Skocz do zawartości

ZeroAccess widmo. explorer.exe + svchost.exe


Rekomendowane odpowiedzi

Problem rozpocząłem tutaj: http://www.search engines.pl/Zmiana-strony-startowej-polubienie-czegos-na-FB-t146667.html

 

 

Podsumowanie:

 

Infekcję złapałem prawdopodobnie poprzez lukę maszyny java wchodząc na stronę www. rehabilitacja .pl

 

 

Gmer wykrywa takie coś:

Library c:\windows\system32\y (*** hidden *** ) @ D:\WINDOWS\system32\svchost.exe [692] 0x02110000
Library c:\windows\system32\y (*** hidden *** ) @ D:\WINDOWS\Explorer.EXE [1112] 0x01430000

 

 

Firewall pokazuje jak to svchost.exe nawiązuje setki połączeń (to wygląda jak p2p) na porcie 16471

 

Próbowałem różnorakich narzędzi. Ale nic, absolutnie nic nie widzi tego c:\windows\system32\y

Nawet UBCD4Win i konsola odzyskiwania nie widzą tego.

 

Załączam ostatnie logi.

OTL2.Txt

gmer2.txt

Extras2.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

GMER wykrywa oczywiście ZeroAccess, to jest payload w pamięci i tego się nie usuwa metodami które Ci podano, tego nie ma "na dysku" w normalnym rozumieniu, więc Avenger etc. to nie tu. Rootkit zostanie odładowany poprawnie z pamięci, gdy zostaną usunięte jego punkty ładowania, a one są nie tam gdzie ich szukano. Posiadasz najnowszy wariant ZeroAccess CLSID, który atakuje całkiem inne klasy systemowe i tworzy obiekty w Koszu (zablokowane przez uprawnienia). Wymagane dodatkowe skany:

 

1. Uruchom SystemLook i w oknie wklej:

 

:reg
HKEY_CURRENT_USER\Software\Classes\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F} /s
 
:dir
D:\RECYCLER /s

 

2. Dodaj też log z Farbar Service Scanner.

 

 

.

Odnośnik do komentarza

Najpierw opróżniłem kosz, aby zmniejszyć objętość logu.

 

Ja też myślałem, że to jakaś nowa wersja ZeroAccess, ale w google nic nie było. Skąd zdobywasz takie informacje Picasso?

 

edit: coś nie mogę załączyć systemlook

edit2: dziwne, w notatniku jest ok, w operze systemlook.txt daje krzaki :)

 

 

SystemLook 30.07.11 by jpshortstuff

Log created at 21:38 on 12/09/2012 by velvet

Administrator - Elevation successful

========== reg ==========

[HKEY_CURRENT_USER\Software\Classes\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9}]

(No values found)

[HKEY_CURRENT_USER\Software\Classes\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InprocServer32]

"ThreadingModel"="Both"

@="D:\RECYCLER\S-1-5-21-1177238915-1801674531-682003330-1003\$69523063bf0e8facfe6fba5eedd14123\n."

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}]

@="Microsoft WBEM _WbemFetchRefresherMgr Proxy Helper"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InprocServer32]

@="D:\RECYCLER\S-1-5-18\$69523063bf0e8facfe6fba5eedd14123\n."

"ThreadingModel"="Free"

 

========== dir ==========

C:\RECYCLER - Parameters: "/s"

---Files---

None found.

C:\RECYCLER\S-1-5-18 d--hs-- [19:22 11/09/2012]

desktop.ini ---hs-- 65 bytes [19:22 11/09/2012] [19:22 11/09/2012]

INFO2 --ah--- 20 bytes [19:22 11/09/2012] [19:22 11/09/2012]

C:\RECYCLER\S-1-5-21-1078081533-527237240-839522115-1004 d--hs-- [20:59 17/06/2008]

desktop.ini ---hs-- 65 bytes [20:59 17/06/2008] [20:38 22/12/2010]

INFO2 --ah--- 20 bytes [20:59 17/06/2008] [11:36 17/02/2011]

C:\RECYCLER\S-1-5-21-1078081533-527237240-839522115-1013 d--hs-- [15:47 24/09/2009]

desktop.ini ---hs-- 65 bytes [15:47 24/09/2009] [16:33 09/12/2010]

INFO2 --ah--- 20 bytes [15:47 24/09/2009] [20:31 22/04/2011]

C:\RECYCLER\S-1-5-21-1177238915-1801674531-682003330-1003 d--hs-- [17:32 23/04/2011]

desktop.ini ---hs-- 65 bytes [17:32 23/04/2011] [17:18 25/04/2011]

INFO2 --ah--- 12020 bytes [17:32 23/04/2011] [19:23 12/09/2012]

C:\RECYCLER\S-1-5-21-1177238915-1801674531-682003330-1004 d--hs-- [19:29 23/04/2011]

desktop.ini ---hs-- 65 bytes [19:29 23/04/2011] [19:29 23/04/2011]

INFO2 --ah--- 20 bytes [19:29 23/04/2011] [19:30 23/04/2011]

C:\RECYCLER\S-1-5-21-1177238915-1801674531-682003330-1005 d--hs-- [03:35 09/07/2011]

desktop.ini ---hs-- 65 bytes [03:35 09/07/2011] [05:55 12/07/2012]

INFO2 --ah--- 20 bytes [03:35 09/07/2011] [05:55 12/07/2012]

-= EOF =-

FSS.txt

SystemLook.txt

Odnośnik do komentarza

Niewątpliwie to ten wariant, o którym mówiłam. Możemy przejść do usuwania:

 

1. Otwórz Notatnik i wklej w nim:

 

reg delete HKCU\Software\Classes\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9} /f
reg add HKLM\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InprocServer32 /ve /t REG_SZ /d D:\WINDOWS\system32\wbem\fastprox.dll /f

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT > uruchom ten plik

 

Zresetuj system.

 

2. Otwórz Notatnik i wklej w nim:

 

cacls D:\RECYCLER\S-1-5-18 /E /G Wszyscy:F

cacls D:\RECYCLER\S-1-5-18\$69523063bf0e8facfe6fba5eedd14123 /E /G Wszyscy:F

cacls D:\RECYCLER\S-1-5-21-1177238915-1801674531-682003330-1003\$69523063bf0e8facfe6fba5eedd14123 /E /G Wszyscy:F

rd /s /q D:\RECYCLER

netsh winsock reset

pause

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT > uruchom ten plik

 

Zresetuj system.

 

3. Zrób nowe logi z OTL, GMER oraz SystemLook na te same warunki co podane wcześniej.

 

 

 

Ja też myślałem, że to jakaś nowa wersja ZeroAccess, ale w google nic nie było. Skąd zdobywasz takie informacje Picasso?

 

Jestem specjalistką od infekcji. A próbkę tego wariantu osobiście testowałam, by opracować metodę usuwania.

 

 

.

Odnośnik do komentarza

Jestem specjalistką od infekcji.

W to nigdy nie wątpiłem :)

 

 

svchost.exe przestał się łączyć przez port 16471.

 

W logu OTL mam takie coś. Czy to niegroźne?

@Alternate Data Stream - 116 bytes -> D:\Documents and Settings\All Users\Dane aplikacji\TEMP:5B4BB726

 

Odnośnie infekcji, teraz sobie przypomniałem. Listing plików RootKitty wskazał pliki w koszu, ale pomyślałem, że to pewnie normalne :)

gmer.txt

OTL.Txt

SystemLook.txt

Odnośnik do komentarza

Infekcja pomyślnie usunięta: punkty ładowania w rejestrze zdjęte, katalog Kosza wygenerowany od zera, Winsock zresetowany. Teraz należy naprawić szkody zrobione przez ZeroAccess, gdyż skasował z rejestru usługi Centrum zabezpieczeń, Zapory i Windows Update.

 

1. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS]
"Type"=dword:00000020
"Start"=dword:00000003
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"DisplayName"="Usługa inteligentnego transferu w tle"
"DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00
"DependOnGroup"=hex(7):00,00
"ObjectName"="LocalSystem"
"Description"="Transferuje dane pomiędzy klientami a serwerami w tle. Jeżeli usługa BITS zostanie wyłączona, funkcje takie jak Windows Update nie będą działać poprawnie."
"FailureActions"=hex:00,00,00,00,00,00,00,00,00,00,00,00,03,00,00,00,68,e3,0c,\
  00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS\Parameters]
"ServiceDll"=hex(2):44,00,3a,00,5c,00,57,00,49,00,4e,00,44,00,4f,00,57,00,53,\
  00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,71,00,6d,00,\
  67,00,72,00,2e,00,64,00,6c,00,6c,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
  00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
  00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
  05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
  20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
  00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
  00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS\Enum]
"0"="Root\\LEGACY_BITS\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc]
"Type"=dword:00000020
"Start"=dword:00000002
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"DisplayName"="Centrum zabezpieczeń"
"DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,77,00,69,00,6e,00,\
  6d,00,67,00,6d,00,74,00,00,00,00,00
"ObjectName"="LocalSystem"
"Description"="Monitoruje ustawienia zabezpieczeń i konfiguracje systemu."
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Parameters]
"ServiceDll"=hex(2):25,00,53,00,59,00,53,00,54,00,45,00,4d,00,52,00,4f,00,4f,\
  00,54,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
  77,00,73,00,63,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
  00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
  00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
  05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
  20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
  00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
  00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Enum]
"0"="Root\\LEGACY_WSCSVC\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]
"Type"=dword:00000020
"Start"=dword:00000002
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"DisplayName"="Zapora systemu Windows/Udostępnianie połączenia internetowego"
"DependOnService"=hex(7):4e,00,65,00,74,00,6d,00,61,00,6e,00,00,00,57,00,69,00,\
  6e,00,4d,00,67,00,6d,00,74,00,00,00,00,00
"DependOnGroup"=hex(7):00,00
"ObjectName"="LocalSystem"
"Description"="Zapewnia usługi translacji adresów sieciowych, adresowania, rozpoznawania nazw i/lub blokowania dostępu intruzów wszystkim komputerom w sieci domowej lub biurowej."
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch]
"Epoch"=dword:0000042e
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters]
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
  00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
  69,00,70,00,6e,00,61,00,74,00,68,00,6c,00,70,00,2e,00,64,00,6c,00,6c,00,00,\
  00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP"="139:TCP:*:Enabled:@xpsp2res.dll,-22004"
"445:TCP"="445:TCP:*:Enabled:@xpsp2res.dll,-22005"
"137:UDP"="137:UDP:*:Enabled:@xpsp2res.dll,-22001"
"138:UDP"="138:UDP:*:Enabled:@xpsp2res.dll,-22002"
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"139:TCP"="139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004"
"445:TCP"="445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005"
"137:UDP"="137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001"
"138:UDP"="138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002"
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
  00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
  00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
  05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
  20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
  00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
  00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup]
"ServiceUpgrade"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup\InterfacesUnfirewalledAtUpdate]
"All"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Enum]
"0"="Root\\LEGACY_SHAREDACCESS\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv]
"Type"=dword:00000020
"Start"=dword:00000002
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\
  74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"DisplayName"="Aktualizacje automatyczne"
"ObjectName"="LocalSystem"
"Description"="Umożliwia pobieranie i instalowanie aktualizacji systemu Windows. Jeśli ta usługa jest wyłączona, ten komputer nie będzie mógł używać funkcji Aktualizacje automatyczne lub witryny Windows Update w sieci Web."
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters]
"ServiceDll"=hex(2):44,00,3a,00,5c,00,57,00,49,00,4e,00,44,00,4f,00,57,00,53,\
  00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,77,00,75,00,\
  61,00,75,00,73,00,65,00,72,00,76,00,2e,00,64,00,6c,00,6c,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Security]
"Security"=hex:01,00,14,80,78,00,00,00,84,00,00,00,14,00,00,00,30,00,00,00,02,\
  00,1c,00,01,00,00,00,02,80,14,00,ff,00,0f,00,01,01,00,00,00,00,00,01,00,00,\
  00,00,02,00,48,00,03,00,00,00,00,00,14,00,9d,00,02,00,01,01,00,00,00,00,00,\
  05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
  20,02,00,00,00,00,14,00,ff,01,0f,00,01,01,00,00,00,00,00,05,12,00,00,00,01,\
  01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Enum]
"0"="Root\\LEGACY_WUAUSERV\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001

 

Adnotacja dla innych czytających: import dopasowany do Windows XP i ścieżek na D a nie C.

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik

 

2. Zresetuj system i zrób nowy log z Farbar Service Scanner.

 

 

Odnośnie infekcji, teraz sobie przypomniałem. Listing plików RootKitty wskazał pliki w koszu, ale pomyślałem, że to pewnie normalne

 

Jak może zauważyłeś, SystemLook nie pokazywał wcale pełnej zawartości Kosza i tego do czego kierował z kolei rejestr. Tylko jeden z utworzonych przez ZeroAccess folderów (S-1-5-18) był widzialny i to bez podskładników. Cała zawartość ZeroAccess w Koszu była zablokowana przez uprawnienia, dlatego niewidzialna / niedostępna. Gdyby po komendach cacls zrobić dir Kosza, wtedy zawartość zasadnicza ZeroAccess byłaby pokazana.

 

 

W logu OTL mam takie coś. Czy to niegroźne?

@Alternate Data Stream - 116 bytes -> D:\Documents and Settings\All Users\Dane aplikacji\TEMP:5B4BB726

 

Nie pamiętam już dokładnie co tworzy te strumienie, ale to nie jest szkodliwe.

 

 

W to nigdy nie wątpiłem

 

Miałam tu na myśli, że muszę być au courant z infekcjami. A niektóre dane idą torami niepublicznymi.

 

 

 

.

Odnośnik do komentarza

Szkody naprawione. Idziemy dalej:

 

1. Mini korekta na ten martwy serwis:

 

SRV - File not found [Auto | Stopped] -- D:\Program Files\COMODO\Time Machine\ClientService.exe -- (ClientService)

 

Start > Uruchom > cmd i wpisz komendę sc delete ClientService

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Wykonaj pełne (nie ekspresowe) skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport.

 

 

Zajmujesz się tym zawodowo?

 

Nie. Jak widać, hobbystycznie na forum.

 

 

.

Odnośnik do komentarza

Większość to fałszywy alarm, ale zostawiłem tylko to czego potrzebuję. Dziękuję za pomoc.

 

Malwarebytes Anti-Malware 1.65.0.1400

www.malwarebytes.org

 

Wersja bazy: v2012.09.07.13

 

Windows XP Service Pack 3 x86 NTFS

Internet Explorer 8.0.6001.18702

velvet :: KOMP1 [administrator]

 

13-09-2012 17:56:35

mbam-log-2012-09-13 (17-56-35).txt

 

Typ skanowania: Pełne skanowanie (C:\|D:\|)

Zaznaczone opcje skanowania: Pamięć | Rozruch | Rejestr | System plików | Heurystyka/Dodatkowe | Heuristyka/Shuriken | PUP | PUM

Odznaczone opcje skanowania: P2P

Przeskanowano obiektów: 738618

Upłynęło: 2 godzin(y), 42 minut(y), 51 sekund(y)

 

Wykrytych procesów w pamięci: 0

(Nie znaleziono zagrożeń)

 

Wykrytych modułów w pamięci: 0

(Nie znaleziono zagrożeń)

 

Wykrytych kluczy rejestru: 0

(Nie znaleziono zagrożeń)

 

Wykrytych wartości rejestru: 0

(Nie znaleziono zagrożeń)

 

Wykryte wpisy rejestru systemowego: 3

HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Złe: (1) Dobre: (0) -> Nie wykonano akcji.

HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Złe: (1) Dobre: (0) -> Nie wykonano akcji.

HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Złe: (1) Dobre: (0) -> Nie wykonano akcji.

 

wykrytych folderów: 0

(Nie znaleziono zagrożeń)

 

Wykrytych plików: 27

C:\nlite\xp3\I386\ANTIWPA.DLL (PUP.Wpakill) -> Nie wykonano akcji.

D:\Program Files\SnadBoy's Revelation v2\Revelation.exe (HackTool.Snadboy) -> Nie wykonano akcji.

D:\Program Files\SnadBoy's Revelation v2\RevelationHelper.dll (PUP.PWSTool.SnadBoy) -> Nie wykonano akcji.

D:\UBCD4Win\BartPE\I386\SYSTEM32\PRELOGON.EXE (Trojan.Zbot) -> Nie wykonano akcji.

D:\UBCD4Win\oem1\Joshuas-PreShell\PreLogon.exe (Trojan.Zbot) -> Nie wykonano akcji.

D:\UBCD4Win\oem1\Joshuas-PreShell\PreLogonConfig.exe (Trojan.Zbot) -> Nie wykonano akcji.

D:\UBCD4Win\plugin\!Critical\Config-PreLogon\PreLogon.exe (Trojan.Zbot) -> Nie wykonano akcji.

D:\UBCD4Win\plugin\!Critical\Config-PreLogon\PreLogonConfig.exe (Trojan.Zbot) -> Nie wykonano akcji.

C:\Nokia\keygen2.exe (Trojan.Downloader) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.

C:\pendrive\Documents\Programy\security\av\nod32+fix\NOD32.FiX.v2.2-nsane.exe (PUP.RiskWareTool.CK) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.

C:\pendrive\PortableApps\MoorHunt\MoorHunt\1000000600002i\svchost.exe (Rootkit.Dropper) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.

C:\pendrive\PortableApps\MoorHunt\MoorHunt\300000003400002i\dwwin.exe (Rootkit.Dropper) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.

C:\pendrive\PortableApps\MoorHunt\MoorHunt\4000001100002i\mscorsvw.exe (Rootkit.Dropper) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.

C:\pendrive\PortableApps\MoorHunt\MoorHunt\40000036a00002i\MoorHunt.exe (Rootkit.Dropper) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.

C:\pendrive\PortableApps\SniffPass\SniffPass.exe (PUP.PswdSniffer) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.

C:\Programy\getpass\getpass.dll (HackTool.PassWords) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.

C:\Programy\getpass\getpass.exe (HackTool.PassWords) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.

C:\DANE\WinMe - przydatne\Moje dokumentyXP\konserwacja\żadko używane\RemoveWGA.exe (PUP.RemoveWGA) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.

C:\DANE\WinMe - przydatne\PulpitXP\getpass\getpass.dll (HackTool.PassWords) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.

C:\DANE\WinMe - przydatne\PulpitXP\getpass\getpass.exe (HackTool.PassWords) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.

C:\DANE\WinXP\Documents and Settings\Jola\Pulpit\getpass\getpass.dll (HackTool.PassWords) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.

C:\DANE\WinXP\Documents and Settings\Jola\Pulpit\getpass\getpass.exe (HackTool.PassWords) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.

C:\Moje dokumenty\Downloads\bos_pass.exe (PUP.PSWTool.GetPass) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.

D:\Documents and Settings\Karol\Dane aplikacji\Sun\Java\Deployment\cache\6.0\44\3ff351ac-536f9519 (Rootkit.0Access) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem. <-- winowajca :D

D:\Documents and Settings\Karol\Pulpit\STARY PULPIT\rpc412_setup.exe (PAssword.Tool) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.

D:\Program Files\THQ\Company of Heroes\ModernCombat\cohra\cohra.exe (Trojan.Agent) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.

D:\Program Files\Microsoft Games\Age of Empires II\age2_x1\age2_x1.exe (Trojan.FakeMS) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.

 

(zakończone)

Odnośnik do komentarza

Na zakończenie:

 

1. Nie zauważyłam, że adware v9 czyszczono u Ciebie na pół gwizdka. Na Twojej liście zainstalowanych nadal jest pozycja Deinstalator Strony V9. Odinstaluj.

 

2. Aktualizacje (KLIK) poniżej wymienionych:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F83216030FF}" = Java™ 6 Update 30

"{26A24AE4-039D-4CA4-87B4-2F83217005FF}" = Java™ 7 Update 5

"{90110415-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003 ----> doinstaluj SP3

"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)

"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox/Opera)

"Adobe Shockwave Player" = Adobe Shockwave Player 11.5

"Mozilla Firefox 9.0.1 (x86 pl)" = Mozilla Firefox 9.0.1 (x86 pl)

"Mozilla Thunderbird (2.0.0.24)" = Mozilla Thunderbird (2.0.0.24)

 

3. Prewencyjna wymiana haseł logowania w serwisach.

 

 

 

 

.

Odnośnik do komentarza
  • 4 tygodnie później...

W Twoim skanie SystemLook pobieranym na innym forum nie było w ogóle takiej modyfikacji ZeroAccess. Stało tam:

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

(Unable to open key - key not found)

 

Czyli klucza powodującego ten efekt nie było. Jeśli teraz masz problem za zapamiętywaniem pozycji ikon, albo albo: nabawiłeś się nowej infekcji ZeroAccess, efekt nie jest pochodną infekcji (jest mnóstwo innych rzeczy, które mogą tym skutkować).

 

Na wszelki wypadek pobierz najnowszy OTL (ma nowy system sprawdzania obiektów ZeroAccess) i podaj logi.

 

 

 

.

Odnośnik do komentarza

Efekt nie jest pochodną tej infekcji, w międzyczasie coś było kombinowane, skutki wyglądają tak jakby nieumiejętnie próbowano naprawiać modyfikacje ZeroAccess (nieistniejące modyfikacje). Te dane wyglądają inaczej niż w skanie SystemLook pobranym na tamtym forum (wtedy te klucze były prawidłowe), a ja ich w ogóle nie ruszałam, bo nie było tu tego wariantu:

 

[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]

"" = \system32\shdocvw.dll -- [2011-02-17 15:51:59 | 001,510,400 | ---- | M] (Microsoft Corporation)

 

[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]

"" = %SystemRoot%\system32\shdocvw.dll -- [2011-02-17 15:51:59 | 001,510,400 | ---- | M] (Microsoft Corporation)

"ThreadingModel" = Apartment

 

Aktualnie w jakiś sposób do systemu się wślizgnął klucz w HKEY_CURRENT_USER. Jedyny prawidłowy klucz to ten w HKEY_LOCAL_MACHINE. Klucza w HKEY_CURRENT_USER nie powinno być w ogóle w systemie.

 

[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]

"" = C:\WINDOWS\system32\wbem\wbemess.dll

"ThreadingModel" = Both

 

Dodatkowo, w tej ścieżce jest oczywiście błąd, system masz na D a nie C. Konsekwencje złej ścieżki to błędy WMI w Dzienniku zdarzeń:

 

Error - 13-10-2012 05:47:39 | Computer Name = KOMP1 | Source = WinMgmt | ID = 28

Description = Moduł WinMgmt nie może zainicjować części podstawowych. Powodem mogą

być: źle zainstalowana wersja modułu WinMgmt, awaria uaktualnienia repozytorium

modułu WinMgmt, za mało miejsca na dysku lub za mało pamięci.

 

Error - 13-10-2012 05:47:39 | Computer Name = KOMP1 | Source = SecurityCenter | ID = 1802

Description = Usługa Centrum zabezpieczeń systemu Windows nie może ustanowić kwerend

zdarzeń z WMI, aby monitorować zaporę i program antywirusowy innej firmy.

 

 

1. Korekta wyżej wymienionych. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[-HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32]
@="D:\\WINDOWS\\system32\\wbem\\wbemess.dll"

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik

 

Po restarcie pamiętanie ikon i widoków folderów zacznie funkcjonować prawidłowo, podobnie jak aparat WMI.

 

2. Zaplątał się jeden plik po ZeroAccess (jest nieczynny, to odpadek, ciekawe że MBAM go nie wykrył wcześniej). Zmieć go skryptem do OTL:

 

:Files

D:\WINDOWS\assembly\GAC\Desktop.ini

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...