Infekcja ZeroAccess

[kluseczka]

Przekierowanie z tematu na leczenie infekcji:

 

https://www.fixitpc.pl/topic/14585-neostrada-niestabilna-przepustowosc-i-wysoki-ping/

 

Dobrze, zatem przesyłam raporty z OTL:

Extras.Txt

OTL.Txt

[picasso]

Niewątpliwie trojan ZeroAccess tu jest, a dodatkowo mocne zabrudzenie adware. Wymagane dodatkowe skany, bo może być kombinacja wariantów, a poza tym trzeba ustalić ile uszkodził w systemie (kasuje z rejestru usługi Zapory, Windows Update, Centrum zabezpieczeń i Windows Defender).

 

1. Uruchom SystemLook x64 i do skanu wklej:

 

:filefind
services.exe

 

Klik w Look.

 

2. Zrób raport z Farbar Service Scanner.

 

 

 

.

[kluseczka]

mam nadzieje, że nie jest tak źle..

 

SystemLook 30.07.11 by jpshortstuff

Log created at 12:48 on 01/12/2012 by 7

Administrator - Elevation successful

 

========== filefind ==========

 

Searching for "services.exe"

C:\Windows\System32\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB

C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB

 

-= EOF =-

FSS.txt

[picasso]

Sam fakt pobytu tego trojana to już bardzo źle i uszkodzeń w systemie dużo. Skan w SystemLook nie stwierdza, by był zmodyfikowany plik services.exe, więc przynajmniej tyle, ale nie zmienia to faktu podstawowego, że infekcja grasuje i usługi są już z rejestru skasowane. Przechodzimy do czyszczenia i naprawy szkód:

 

1. Otwórz Notatnik i wklej w nim:

 

reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f
reg add HKLM\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /ve /t REG_EXPAND_SZ /d %%systemroot%%\system32\wbem\wbemess.dll /f
pause

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT

 

Kliknij prawym na plik i wybierz opcję Uruchom jako Administrator. Konieczny restart komputera, by odładować z pamięci ZeroAccess.

 

2. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wpisz komendę:

 

netsh winsock reset

 

Zresetuj system, w celu ukończenia odbudowy łańcucha sieciowego.

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files

C:\Windows\Installer\{32c8b1b5-0f60-89a0-0f86-5a1413b39811}
C:\Users\7\AppData\Local\{32c8b1b5-0f60-89a0-0f86-5a1413b39811}
C:\Windows\assembly\GAC_32\Desktop.ini
C:\Windows\assembly\GAC_64\Desktop.ini
C:\ProgramData\ojobkspa.ako
C:\Users\7\AppData\Local\promo.exe
C:\Users\7\AppData\Roaming\OpenCandy
C:\Users\7\AppData\Roaming\mozilla\Firefox\Profiles\ja5fglh3.default\prefs.js
C:\Users\7\AppData\Roaming\mozilla\Firefox\Profiles\ja5fglh3.default\user.js
C:\Users\7\AppData\Roaming\mozilla\Firefox\Profiles\ja5fglh3.default\extensions\{872b5b88-9db5-4310-bdd0-ac189557e5f5}
C:\Users\7\AppData\Roaming\mozilla\Firefox\Profiles\ja5fglh3.default\extensions\{99079a25-328f-4bd4-be04-00955acaa0a7}
C:\Users\7\AppData\Roaming\mozilla\Firefox\Profiles\ja5fglh3.default\extensions\{c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c}
C:\Users\7\AppData\Roaming\mozilla\Firefox\Profiles\ja5fglh3.default\extensions\engine@conduit.com
C:\Users\7\AppData\Roaming\mozilla\Firefox\Profiles\ja5fglh3.default\extensions\helperbar@helperbar.com
C:\Users\7\AppData\Roaming\mozilla\Firefox\Profiles\ja5fglh3.default\extensions\toolbar@ask.com
C:\Users\7\AppData\Roaming\mozilla\Firefox\Profiles\ja5fglh3.default\extensions\welcome@toolmin.com
C:\Users\7\AppData\Roaming\mozilla\firefox\profiles\ja5fglh3.default\extensions\ffxtlbr@Facemoods.com.xpi
C:\Users\7\AppData\Roaming\mozilla\firefox\profiles\ja5fglh3.default\searchplugins\conduit.xml
C:\Users\7\AppData\Roaming\mozilla\firefox\profiles\ja5fglh3.default\searchplugins\SearchResults.xml
C:\Users\7\AppData\Roaming\mozilla\firefox\profiles\ja5fglh3.default\searchplugins\sweetim.xml
C:\Users\7\AppData\Roaming\mozilla\firefox\profiles\ja5fglh3.default\searchplugins\Web Search.xml
C:\Program Files (x86)\mozilla firefox\searchplugins\avg-secure-search.xml
C:\Program Files (x86)\mozilla firefox\searchplugins\fcmdSrchddr.xml
C:\Program Files (x86)\mozilla firefox\searchplugins\Search the web.src
C:\Program Files (x86)\mozilla firefox\searchplugins\SearchResults.xml
C:\Program Files (x86)\mozilla firefox\searchplugins\v9.xml
 
:OTL
IE:64bit: - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2410}: "URL" = "http://www.searchqu.com//web?src=ieb&appid=0&systemid=410&sr=0&q={searchTerms}"
IE - HKLM\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = "http://feed.helperbar.com/?publisher=OC&dpid=OC&co=PL&userid=4b933f2b-911f-4835-bf17-2ef8a0c1e388&affid=111583&searchtype=ds&babsrc=lnkry&q={searchTerms}"
IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2410}: "URL" = "http://www.searchqu.com//web?src=ieb&appid=0&systemid=410&sr=0&q={searchTerms}"
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2269050"
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=10&q={searchTerms}"
IE - HKU\S-1-5-21-2094357387-3072935316-1359121633-1000\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = "http://feed.helperbar.com/?publisher=OC&dpid=OC&co=PL&userid=4b933f2b-911f-4835-bf17-2ef8a0c1e388&affid=111583&searchtype=ds&babsrc=lnkry&q={searchTerms}"
IE - HKU\S-1-5-21-2094357387-3072935316-1359121633-1000\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=ddr&s={searchTerms}&f=4"
IE - HKU\S-1-5-21-2094357387-3072935316-1359121633-1000\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "https://isearch.avg.com/search?cid={764BB80B-C8B0-4620-B185-0030EF2BC194}&mid=5a34e2b0332f47d09da8d16c646b081c-ad1491be2ce6c122f6b66faa90e70c2decf7d34c&lang=pl&ds=xn011&pr=sa&d=2012-09-12 22:05:01&v=12.2.5.34&sap=dsp&q={searchTerms}"
IE - HKU\S-1-5-21-2094357387-3072935316-1359121633-1000\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2410}: "URL" = "http://www.searchqu.com//web?src=ieb&appid=0&systemid=410&sr=0&q={searchTerms}"
IE - HKU\S-1-5-21-2094357387-3072935316-1359121633-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2269050"
IE - HKU\S-1-5-21-2094357387-3072935316-1359121633-1000\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=10&q={searchTerms}"
O3:64bit: - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O4:64bit: - HKLM..\Run: [wzrscp] C:\Users\7\AppData\Local\Temp\wzrscp.dll (DT Soft Ltd)
O4 - HKLM..\Run: []  File not found
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
"Default_Search_URL"=-
"Search Bar"=-
"Search Page"=-
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
"Start Page"="about:blank"
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

4. Odbuduj usunięte przez trojana usługi za pomocą ServicesRepair.

 

5. Deinstalacje adware:

- Przez Panel sterowania odinstaluj: Ask Toolbar, AVG Security Toolbar, Deinstalator Strony V9, DVDVideoSoftTB Toolbar, facemoods, Linkury Smartbar, Nero Toolbar Updater, Wincore MediaBar, Windows Searchqu Toolbar, toolplugin oraz niepełnosprawne skanery McAfee Security Scan Plus, Norton Security Scan (to pewnie też były instalacje sponsorowane).

- Otwórz Google Chrome i w Rozszerzeniach odinstaluj: AVG Secure Search, DVDVideoSoftTB, Facemoods, Linkury Smartbar.

 

6. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

7. W skrypcie OTL resetuję całkowicie preferencje Firefox (mocno zgwałcony przez adware). Uruchom przeglądarkę i poustawiaj opcje takie strona startowa, bo po resecie wszystko będzie na poziomie domyślnym. Poza tym używane wcześniej rozszerzenia / skórki należy przeinstalować.

 

8. Zrób nowy log OTL z opcji Skanuj (już bez Extras) oraz Farbar Service Scanner. Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[kluseczka]

Wszystko zrobiłam wedle instrukcji (btw dziękuję za szczegółowy instruktaż) , i umieszczam raporty:

OTL.Txt

AdwCleanerS1.txt

FSS 1.txt

[picasso]

Wszystko zostało pomyślnie wykonane. Infekcja i adware usunięte, usługi skasowane przez trojana zrekonstruowane. Przechodzimy do poprawek i potwierdzających skanów:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\ProgramData\AVAST Software
C:\Program Files\AVAST Software
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt. Zatwierdź restart.

 

2. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00

 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"ROC_ROC_NT"=-

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

3. Porządki po narzędziach: w AdwCleaner uruchom Uninstall, w OTL uruchom Sprzątanie, ServicesRepair i FIXy skasuj ręcznie.

 

4. Wyczyść foldery Przywracania systemu: KLIK.

 

5. Zainstaluj Malwarebytes Anti-Malware (przy pytaniu o typ wersji wybierz darmową). Zrób pełne skanowanie. Jeżeli coś zostanie wykryte, przedstaw raport.

 

 

 

.

[kluseczka]

Witam ponownie!

Dopiero w nocy mogłam przeprowadzić drugą część tej 'akcji', przeskanowałam również wszystkie dyski. Wykryto 5 zagrożeń, już wysyłam log.

mbam-log-2012-12-02 (11-41-59).txt

[picasso]

Jeszcze należy prawidłowo zamknąć temat po czyszczeniu infekcji:

 

1. Wyniki MBAM: wykryte drobne śmieci (instalatory adware), do usunięcia.

 

2. W Dzienniku zdarzeń drobny błąd WMI numer 10. Napraw narzędziem z: KB2545227.

 

3. Odinstaluj stare Adobe / Java i zastąp najnowszymi wersjami, zaktualizuj Firefox i Skype: KLIK. Wg raportu obecnie masz zainstalowane:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216024FF}" = Java™ 6 Update 30
"{AA59DDE4-B672-4621-A016-4C248204957A}" = Skype™ 5.5
"{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.4) - Polish
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)
"Mozilla Firefox 10.0.2 (x86 pl)" = Mozilla Firefox 10.0.2 (x86 pl)
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_4_402_287.dll ()

 

4. Prewencyjnie zmień hasła logowania w serwisach.

 

I jeśli nie ma już żadnych widocznych problemów w systemie, będziemy zamykać temat.

 

 

.