Zeroaccess [?] Wirtualne napędy, brak uprawnień, rootkit/bootkit

[spokojnyy]

Witam wszystkich czule, jestem 'nowy' albo 'młody' jak kto woli, więc z dystansem potraktujcie mą głupotę i błędy, a szybko się nauczę.

 

'Wyliczyć jakie defekty / komunikaty / błędy etc. pojawiają się w systemie.' Największy to chyba zużycie procesora i dysku twardego.

'Jeśli były wykorzystywane skanery notujące / usuwające infekcje, należy dołączyć ich raporty. Przy braku tekstowego materiału przepisać zarówno nazwę pod jaką został wykryty obiekt, jak i miejsce tego obiektu (precyzyjna ścieżka dostępu / nazwa pliku).' Sporo tego było aczkolwiek aktualnie nie mam z tych skanów logów, Stinger naprzykład wykrył to jako Artemis Trojan i z tego co pamiętam w folderze użytkownika c:\users\xxx\appdata\ i nie jestem pewien czy w 'local' czy 'roaming' jako 'webcam.exe.exe' Dziwna rzecz z tym jest ponieważ, nie był w stanie tego usunąć później już nie wykrywał.. Od jakiegoś czasu się z tym 'bawię' i próbuję to sam usunąć, więc troche szukałem o tym również i z tego co mi wiadomo, ten wirus blokuje oprogramowanie antywirusowe, jest mnóstwo popakowanych i zaszyfrowanych plików z którymi żaden program sobie nie radzi, a próbowałem dosłownie wszystkiego. Dla przykładu Avast rescuecd wykryl 2000 infekcji, nie sprawdziłem wszystkich, 90% na pewno byly to spakowane/zaszyfrowane pliki których nie mógł otworzyć, więc potraktował jako infekcja [usunięcie skuteczne nic nie dało] a taki gmer odpalony z hirenbootcd raz wykrywał aktywnosc rootkita raz nie, combofix wgrany z hirenbootem [jakas starsza wersja niz aktualna] nie dał sie uruchomic a nowa wersja odpalona z dysku lub usb wyrzucala komunikat, ze combofix wykryl rootkita i musi się ponownie uruchomić, dało s ię tylko kliknąć 'ok' i albo sie zawieszał, lub uruchamiał bez zadnej dalszej reakcji [probowalem bootowac po komunikacie z usb i dysku] Ostatnio Combofix z poziomu windowsa usunal 'c:\programdata\bdinstall' x3 naprzyklad.. Jesli świeżo postawiony system ułatwi usunięcie to nie ma problemu najmniejszego, to nowy laptop mam oryginalne płyty od Lenovo z Windows 8. Odnośnie tego skąd złapał infekcje, mi osobiscie wydaje sie, ze odkad go mam czyli niecałe 3 miesiące.. U dziewczyny [tez lapek Lenovo z winda 8 64bit] wykrylem to jakies pol roku temu, a po kupieniu i odpaleniu swojego od razu sprawdziłem usługi i zeskanowałem gmerem czysty system i zobaczyłem podobne logi jak te z drugiego lapka.. Chociaz nie wiem czy to mozliwe, ostatnio 'glosno' jest o botnecie zeroaccess i ja obstawiam jego, aczkolwiek kiedyś dretwiała mi lewa ręka i było duszno a to zgadzało się z stanem przedzawałowym, a okazało się, że tylko pękło mi płuco więc wrzucam logi bo on prawde Ci powie.

 

To jeszcze dorzucę to:

 

 

GMER 2.1.19357 -
Rootkit scan 2014-02-05 05:45:44
Windows 5.1.2600  
Running: gmer.exe; Driver: B:\Temp\fwryiuoc.sys


---- System - GMER 2.1 ----

INT 0x01  \SystemRoot\system32\drivers\dummy.sys                                                                      F7AB47C0
INT 0x03  \SystemRoot\system32\drivers\dummy.sys                                                                      F7AB47E0

---- Kernel code sections - GMER 2.1 ----

?         \I386\SYSTEM32\NTKRNLMP.EXE                                                                                 kernel module suspicious modification
?         \I386\SYSTEM32\NTKRNLMP.EXE                                                                                 The system cannot find the file specified. !
?         B:\Temp\BSS2.tmp                                                                                            The system cannot find the file specified. !

---- Threads - GMER 2.1 ----

Thread    System [4:148]                                                                                              BB21F096

---- Processes - GMER 2.1 ----

Process   X:\i386\System32\svchost.exe (*** hidden *** )                                                              [648] 8A0539C0                                
Process    (*** hidden *** )                                                                                          [4] 8C3892C0                                  

---- Threads - GMER 2.1 ----

Thread     [4:148]                                                                                                    BB21F096

Process   X:\i386\system32\services.exe (*** hidden *** )                                                             [436] 8A0805F8                                
Process   X:\i386\System32\svchost.exe (*** hidden *** )                                                              [756] 8B40ADA0                                
Process   X:\i386\system32\svchost.exe (*** hidden *** )                                                              [720] 8B40DC10                                
Process   X:\i386\system32\lsass.exe (*** hidden *** )                                                                [448] 8B4306F8                                
Process   X:\i386\explorer.exe (*** hidden *** )                                                                      [1080] 8B3F58B0                               
Process   B:\Temp\HBCD\BattStat\BattStat.exe (*** hidden *** )                                                        [1620] 89FB5C08                               
Process   X:\i386\system32\csrss.exe (*** hidden *** )                                                                [376] 8C255B38                                
Process   X:\Documents and Settings\All Users\Application Data\Mobile Partner\OnlineUpdate\ouc.exe (*** hidden *** )  [2036] 8A18D968                               
Process   X:\i386\system32\PENetwork.exe (*** hidden *** )                                                            [328] 89FB6020                                

---- EOF - GMER 2.1 ----

 

 

Skan spod falcona 4.6
 

Addition.txt

Extras.Txt

FRST.txt

OTL.Txt

gmer.txt

[muzyk75]

Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 04-02-2014
Ran by KoZi (administrator) on LENOVO-PC on 05-02-2014 03:16:19
Running from C:\Users\KoZi\Desktop
Windows 8 (X64) OS Language: Polish
Internet Explorer Version 10
Boot Mode: Normal

OTL logfile created on: 2014-02-05 3:03:23 - Run 1
OTL by OldTimer - Version 3.2.69.0 Folder = C:\Users\KoZi\Desktop
64bit- An unknown product (Version = 6.2.9200) - Type = NTWorkstation
Internet Explorer (Version = 9.10.9200.16519)
Locale: 00000415 | Country: Polska | Language: PLK | Date Format: yyyy-MM-dd

 

Podajesz logi z dwóch komputerów?

 

Powoli zaczynasz popadać w paraniję. Usuń te antyviry, których nie używasz i popraw jeszcze firmowymi deinstalatorami.

 

 ComboFix odinstaluj w prawidłowy sposób, Start > tam gdzie jest napis "Rozpocznij wyszukiwanie"> wklej:
C:\Users\KoZi\Downloads\ComboFix.exe /uninstall

 

Mobile Partner.exe - to wyłącz z autostartu.

 

Poprzez Panel sterowania odinstaluj : IObit Uninstaller - marka IOrbit jest dyskusyjna.

[picasso]

muzyk75

 

Podajesz logi z dwóch komputerów?

To są logi z tego samego komputera i masz multum cech to demaskujących (układ startu, układ dysków, konto użytkownika, nazwa komputera). Chyba sugerujesz się wadą OTL, który nie potrafi wykryć poprawnie edycji Windows 8 (zresztą z edycjami Windows 7 też jest problem) oraz instalacji Internet Explorer nowszej niż IE9 (wszystkie instalacje IE10 i IE11 są pokazane jako "IE9" w OTL). To jeden z wielu powodów dla których OTL jest tu już podrzędnym raportem, który jest podawany głównie porównawczo, a podstawowy log bez określonych przekłamań to FRST.

 

 

spokojnyy

 

W przyklejonym są konkrety na temat konfiguracji FRST. Sekcje Drivers MD5 oraz List BCD nie mają być zaznaczone. Prośba o ich zaznaczenie pada w konkretnych przypadkach, gdy są podstawy do tego.

 

 

gmer odpalony z hirenbootcd raz wykrywał aktywnosc rootkita raz nie

Ten log GMER wklejony do posta (jak i jakikolwiek inny log GMER zrobiony z poziomu Hirens) jest bezużyteczny. Pokazuje zawartość płyty Hirens na silniku XP (ewidentna ścieżka płyty X:\i386 oraz inne "wirtualne" ścieżki X:\ czy B:\), a owe odczyty (*** hidden *** ) sugerujące ingerencję "rootkit" to fałsz (to są wszystko komponenty płyty!). GMER nie może być uruchamiany w środowiskach zewnętrznych z poziomu bootowalnych płyt, przedstawi nie to środowisko co należy.

 

A jeśli chodzi o log GMER wstawiony w załącznik, to jest czymś "zmajstrowany", wszystkie ścieżki mają braki ukośników \, co świadczy, że log nie jest wiernie przeklejony.

 

 

combofix wgrany z hirenbootem [jakas starsza wersja niz aktualna] nie dał sie uruchomic a nowa wersja odpalona z dysku lub usb wyrzucala komunikat, ze combofix wykryl rootkita i musi się ponownie uruchomić, dało s ię tylko kliknąć 'ok' i albo sie zawieszał, lub uruchamiał bez zadnej dalszej reakcji [probowalem bootowac po komunikacie z usb i dysku]

Podobnie bez sensu jest uruchamiać ComboFix z Hirens lub jakiegokolwiek innego bootowalnego mechanizmu. Ten program nie jest w ogóle przeznaczony do takiego typu uruchomienia (jedynie spod Windows może działać poprawnie). A sama integracja w Hirens jest nielegalna i zbanowana. Jedyny poprawny ComboFix to ten z linka Bleepingcomputer.com. Wszystko inne: stare, niepewne lub źle podane.

 

 

Ostatnio Combofix z poziomu windowsa usunal 'c:\programdata\bdinstall' x3 naprzyklad..

Pliki odpowiadające masce C:\Programdata\*bdinstall* należą do skanera BitDefender. Ich usuwanie przez ComboFix to błąd / fałszywy alarm, skutek niezbyt inteligentnej rutyny usuwania wszystkich luźnych plików w C:\ProgramData. ComboFix nie jest skanerem antywirusowym, pewne kasacje są wynikiem zupełnie innej oceny niż w klasycznym programie antywirusowym. Dlatego też używanie ComboFix jest obwarowane klauzulą, by tego nie używać na własną rękę.

 

 

jest mnóstwo popakowanych i zaszyfrowanych plików z którymi żaden program sobie nie radzi, a próbowałem dosłownie wszystkiego. Dla przykładu Avast rescuecd wykryl 2000 infekcji, nie sprawdziłem wszystkich, 90% na pewno byly to spakowane/zaszyfrowane pliki których nie mógł otworzyć, więc potraktował jako infekcja [usunięcie skuteczne nic nie dało

Spakowane/zaszyfrowane pliki to jest tylko detekcja niemożności ich skanu a nie detekcja infekcji. Jest wiele instalatorów specyficznie pakowanych / kompresowanych, do których skanery nie mogą wejść. Tu nie ma nic dziwnego.

 

 

Stinger naprzykład wykrył to jako Artemis Trojan i z tego co pamiętam w folderze użytkownika c:\users\xxx\appdata\ i nie jestem pewien czy w 'local' czy 'roaming' jako 'webcam.exe.exe' Dziwna rzecz z tym jest ponieważ, nie był w stanie tego usunąć później już nie wykrywał..

Bez precyzyjnego raportu nie można tego ocenić. Jedyne co sugeruje, że to był obiekt infekcji - o ile dobrze przepisałeś nazwę wykonywalnego - to podwójne rozszerzenie *.exe.exe. Ale bez dokładnego raportu jest niemożliwym potwierdzić brak błędy przy przepisywaniu. I w dostarczonych tu raportach nie ma nic pasującego do tego "wyniku".

 

 

Chociaz nie wiem czy to mozliwe, ostatnio 'glosno' jest o botnecie zeroaccess i ja obstawiam jego

Kompletny brak oznak ZeroAccess tutaj. A w kwestii botnetu ZeroAccess: KLIK.

 

 

Ogólnie: brak tu oznak infekcji. Sprecyzuj więc z czym masz aktualnie problem na tym systemie, bo są tu niejasne wątki:

- "Wirtualne napędy, brak uprawnień" = o co chodzi, jakie wirtualne napędy (brak śladów w raportach) oraz jaki "brak uprawnień" i gdzie?

- "Największy to chyba zużycie procesora i dysku twardego." = jakie procesy pobierają najwięcej CPU, w ogóle o jakim zakresie zajęcia CPU mowa?

 

 

 

.