Skocz do zawartości

Rootkit - ukryta usługa


Rekomendowane odpowiedzi

Witam,

 

Od pewnego czasu AVAST monituje o ukrytej usłudze "WinHttpAudoProxySvc". Taka informacja pojawia się dopiero jakiś czas od uruchomienia komputera. Podejrzewam, że każdorazowo jest instalowana na nowo: intensywnie pracuje dysk, pojawiają się procesy instalujące, które później same znikają. Avast nie potrafi usunąć w trybie normalnym ani w uruchomieniowym.

 

Dodaję logi z FRST i Gmera

 

http://wklej.to/GYwJN FRST

 

http://wklej.to/SF73s Addition

 

http://wklej.to/aFgIX Shortcut

 

http://wklej.to/ZcfBW Gmer

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

HKLM\SYSTEM\CurrentControlSet\services\WinHttpAudoProxySvc

 

Locked "WinHttpAudoProxySvc" service could not be unlocked. <===== ATTENTION

 

No tak, ta usługa jest zablokowana, wiec nie da się jej usunąć.

Pliki tej usługi (Systemowe!) nie są zablokowane,ale ich nie wolno usuwać; zresztą ich usunięcie w niczym by nie pomogło.

 

Gdyby @Picasso była w stanie pomagać (jest chora), to pewnie znalazła by sposób na odblokowanie tej usługi, i potem usunięcie.

Ja nie jestem aż tak zaawansowana.

 

 

jessi

Odnośnik do komentarza

W logu Gmer masz nastepujące wpisy rejestru

 

Reg HKLM\SYSTEM\CurrentControlSet\services\WinHttpAudoProxySvc@DisplayName @%SystemRoot%\system32\winhttp.dll,-100
Reg HKLM\SYSTEM\CurrentControlSet\services\WinHttpAudoProxySvc@ImagePath %SystemRoot%\system32\svchost.exe -k LocalService
Reg HKLM\SYSTEM\CurrentControlSet\services\WinHttpAudoProxySvc@Description @%SystemRoot%\system32\winhttp.dll,-101
Reg HKLM\SYSTEM\CurrentControlSet\services\WinHttpAudoProxySvc@ObjectName NT AUTHORITY\LocalService
Reg HKLM\SYSTEM\CurrentControlSet\services\WinHttpAudoProxySvc@RequiredPrivileges SeChangeNotifyPrivilege?SeCreateGlobalPrivilege?SeImpersonatePrivilege?
Reg HKLM\SYSTEM\CurrentControlSet\services\WinHttpAudoProxySvc\Parameters
Reg HKLM\SYSTEM\CurrentControlSet\services\WinHttpAudoProxySvc\Parameters@ServiceDll winhttp.dll
Reg HKLM\SYSTEM\CurrentControlSet\services\WinHttpAudoProxySvc\Parameters@ServiceMain WinHttpAutoProxySvcMain
Reg HKLM\SYSTEM\CurrentControlSet\services\WinHttpAudoProxySvc\Parameters@ServiceDllUnloadOnStop 1
Reg HKLM\SYSTEM\CurrentControlSet\services\WinHttpAudoProxySvc\Parameters@ProxyDllFile %SystemRoot%\system32\jsproxy.dll
Reg HKLM\SYSTEM\CurrentControlSet\services\WinHttpAudoProxySvc\Security
Reg HKLM\SYSTEM\CurrentControlSet\services\WinHttpAudoProxySvc\Security@Security 0x01 0x00 0x14 0x80 ...
Reg HKLM\SYSTEM\CurrentControlSet\services\WinHttpAudoProxySvc

 

 

Oprócz tego na dysku jest plik winhttp.dll  dokładnie w C:\Windows\system32

 

Spróbuj usunąć klucze korzystając z RegAssassin lub MiniRegTool

 

http://traxter-online.net/kasowanie-kluczy-rejestru/

Odnośnik do komentarza

Używając RegAssassina pojawia się błąd: Hive returned NULL zaś MiniregTool podaje:

MiniRegTool64 by Farbar Version:09-05-2014
Ran by Pepe (administrator) on 2014-06-29 22:04:40

====================================
"HKLM\SYSTEM\CurrentControlSet\services\WinHttpAudoProxySvc@DisplayName @%SystemRoot%\system32\winhttp.dll,-100" not found.

Sprawdziłem dla kilku linijek ale nie wiem czy ten wpis oznacza, że nie może odnaleźć i nie skasował czy skasował i ponownie nie odszukał.

 

Edycja: Odpaliłem ponownie gmera i nadal pokazuje rzekomo skasowane linijki. 

Odnośnik do komentarza

Dziękuję za zaangażowanie ale dzisiaj już nie dam rady bo jutro rano praca. Po południu sprawdzę NTRegEdita i może jeszcze raz MiniRegTool64 bo widzę, że ma jakieś dodatkowe możliwości wyszukiwania NULL albo blokowanych wpisów rejestru. Czy bibliotekę winhttp.dll mogę skasować bez problemów z ponownym uruchomieniem? Akurat teraz mam utrudniony dostęp do dodatkowych kompów z internetem dlatego wolę być ostrożny.

 

1). Winhttp.dll nie daje się ruszyć podczas normalnej pracy systemu (próbowałem spakować i usunąć).

 

2). spisałem dwa procesy instalujące mi każdorazowo przy uruchomieniu jakieś świństwo:

 

C:\Program Files (x86)\Common Files\InstallShield\UpdateService\ISUSPM.exe

 

C:\Users\Pepe\AppData\Local\Temp\{9c0ba3c1-2b67-45eb-bf69-bed9658d28d2}\IDriver.NonElevated.exe  <= po skasowaniu tego katalogu pojawia się on przy ponownym uruchomieniu.

 

3). MiniRegTool nie znalazł w HKLM ani Locked Keys ani Null-embedded

 

4). NTRegEdit działa chyba błędnie bo nie pokazuje zawartości HKLM, HKU i HKCC. Niby jest mozliwosć rozwinięcia ale jak kliknę to nic nie pokazuje. Pozostałe HKCR i HKCU można przeglądać

Odnośnik do komentarza

OTL nie widzi tej usługi. Zanim coś spróbujemy, w sumie dziwne - usługa przynalezy do systemu Windows serwer 2003

 

 

Pobierz SystemLook 64bit. Uruchom Jako administrator z prawokliku w puste okno wklej

 

http://jpshortstuff.247fixes.com/SystemLook.html

 

:reg
HKLM\SYSTEM\CurrentControlSet\services\WinHttpAudoProxySvc\Parameters
HKLM\SYSTEM\CurrentControlSet\services\WinHttpAudoProxySvc\Security

 

Kliknij w Look i przedstaw raport

Odnośnik do komentarza

SystemLook 30.07.11 by jpshortstuff
Log created at 11:14 on 30/06/2014 by Pepe
Administrator - Elevation successful

========== reg ==========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinHttpAudoProxySvc\Parameters]
(Unable to open key - key not found)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinHttpAudoProxySvc\Security]
(Unable to open key - key not found)

-= EOF =-
Odnośnik do komentarza

Z tego wynika że kluczy nie ma w rejestrze.

 

Wejdź w tryb awaryjny. Uruchom OTL i w okno własne opcje skanowania/skrypt wklej

 

 

:OTL
O4 - HKU\S-1-5-21-775168592-2110109942-388502493-1000..\Run: [iSUSPM Startup] C:\PROGRA~2\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup File not found
O4 - HKU\.DEFAULT..\RunOnce: [sPReview] "C:\Windows\System32\SPReview\SPReview.exe" /sp:1 /errorfwlink:"http://go.microsoft.com/fwlink/?LinkID=122915" /build:7601 File not found
O4 - HKU\S-1-5-18..\RunOnce: [sPReview] "C:\Windows\System32\SPReview\SPReview.exe" /sp:1 /errorfwlink:"http://go.microsoft.com/fwlink/?LinkID=122915" /build:7601 File not found

:Services
WinHttpAudoProxySvc

:Files
C:\Windows\system32\winhttp.dll

:Commands
[emptytemp]

 

Kliknij w Wykonaj skrypt.

 

Po restarcie bedzie log z usuwania - przedstaw go.

Odnośnik do komentarza
All processes killed
========== OTL ==========
Registry value HKEY_USERS\S-1-5-21-775168592-2110109942-388502493-1000\Software\Microsoft\Windows\CurrentVersion\Run\\ISUSPM Startup deleted successfully.
Registry value HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce\\SPReview deleted successfully.
Registry value HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce\\SPReview not found.
========== SERVICES/DRIVERS ==========
Error: No service named WinHttpAudoProxySvc was found to stop!
Service\Driver key WinHttpAudoProxySvc not found.
========== FILES ==========
File move failed. C:\Windows\system32\winhttp.dll scheduled to be moved on reboot.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 57311 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Pepe
->Temp folder emptied: 716894805 bytes
->Temporary Internet Files folder emptied: 138141211 bytes
->Java cache emptied: 451 bytes
->Flash cache emptied: 78599 bytes
 
User: Public
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 12288 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 143252711 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 43265774 bytes
RecycleBin emptied: 16533840755 bytes
 
Total Files Cleaned = 16 761,00 mb
 
 
OTL by OldTimer - Version 3.2.69.0 log created on 06302014_114059

Files\Folders moved on Reboot...
File move failed. C:\Windows\system32\winhttp.dll scheduled to be moved on reboot.
C:\Users\Pepe\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
C:\Users\Pepe\AppData\Local\Microsoft\Windows\Temporary Internet Files\counters.dat moved successfully.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

Po restarcie już nie pojawiły się powyższe procesy ale jeszcze sam nie przeglądałem dokładniej raportu.

 

Dziwne że nie odnalazł usługi bo ja przed chwilą miałem ponownie monit od Avasta

Edytowane przez wertumnus
Odnośnik do komentarza

Wrzuciłem to celowo , ale usługi nie ma.

 

Error: No service named WinHttpAudoProxySvc was found to stop!
Service\Driver key WinHttpAudoProxySvc not found.

 

Reszta usunieta.

 

Uruchom OTL i kliknij Sprzątanie.

 

Mozesz wykonać skan MBAM, ma być pełny, jak coś wykryje to przedstaw raport.

 

Dziwne że nie odnalazł usługi bo ja przed chwilą miałem ponownie monit od Avasta

 

To może przedstaw raport z Avasta, gdzie on to widzi.

Odnośnik do komentarza

Sęk w tym, ze Avast nie pokazuje niczego konkretnego i nie wiem jak się dobrać do detali powiadomienia.

http://www.sendspace.pl/file/038071a7ffad54f0ab0a699

 

W międzyczasie odpalam pełny skan MBAMem.

 

Już po skanowaniu i... niczego nie wykrył więc również nie sprzątał - takie było podsumowanie. Sam nie wiem, może spróbować w trybie awaryjnym?

Gmer nadal pokazuje w rejestrze na czerwono wpisy:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinHttpAudoProxySvc

Odnośnik do komentarza
A gmer widzi to tak:

 

i bardzo dobrze ze widzi. Mam taki sam wpis w rejestrze. Oto raport z SystemLook

 

SystemLook 30.07.11 by jpshortstuff

Log created at 13:48 on 30/06/2014 by Zappa

Administrator - Elevation successful

 

========== reg ==========

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinHttpAutoProxySvc]

"DisplayName"="@%SystemRoot%\system32\winhttp.dll,-100"

"ImagePath"="%SystemRoot%\system32\svchost.exe -k LocalService"

"Description"="@%SystemRoot%\system32\winhttp.dll,-101"

"ObjectName"="NT AUTHORITY\LocalService"

"ErrorControl"= 0x0000000001 (1)

"Start"= 0x0000000003 (3)

"Type"= 0x0000000020 (32)

"DependOnService"="Dhcp"

"ServiceSidType"= 0x0000000001 (1)

"RequiredPrivileges"="SeChangeNotifyPrivilege SeCreateGlobalPrivilege SeImpersonatePrivilege"

"FailureActions"=00 5c 26 05 00 00 00 00 00 00 00 00 03 00 00 00 14 00 00 00 01 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 (REG_BINARY)

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinHttpAutoProxySvc\Parameters]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinHttpAutoProxySvc\Security]

 

 

-= EOF =-

 

 

Usunąłeś już OTL?

Odnośnik do komentarza

WinHttp.dll już dodana.

 

Podglądałem przez gmera w poszukiwaniu różnic:

HKLM ...WinHttpAudoProxySvc - RequiredPrivileges: SeChangeNotifyPrivilege\0SeCreateGlobalPrivilege\0SeImpersonatePrivilege\0  <= czyli posiada maskowanie null a u Ciebie jest:

HKLM ...WinHttpAudoProxySvc - RequiredPrivileges: SeChangeNotifyPrivilege SeCreateGlobalPrivilege SeImpersonatePrivilege

Nie wiem czy to nie to samo bo nieco inny sposób wyświetlania.

Niestety o ile mogłeś processLook przebadać linijki rejestru to u mnie nie pozwala ich otworzyć albo udaje, że ich nie ma.

 

Dodatkowa interesująca sprawa jest w:

HKLM ...WinHttpAudoProxySvc\Parameters - ServiceDllUnloadOnStop: 1  <= może to sprawia problemy bo program zatrzymuje usługę zwiazaną z biblioteką?

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...