Rookit Zeroaccess czy napewno usunięty?

[KeMaD]

Witam

Opiszę cała moją małą przygodę z rootkit-em zeroaccess. Zacznę o tego że komputer nie wykazywał żadnych objawów infekcji, nie mulił i nie działy się żadne dzikie akcje. Przy rutynowym skanie przeprowadzonym przez ESET Smart Security 5, wykrtyto: rootkit zeroaccess, oczywiście antywirus nie dał rady go usunąć.

W necie natrafiłem na jakąś "poradę" z użyciem Combofix-a , znalazł on rootkit-a i niby wszystko pousuwał. Odinstalowałem Combofixa i usunąłem za pomocą funkcji "sprzątanie" w OTL-u jego resztki wraz z kwarantanną i logami (których niestety nie mam) .

Ponadto użyłem jeszcze do skanowania, już po zastosowaniu Combofix-a: Malwarebytes Anti-Malware Free 1.62.0.1300 oraz Kaspersky TDSSKiller 2.6.3.0, a także ESETSirefefRemover, wszystkie te programy nic nie znalazły.

Czy owy rootkit został rzeczywiście przeze mnie usunięty?? Czy komputer nie jest dalej zagrożony?? Ewentualnie co można zmienić??

 

W załączniku przedstawiam obowiązkowe logi.

 

 

Results of screen317's Security Check version 0.99.43

Windows 7 Service Pack 1 x86 (UAC is enabled)

Internet Explorer 8 Out of date!

``````````````Antivirus/Firewall Check:``````````````

ESET Smart Security 5.0

Antivirus up to date!

`````````Anti-malware/Other Utilities Check:`````````

TuneUp Utilities

TuneUp Utilities Language Pack (en-GB)

TuneUp Utilities

CCleaner

Wise Registry Cleaner 6.21

Java™ 6 Update 22

Java version out of Date!

Adobe Flash Player 11.3.300.270

Adobe Reader X (10.1.3)

Google Chrome 20.0.1132.57

Google Chrome 21.0.1180.60

Google Chrome VisualElementsManifest.xml..

````````Process Check: objlist.exe by Laurent````````

`````````````````System Health check`````````````````

Total Fragmentation on Drive C:

````````````````````End of Log``````````````````````

OTL.Txt

Extras.Txt

GMER.txt

[Landuss]

Tu nie widać infekcji natomiast log dodatkowy pod kątem ZeroAccess będzie potrzebny.

 

Uruchom SystemLook, w oknie wklej:

 

:reg
HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
 
:filefind
services.exe

 

Klik w Look. Przedstaw wynikowy raport.

[KeMaD]

Dzięki za szybką odpowiedź.

 

Oto raport

 

SystemLook 30.07.11 by jpshortstuff

Log created at 10:32 on 10/08/2012 by DaMeK

Administrator - Elevation successful

 

========== reg ==========

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

(Unable to open key - key not found)

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}]

@="Microsoft WBEM New Event Subsystem"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32]

@="%systemroot%\system32\wbem\wbemess.dll"

"ThreadingModel"="Both"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

@="MruPidlList"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]

@="%SystemRoot%\system32\shell32.dll"

"ThreadingModel"="Apartment"

 

 

========== filefind ==========

 

Searching for "services.exe"

C:\Windows\erdnt\cache\services.exe --a---- 259072 bytes [10:39 08/08/2012] [01:14 14/07/2009] 5F1B6A9C35D3D5CA72D6D6FDEF9747D6

C:\Windows\System32\services.exe --a---- 259072 bytes [23:11 13/07/2009] [01:14 14/07/2009] 5F1B6A9C35D3D5CA72D6D6FDEF9747D6

C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_cf36168b2e9c967b\services.exe --a---- 259072 bytes [23:11 13/07/2009] [01:14 14/07/2009] 5F1B6A9C35D3D5CA72D6D6FDEF9747D6

 

-= EOF =-

[Landuss]

Nie masz infekcji. Pozostaje wykończyć sprawę:

 

1. Wklej do OTL skrypt kosmetyczny:

 

:OTL
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\RTLE8023xp.dll -- (ZSMC301b)
SRV - File not found [Auto | Stopped] -- C:\Program Files\Common Files\Native Instruments\Hardware\NIHardwareService.exe -- (NIHardwareService)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\icm10blk.dll -- (ndisip)
SRV - File not found [Disabled | Unknown] -- \.\globalroot\C:\Windows\system32\svchost.exe -- (epfwtdi)
SRV - File not found [Disabled | Unknown] -- \.\globalroot\C:\Windows\system32\svchost.exe -- (eamon)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\pccsmcfd.sys -- (pccsmcfd)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\A224.tmp -- (MEMSWEEP2)
IE - HKU\S-1-5-21-537840876-2038567480-1411305913-1000\..\SearchScopes\{421977DD-47D5-4309-A8D2-E777B506EA3A}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=VSAT&o=16625&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=2K&apn_dtid=YYYYYYYYPL&apn_uid=435E89AF-BA1B-48AA-A338-433CAB54505F&apn_sauid=1E2CEEB5-05E8-4276-80E4-CCD97BA61556"

 

Klik w Wykonaj skrypt. Logów żadnych nie pokazujesz. Użyj opcji Sprzątanie z OTL.

 

2. Opróżnij przywracanie systemu: KLIK

 

3. Zaktualizuj wymienione programy do najnowszych wersji:

 

Internet Explorer (Version = 8.0.7601.17514)

"{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 22

 

Szczegóły aktualizacyjne: KLIK

 

4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

[KeMaD]

Dzieki wielkie za pomoc

pzdr