Landuss

Skrypt prawie wykonany. Jedynie jeden z kluczy nie został usunięty i to trzeba powtórzyć. Spróbuj nieco innym sposobem. 1. Wklej do OTL taki skrypt: :Files reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f /C :Commands [reboot] Klik w Wykonaj skrypt i zatwierdź restart. Powinien pojawić się log, który zachowaj w celu pokazania. 2. Napraw usunięte przez rootkita ważne usługi systemowe (omijając skan sfc): Rekonstrukcja usług Zapory systemu Windows (MpsSvc + bfe): KLIK. Rekonstrukcja usługi Centrum zabezpieczeń: KLIK. Rekonstrukcja usługi Windows Defender: KLIK. 3. Pokazujesz log z usuwania w punkcie 1 oraz nowy log z SystemLook i z FSS.

Plik został naprawiony przez sfc i można lecieć dalej. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O2:64bit: - BHO: (no name) - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - No CLSID value found. O2 - BHO: (no name) - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - No CLSID value found. O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {EBD898F8-FCF6-4694-BC3B-EABC7271EEB1} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - No CLSID value found. O4 - HKCU..\Run: [] File not found O4 - HKCU..\Run: [ALLUpdate] "C:\Program Files (x86)\ALLPlayer\ALLUpdate.exe" "sleep" File not found :Files C:\Windows\Installer\{24170ae6-20bc-da6c-9048-24565aee7a9f} C:\Users\Sławek\AppData\Local\{24170ae6-20bc-da6c-9048-24565aee7a9f} :Reg [-HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] :Services MSK80Service McProxy McODS McNASvc McNaiAnn mcmscsvc McMPFSvc :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. 2. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz z SystemLook tak jak poprzednio i z Farbar Service Scanner (zaznacz wszystko do skanowania)

"Refresh" jest tu bardzo niemile widziane więc nie rób tego więcej tylko cierpliwie czekaj na odpowiedź. Ja nie zawsze jestem tu obecny na czas. Skrypt poprawnie wykonany, ale jak wspomniałem to tylko kosmetyka i nijak ma się do problemu głównego. No i? jakie jest zachowanie systemu?

Services.exe wygląda na szkodliwie zmodyfikowany (niezgodna suma kontrolna): Searching for "services.exe" C:\Windows\System32\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 014A9CB92514E27C0107614DF764BC06 C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB 1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator. Wklej komendę: sfc /scanfile=C:\Windows\system32\services.exe Zresetuj system. 2. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator. Wklej komendę: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt Otworzy się log, który zachowaj i pokaż na forum. Jeśli plik zostanie wyleczony przez sfc to przejdziemy do dalszych działań.

W logach rzeczywiście infekcja ZeroAccess w najnowszym wydaniu. Tu system 64 bitowy więc możliwa infekcja systemowego services.exe i to trzeba sprawdzić. Wykonaj log dodatkowy - uruchom SystemLook x64 i do okna wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look i przedstaw wynikowy raport.

Wszystko gra. Można kończyć sprawę: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Masz nieaktualny system (brak SP) więc wykonaj instalację Service Pack 1 4. Zmień hasła logowania do serwisów w sieci.

1. Wykonaj drobny skrypt kosmetyczny do OTL (usuwanie pustych wpisów i usług): :OTL O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.5.3.17\bh\BabylonToolbar.dll File not found O2 - BHO: (Conduit Engine ) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\prxConduitEngine.dll File not found O2 - BHO: (JQSIEStartDetectorImpl Class) - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll File not found O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Documents and Settings\User\Dane aplikacji\Nowe Gadu-Gadu\_userdata\ggbho.1.dll File not found O3 - HKLM\..\Toolbar: (Conduit Engine ) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\prxConduitEngine.dll File not found O3 - HKLM\..\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarTlbr.dll File not found O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found O20 - Winlogon\Notify\WgaLogon: DllName - (WgaLogon.dll) - File not found [2011-11-01 10:04:46 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\Babylon [2012-06-07 11:25:32 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Karol\Dane aplikacji\PriceGong [2011-11-01 10:04:45 | 000,000,000 | ---D | M] -- C:\Documents and Settings\User\Dane aplikacji\Babylon [2011-06-26 21:18:04 | 000,000,000 | ---D | M] -- C:\Documents and Settings\User\Dane aplikacji\BabylonToolbar [2012-02-20 18:51:16 | 000,000,000 | ---D | M] -- C:\Documents and Settings\User\Dane aplikacji\OpenCandy :Services WMPNetworkSvc McComponentHostService EHttpSrv USBModem UsbDiag usbbus StarOpen EagleXNt EagleNT catchme AtiHdmiService :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Odinstaluj zbędny pasek sponsoringowy SFT_Polska Toolbar Te operacje jednak problemu raczej nie zlikwidują dlatego w kwestii zacinania systemu sprawdź jego zachowanie na czystym rozruchu: KLIK

Wszystko poprawnie wykonane. Rootkit skasował całkowicie kilka ważnych usług i teraz będziesz je odtwarzał. 1. Odbuduj skasowane usługi omijając polecenie sfc /scannow: Rekonstrukcja usług Zapory systemu Windows (MpsSvc + bfe): KLIK. Rekonstrukcja usługi Centrum zabezpieczeń: KLIK. Rekonstrukcja usługi Windows Defender: KLIK. 2. Zresetuj system i wygeneruj nowy log z Farbar Service Scanner.

Jest w porządku, lecimy dalej. 1. Reset Winsock: Start > Uruchom > cmd i wpisz komendę netsh winsock reset. Zresetuj system. 2. Usuń szczątki po kasperskym za pomocą narzędzia Kaspersky Remover 3. Użyj narzędzia AdwCleaner z opcji Delete 4. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O2:64bit: - BHO: (IEVkbdBHO Class) - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 2012\x64\ievkbd.dll File not found O2:64bit: - BHO: (FilterBHO Class) - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 2012\x64\klwtbbho.dll File not found O2 - BHO: (IEVkbdBHO Class) - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 2012\ievkbd.dll File not found O2 - BHO: (FilterBHO Class) - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 2012\klwtbbho.dll File not found O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKLM..\Run: [AVP] "C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 2012\avp.exe" File not found O4 - HKLM..\Run: [Eps_Reg.exe] C:\Users\Sobi\AppData\Local\Temp\Eps_Reg.exe /L /NSmartCard2000 File not found O4 - HKU\S-1-5-19..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun File not found O4 - HKU\S-1-5-20..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun File not found O4 - HKU\S-1-5-21-3370169801-2931475050-443466723-1000..\Run: [AdobeBridge] File not found O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1 :Files C:\Windows\SysWow64\%APPDATA% C:\Windows\Installer\{2bc85c72-68ec-5cc7-71ba-5b823a4f8d4e} :Commands [resethosts] [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 5. Wykonujesz nowe logi z OTL i z Farbar Service Scanner (zaznacz wszystko do skanowania).

Na poziomie rejestru jest w porządku natomiast services.exe według spodziewań jest zainfekowany. 1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator. Wklej komendę: sfc /scanfile=C:\Windows\system32\services.exe Zresetuj system. 2. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator. Wklej komendę: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt Otworzy się log, który zachowaj i pokaż na forum. Jeśli plik zostanie wyleczony przez sfc to przejdziemy do dalszych działań.

Masz infekcję ZeroAccess w najnowszym wydaniu. Tu w dodatku system 64-bitowy i możliwa infekcja services.exe co by tłumaczyło restarty. Zacznij od wykonania loga dodatkowego - uruchom SystemLook x64 i do okna wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look i przedstaw wynikowy raport.

Wszystko wygląda na poprawnie wykonane. Możesz przejść do czynności końcowych: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216029FF}" = Java 6 Update 29 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish "Mozilla Firefox 12.0 (x86 pl)" = Mozilla Firefox 12.0 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Zmień hasła logowania do serwisów w sieci - tak na wszelki wypadek. To wszystko i podsumuj jak działa system.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found. O4 - HKCU..\Run: [] File not found :Files C:\Windows\Installer\{84762eb5-1a0a-2fc1-b5c9-b5b5a7cf9e37} C:\Users\Administrator\AppData\Local\{84762eb5-1a0a-2fc1-b5c9-b5b5a7cf9e37} :Services VMnetAdapter vmci VGPU VBoxDrv tsusbhub Synth3dVsc sptd dgderdrv cpuz135 :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] ""="C:\WINDOWS\system32\wbem\wbemess.dll" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Pokazujesz nowy log z OTL ze skanowania oraz z SystemLook tak jak poprzednio.

Ale logi nie wykazują by tu była infekcja na dysku komputera. Spróbujmy inaczej - Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files RECYCLER /alldrives :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Poinformuj o efektach.

A gdzie zgubiłeś drugi log z OTL - extras? Masz mieć zaznaczoną opcję Rejestr - skan dodatkowy na "Użyj filtrowania" i wtedy powstanie drugi log. Pod katem infekcji wykonaj też log dodatkowy - Uruchom SystemLook, w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look i przedstaw wynikowy raport.

Na pendrive są obiekty infekcji, ale to nie jest wariant z lnk bo skrótów nie ma a foldery nie są ukryte. Urządzenie ma być podpięte podczas wykonywania tego co poniżej. Wklej do notatnika ten tekst: F: del /q F:\yzlt8jf1.exe del /q F:\4gyonbld.exe rd /s /q F:\RECYCLER pause Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.BAT >>> uruchom ten plik Kontrolnie nowy log z USBFix do pokazania.

Potrzebny jeszcze jeden raport. Przy podpiętym urządzeniu przenośnym uruchom USBFix z opcji Listing i pokaż wynikowy raport. To infekcja bardziej na dyskach przenośnych, nie na systemie i to właśnie same pendrivy powinny zostać leczone.

A gdzie zgubiłeś log głowny z OTL (otl.txt)? To co wkleiłeś to nie jest otl.txt jak zapisałeś tylko log extras.txt a więc log dodatkowy. Dołącz brakujący log, a już teraz możesz przejść do usuwania infekcji. Dysk zewnętrzny ma być podpięty jak był. 1. Wklej do notatnika ten tekst: I: attrib /d /s -s -h I:\* del /q I:\*.lnk RD /s /q I:\$RECYCLE.BIN RD /s /q I:\Recycled RD /s /q I:\RECYCLER pause Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.BAT >>> uruchom ten plik 2. Prezentujesz nowe logi z OTL i z USBFix z Listingu.

Teraz poprawnie wykonane. Pozostaje więc pytanie jak obecnie zachowuje się system? Czy jest nadal jakiś problem?

Ale co ty zrobiłeś? Podałem ci skrypt i tym miałeś w programie kliknąć w "Wykonaj skrypt" a nie w "Skanuj" a log pokazuje, ze właśnie zrobiłeś odwrotnie. Powtórz to ponownie i wykon aj skrypt. Dopiero później odpalasz OTL ponownie i klikasz w Skanuj (zaznacz wszystkie opcje na " Użyj filtrowania") I nic nie wypowiadasz się na temat SalityKillera co on wykazał.

Ale to jest normalny błąd i do zignorowania. Import mimo wszystko dobrze się wykonuje więc możesz śmiało iść dalej.

Fix.bat nie został tu wykonany. Powtórz to - wklej do notatnika: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f reg add HKLM\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /ve /t REG_SZ /d C:\WINDOWS\system32\wbem\wbemess.dll /f pause Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT > Uruchom ten plik Patrz czy nie ma błędów w wykonaniu. Po tej operacji wykonaj restart i zrób nowy log z SystemLook.

Nie wykonane. Prosze powtórz operację raz jeszcze (trochę zmieniłem skrypt wyżej bo zorbiłem mały bład) i pokaż nowy log z OTL (bez ekstras) oraz z SystemLook na takim warunku jak poprzednio.

Spróbujmy zmienić metode usuwania 1. Otwórz Notatnik i wklej w nim: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f reg add HKLM\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /ve /t REG_SZ /d C:\WINDOWS\system32\wbem\wbemess.dll /f Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Plik umieść wprost na C:\. 2. Uruchom BlitzBlank i w karcie Script wklej: DeleteFolder: C:\WINDOWS\Installer\{58693411-709e-9039-e2d9-a805ea0eb781} "C:\Documents and Settings\X\Local Settings\Application Data\{58693411-709e-9039-e2d9-a805ea0eb781}" Execute: C:\fix.bat Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Execute Now. Zatwierdź restart komputera. BlitzBlank wygeneruje na dysku C log z usuwania. 3. Zaprezentuj raport z BlitzBlank oraz log z OTL.

System zaśmiecony sponsoringami i infekcją, ale najpierw trzeba się zająć tym drugim. Niestety jest tu wirus Sality, który zaraża pliki .exe na dysku. Spróbujesz jednak z tym powalczyć. 1. Pobierz SalityKiller. Wykonaj nim skan powtarzany tyle razy, dopóki nie uzyskasz zwrotu zero zainfekowanych. 2. Pobierz Sality_RegKeys, ze środka uruchom plik SafeBootWinXP.reg, potwierdzając import do rejestru. 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files hypcis.exe /alldrives autorun.inf /alldrives netsh firewall reset /C :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf] ""="@SYS:DoesNotExist" [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "SuperHidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "ShowSuperHidden"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie i wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL. Daj też znać czy SalityKiller coś wykazał.