ZeroAccess

[anek155]

Witam! Od około 2-3 tygodni mam problemy z dostępem do zapory i znacznym spowolnieniem pracy komputera.

Avira wykryła wirusy TR/ATRAPS.Gen i TR/ATRAPS.Gen2, po czym przesuneła je do kwarantanny (co powiodło się dopiero po aktualizacji Aviry), jednak nic to nie naprawiło.

 

 

Wklejam log z gmera, ponieważ na koncie administratora pisze: "Nie masz uprawnień do wysyłania tego typu plików"

 

GMER 1.0.15.15641 - http://www.gmer.net

Rootkit scan 2012-07-22 15:18:57

Windows 5.1.2600 Dodatek Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-4 WDC_WD1600BB-00GUC0 rev.08.02D08

Running: ksh4bgj4.exe; Driver: C:\DOCUME~1\Migdal\USTAWI~1\Temp\pweoafod.sys

 

 

---- System - GMER 1.0.15 ----

 

SSDT F7C804A4 ZwClose

SSDT F7C8045E ZwCreateKey

SSDT F7C804AE ZwCreateSection

SSDT F7C80454 ZwCreateThread

SSDT F7C80463 ZwDeleteKey

SSDT F7C8046D ZwDeleteValueKey

SSDT F7C8049F ZwDuplicateObject

SSDT F7C80472 ZwLoadKey

SSDT F7C80440 ZwOpenProcess

SSDT F7C80445 ZwOpenThread

SSDT F7C804C7 ZwQueryValueKey

SSDT F7C8047C ZwReplaceKey

SSDT F7C804B8 ZwRequestWaitReplyPort

SSDT F7C80477 ZwRestoreKey

SSDT F7C804B3 ZwSetContextThread

SSDT F7C804BD ZwSetSecurityObject

SSDT F7C80468 ZwSetValueKey

SSDT F7C804C2 ZwSystemDebugControl

SSDT F7C8044F ZwTerminateProcess

 

---- Kernel code sections - GMER 1.0.15 ----

 

.xreloc C:\WINDOWS\system32\drivers\sfsync04.sys unknown last section [0xF74CE000, 0xC0A, 0x40000040]

.text C:\WINDOWS\system32\DRIVERS\ati2mtag.sys section is writeable [0xF6C3A000, 0x2131D7, 0xE8000020]

.text C:\WINDOWS\system32\DRIVERS\atksgt.sys section is writeable [0xA327D300, 0x3B6D8, 0xE8000020]

.text C:\WINDOWS\system32\DRIVERS\lirsgt.sys section is writeable [0xF79C0300, 0x1BEE, 0xE8000020]

 

---- Devices - GMER 1.0.15 ----

 

Device \Driver\atapi \Device\Ide\IdePort0 867D9B40

Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4 867D9B40

Device \Driver\atapi \Device\Ide\IdePort1 867D9B40

Device \Driver\atapi \Device\Ide\IdePort2 867D9B40

Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c 867D9B40

Device \Driver\atapi \Device\Ide\IdePort3 867D9B40

 

---- Registry - GMER 1.0.15 ----

 

Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\MSSQL$SQLEXPRESS$AUDIT@EventSourceFlags 1

Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\MSSQL$SQLEXPRESS$AUDIT@EventMessageFile C:\Program Files\Microsoft SQL Server\MSSQL10.SQLEXPRESS\MSSQL\Binn\Resources\1033\sqlevn70.rll

Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\MSSQL$SQLEXPRESS$AUDIT@EventSourceFlags 1

Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\MSSQL$SQLEXPRESS$AUDIT@EventMessageFile C:\Program Files\Microsoft SQL Server\MSSQL10.SQLEXPRESS\MSSQL\Binn\Resources\1033\sqlevn70.rll

 

---- EOF - GMER 1.0.15 ----

Extras.Txt

OTL.Txt

[Conor29134]

To nie jest pełny scan z gmer-a gdyby był pełny widać by było hidden przy services.exe

 

Loga nie mogłeś załączyć bo miał rozszerzenie .log a tu akceptowalny jest .txt, wystarczyło zmienić nazwę.

U ciebie w logu jest coś takiego

[2006-03-02 14:00:00 | 000,002,048 | -HS- | C] () -- C:\WINDOWS\Installer\{e68c22f3-cefe-d456-8148-444aa6b8a384}\@
[2006-03-02 14:00:00 | 000,002,048 | -HS- | C] () -- C:\Documents and Settings\Migdal\Ustawienia lokalne\Dane aplikacji\{e68c22f3-cefe-d456-8148-444aa6b8a384}\@

 

To nie możliwe chyba coś ci się rozregulował zegar.

 

Pozatym wykonaj skan dostosowany

 

Pobierz system look

 

http://jpshortstuff..../SystemLook.exe

 

W okienko wklej

 

:reg
HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s

:filefind
services.exe

 

Kliknij look i pokaż raport

[anek155]

System Look:

SystemLook.txt

[picasso]

Pobierz najnowszy OTL (poprawiony skan Firefox zgodnie z moim zgłoszeniem o niewidzialności nowych preferencji).

 

 

1. Otwórz Notatnik i wklej w nim:

 

reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f
reg add HKLM\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /ve /t REG_SZ /d C:\WINDOWS\system32\wbem\wbemess.dll /f

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT

 

Uruchom ten plik przez dwuklik.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files


C:\WINDOWS\Installer\{e68c22f3-cefe-d456-8148-444aa6b8a384}

C:\Documents and Settings\Migdal\Ustawienia lokalne\Dane aplikacji\{e68c22f3-cefe-d456-8148-444aa6b8a384}

C:\Documents and Settings\All Users\Dane aplikacji\InstallMate
 

:OTL

O4 - HKLM..\Run: [GEST] m‘|\ü File not found

O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} "http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab" (Reg Error: Key error.)

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Piotrek\USTAWI~1\Temp\gtermddo.sys -- (gtermddo)

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\XDva397.sys -- (XDva397)

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\XDva396.sys -- (XDva396)

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\XDva394.sys -- (XDva394)

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\XDva393.sys -- (XDva393)
 

:Commands

[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany, otrzymasz log z wynikami usuwania.

 

3. Odinstaluj adware TheBflix, w dwóch miejscach: w Firefox w Dodatkach oraz przez Dodaj / Usuń Programy. Uruchom AdwCleaner i zastosuj Delete.

 

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras), Farbar Service Scanner oraz SystemLook na warunki:

 

:reg


HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s

 

Dołącz logi z usuwania OTL + AdwCleaner.

 

 

 

 

.

[anek155]

Zrobione z wyjątkiem:

"Dołącz logi z usuwania OTL + AdwCleaner."

Czyli mam usunąć OTL i AdwCleaner?

AdwCleanerS2.txt

delete OTLlog.txt

FSS.txt

OTL.Txt

SystemLook2.txt

[picasso]

"Dołącz logi z usuwania OTL + AdwCleaner."

Czyli mam usunąć OTL i AdwCleaner?

 

Nie, nie w tej fazie. Chodzi o logi, które powstały podczas usuwania programami OTL i AdwCleaner. Zostały dołączone, więc OK.

 

 

---

Infekcja wygląda na pomyślnie usuniętą. Ostały się tylko szczątki adware Blix. Przechodzimy dalej:

 

1. Poprawka. Zamknij Firefox. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\Extensions]
"info@bflix.info"=-
 
:OTL
FF - prefs.js..extensions.enabledItems: info@bflix.info:5.0 
O2 - BHO: (TheBflix Class) - {DF68C61C-D14E-4AB5-942C-030FFEA0622C} - C:\Documents and Settings\All Users\Dane aplikacji\TheBflix\bhoclass.dll File not found
[2012-09-06 16:24:23 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\TheBflix
[2010-07-21 10:40:48 | 000,000,524 | ---- | M] () -- C:\WINDOWS\Tasks\Install.job
[2010-01-03 18:39:34 | 000,000,382 | ---- | M] () -- C:\WINDOWS\Tasks\NSSstub.job

 

Klik w Wykonaj skrypt. Tym razem nie będzie restartu. Przedstaw log z wynikami usuwania.

 

2. Zrekonstruuj skasowane przez ZeroAccess usługi Zapory i Centrum zabezpieczeń, importując pliki REG z artykułu: KLIK. Zresetuj system i podaj nowy log z Farbar Service Scanner.

 

 

 

.

[anek155]

Gotowe.

otl 2skrypt.txt

FSS.txt

[picasso]

O ile skrypt do OTL wykonany, to w logu Farbar Service Scanner nadal:

 

Security Center:
============
wscsvc Service is not running. Checking service configuration:
Checking Start type: ATTENTION!=====> Unable to open wscsvc registry key. The service key does not exist.
Checking ImagePath: ATTENTION!=====> Unable to open wscsvc registry key. The service key does not exist.
Checking ServiceDll: ATTENTION!=====> Unable to open wscsvc registry key. The service key does not exist.

 

Nie zaimportowałeś pliku REG usługi Centrum zabezpieczeń.

 

 

.

[anek155]

Poprawione.

FSS.txt

[picasso]

Korekta wykonana. Wykończenia:

 

1. Porządki po narzędziach: w AdwCleaner zastosuj Uninstall, w OTL uruchom Sprzątanie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Wykonaj pełne skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport.

 

 

.

[anek155]

Zrobione. To co wykryło mam usunąć?

mbam-log-2012-09-12 (19-03-07).txt

[picasso]

1. Wyniki MBAM: wszystko do usunięcia. Są tu odpadki po adware BFlix oraz starej infekcji z dysków przenośnych (niemożność przestawienia ukrytych). Po usunięciu ponów czyszczenie folderów Przywracania systemu.

 

2. Zaktualizuj co należy: KLIK. Tu konkretnie cytuję z Twojej listy zainstalowanych wersje (możliwe, że coś jest aktualnie rozbieżne, gdyż był przestój w temacie):

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216016FF}" = Java™ 6 Update 23
"{AA59DDE4-B672-4621-A016-4C248204957A}" = Skype™ 5.5
"{AC76BA86-7AD7-1045-7B44-A70000000000}" = Adobe Reader 7.0 - Polish
"{D2D3D146-67BC-43D0-9015-2E7BAC2E032B}" = OpenOffice.org 3.1
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox/Opera)
"Adobe Shockwave Player" = Adobe Shockwave Player 11.5
"Microsoft SQL Server 10" = Microsoft SQL Server 2008
"Mozilla Firefox 13.0.1 (x86 pl)" = Mozilla Firefox 13.0.1 (x86 pl)
"Opera 12.00.1467" = Opera 12.00

 

+ Service Pack dla Microsoft SQL Server 2008: KB968382

 

3. Prewencyjnie zmień hasła logowania w serwisach.

 

 

 

.

[anek155]

1. Nie mogę znaleźć Service Pack dla Microsoft SQL Server 2008: KB968382 przy podanym linku. Gdzie można sprawdzić czy nie jest już zaktualizowany?

2. Zauważyłem jeszcze jeden problem: Przy logowaniu się do Gmeila, po wpisaniu prawidłowego nicku i hasła pojawia się strona:"Połączenie przerwane przez serwer". Jest to niezależne od używanej przeglądarki i występuje tylko na dwóch komputerach z sieci lokalnej.

[picasso]

1. Nie mogę znaleźć Service Pack dla Microsoft SQL Server 2008: KB968382 przy podanym linku. Gdzie można sprawdzić czy nie jest już zaktualizowany?

 

Przecież w linku, który podałam, w sekcji "More information" jest link do paczki:

 

To obtain Microsoft SQL Server 2008 SP3, visit the following Microsoft website:

http://go.microsoft.com/fwlink/?LinkId=226850

 

 

2. Zauważyłem jeszcze jeden problem: Przy logowaniu się do Gmeila, po wpisaniu prawidłowego nicku i hasła pojawia się strona:"Połączenie przerwane przez serwer". Jest to niezależne od używanej przeglądarki i występuje tylko na dwóch komputerach z sieci lokalnej.

 

Skoro dotyczy to dwóch komputerów, to może jest to kwestia konfiguracji sieciowej / routera?

 

 

 

 

.

[anek155]

1. Wykonane.

[picasso]

anek155 co miał znaczyć ten podwójny post? Usuwam nadwyżkę. No i co z logowaniem go Gmail, czy weryfikowałeś ustawienia sieciowe obu komputerów?

[anek155]

Przypadek, nie odświeżyłem strony i wydawało mi się, że nie wczytało postu. Co do ustawień nie wiem jak się za nie zabrać.