Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Weelsof wirus + ZeroAccess

kruger

Przez kruger
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

W raportach nie widzę oznak infekcji. Przepuszczałeś jakiś skrypt do OTL - o jakiej zawartości?

 

 

ale po wynikach z OTL się obawiam że jest jeszcze trojan ZeroAccess

 

Skąd ten wniosek? To co jest w Twoim logu w sekcji ZeroAccess Check to nie jest infekcja, wszystkie wpisy jak najbardziej poprawne. Dla przykładu pokazuję ten temat co sobie narobił użytkownik błędnie interpretując ten ustęp: KLIK.

 

 

 

 

.

Odnośnik do komentarza
kruger

kruger

Opublikowano
  • Autor
Opublikowano

Usunąłem kilka zbędników, oto lista

========== OTL ==========

Registry key HKEY_CURRENT_USER\Software\MozillaPlugins\ubisoft.com/uplaypc\ deleted successfully.

Registry value HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\RunOnce\\mctadmin deleted successfully.

Registry value HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\RunOnce\\mctadmin deleted successfully.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktop deleted successfully.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktopChanges deleted successfully.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\ConsentPromptBehaviorAdmin deleted successfully.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\ConsentPromptBehaviorUser deleted successfully.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\EnableLUA deleted successfully.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\PromptOnSecureDesktop deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefixes\\gopher|:gopher:// /E : value set successfully!

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\PROGRA~3\dsgsdgdsgdsgw.bat deleted successfully.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\\WebCheck deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\ not found.

 

Z tym że widzę w nowym logu OTL np. takie coś:

O1364bit: - gopher Prefix: missing

Wydaje mi się że to też próbowałem usuwać ale nadal jest, wszystkie file not found i to od weelsofa dałem do OTL do usunięcia. A z tym ZeroAccess to po prostu jak już wszystko pousuwałem i myślałem, że koniec roboty to jeszcze dla pewności wkleiłem jeden z wyników spod = ZeroAccess Check = i trafilem tu na forum w temat gdzie Landuss temat z podobnym wpisem rejestru zakwalifikował jako trojana ZeroAccess i polecił szukać ukrytych plików przez SystemLook (myślałem że u mnie jest identyczny przypadek).

Konkretnie ten wpis

HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1

z tematu http://www.fixitpc.p...18-wirus-ukesh/

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Coś mi się log właśnie wydawał podejrzany, tzn. brak wpisów które powinny być. Dałeś popalić:

 

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\ConsentPromptBehaviorAdmin deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\ConsentPromptBehaviorUser deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\EnableLUA deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\PromptOnSecureDesktop deleted successfully.
 
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\\WebCheck deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\ not found.

 

Pierwsza grupa to prawidłowe wpisy systemowe związane z UAC. Teraz w systemie powinien się ujawniać problem z UAC (zachowania inne niż skonfigurowane). Te wartości mają być, to ich numery odpowiadają za to na co jest dana opcja przestawiona, czyli tu tylko i wyłącznie steruje się numerami a wpisów nie dotyka. Ten ostatni jest prawidłowy, "not found" pozorne i nie należy go usuwać. Odwracaj szkody. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
"ConsentPromptBehaviorAdmin"=dword:00000005
"ConsentPromptBehaviorUser"=dword:00000003
"EnableLUA"=dword:00000001
"PromptOnSecureDesktop"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. Zresetuj system.

 

 

Z tym że widzę w nowym logu OTL np. takie coś:

O1364bit: - gopher Prefix: missing

Wydaje mi się że to też próbowałem usuwać ale nadal jest, wszystkie file not found i to od weelsofa dałem do OTL do usunięcia.

 

Nie uda Ci się tego "usunąć" skryptem, bo to jest notka, że nie ma protokołu gopher zarejestrowanego w systemie. To może być normalne w systemie i nie ma się czym zajmować.

 

Wpisy "not found" czy "missing" w OTL nie zawsze są tym czym się wydaje. Może to być: "not found" tylko i wyłącznie informacyjne (np. detekcja czy jest niedomyślny plik user.js Firefoxa na dysku lub czy jest na dysku plik HOSTS) i nieprawialne skryptem per se (bo albo nie potrzeba albo trzeba zrobić to inaczej), "not found" pozorne, "not found" prawidłowe, "not found" wynikające z niemożności OTL pobrania danych np. z następujących powodów: OTL jest 32-bitowy i pobiera dane o systemie x64 przez obejście, OTL ma procedurę szukania plików na wpisie który żadnym plikiem nie dysponuje lub wpis ma parametry z ukośnikami czy inne tego rodzaju (OTL traktuje je jako "część nazwy" i nigdy nie znajdzie pliku na dysku mimo że on jest). I wreszcie: wiele danych w OTL jest zniekształconych i dostosowanych do formuły raportu, dla czytelności, pewne wpisy wcale nie wyglądają w rejestrze tak jak to przedstawia OTL.

 

 

Konkretnie ten wpis

HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1

 

Tak, ale u Ciebie wpisu brak. Ten odczyt:

 

[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64

 

[HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]

 

[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32] /64

 

[HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]

 

... nie oznacza że klucze są! Wręcz przeciwnie = brak wyników, OTL ich nie widzi i nie przedstawia żadnej zawartości. To jest sekcja szukania na klucze a nie detekcja ich obecności 1:1, w rozumieniu, że jeśli tu coś jest to jest w rejestrze. Jak mówię, te wyniki się dopiero interpretuje...

 

Jest owszem wyjątek od reguły = sam goły klucz bez absolutnie żadnej zawartości może być przedstawiony w taki sam sposób jak brak wyników wyszukiwania. Ale to bardzo rzadki przypadek i nie o to chodzi z ZeroAccess. Wpisy ZeroAccess mają konkretną zawartość, bo trojan się przecież ładuje z pliku.

 

 

 

.

Odnośnik do komentarza
kruger

kruger

Opublikowano
  • Autor
Opublikowano

Tak to jest jak się za dużo myśli. Mogłem od razu wkleić tu raporty ale najpierw mi się to wydało proste a później za proste i szukalem dalej...Dzięki za sprawdzenie logów i pomoc. Plik rejestru zaimportowany acz ja UAC-a nie używam więc i tak przestawię później, może dlatego ten weelsof się przedostał? Ale chyba nie bo dużo tu takich tematów a pewnie wiekszość osób ma to włączone. Dzięki jeszcze raz.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

UAC nie używasz, po prostu przekonfiguruj w opcjach. Wartości, które importowałam, zostaną odpowiednio zaktualizowane.

 

W ramach zakończenia po infekcji: czyszczenie folderów Przywracania systemu (KLIK) + aktualizacja wyliczonych poniżej (KLIK).

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F86417009FF}" = Java 7 Update 9 (64-bit)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83217009FF}" = Java 7 Update 9
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)
"Mozilla Firefox 17.0.1 (x86 pl)" = Mozilla Firefox 17.0.1 (x86 pl)
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_2_202_235.dll ()

 

 

Temat rozwiązany, zamykam.

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...