. Z raportu Kaspersky Virus Removal wynika, że robiłeś ekspresowy skan na ustawieniach domyślnych. Wejdź do konfiguracji skanera i ustaw skanowanie wszystkiego, bo ten dysk należy prześwidrować na wylot. Skan potrwa długo.


.

[Alexoss]

Kaspersky po pełnym skanowaniu znalazł i usunął:

Status: Deleted (events: 2)
2012-03-09 14:20:30 Deleted Trojan program Trojan-Downloader.WMA.FakeDRM.w F:\k2\lk.il.i.wmv High
2012-03-09 14:20:57 Deleted Trojan program Trojan-Downloader.WMA.FakeDRM.bh F:\k2\rfgr.wmv High

[picasso]

Te wyniki wyglądają na prawdziwe, pliki muzyczne mogą mieć zmanipulowane nagłówki, tak by ich odtwarzanie wykonywało łączenie na określony URL z malware. Usunięte = OK. Kasperskiego możesz już odinstalować, co nastąpi poprzez zamknięcie jego okna. Podobnie: skasuj sobie MBRWizard wstawiony do katalogu systemowego. Na zakończenie:

1. Prewencyjnie dla bezpieczeństwa zmień hasła logowania w serwisach.

2. Wykonaj aktualizacje oprogramowania: KLIK. Na Twojej liście taką kwalifikację mają następujące pozycje:

Internet Explorer (Version = 6.0.2900.5512)

========== HKEY_LOCAL_MACHINE Uninstall List ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java™ 6 Update 27
"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.6 - Polish
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player 11.6
"FileZilla Client" = FileZilla Client 3.3.5.1
"Gadu-Gadu" = Gadu-Gadu 6.1
"Mozilla Firefox (3.6.25)" = Mozilla Firefox (3.6.25)

A GG6 = toż to dramat. Sprawdź sobie takie nowoczesne pozycje jak WTW czy Miranda: Darmowe komunikatory.



.

[Alexoss]

Kwestia haseł i aktualizacji załatwiona.

Bardzo dziękuję za poświęcony czas i fachową pomoc.
Gratuluję i zazdroszczę znajomości wiedzy o systemie.

Alexoss

/temat do zamknięcia/