Rootkit - ukryta usługa

[Zappa]

Tu masz cały plik rejestru tej usługi

 

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinHttpAutoProxySvc]
"DisplayName"="@%SystemRoot%\\system32\\winhttp.dll,-100"
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,4c,00,6f,00,63,00,61,00,6c,00,53,00,65,00,72,00,76,00,69,00,63,\
00,65,00,00,00
"Description"="@%SystemRoot%\\system32\\winhttp.dll,-101"
"ObjectName"="NT AUTHORITY\\LocalService"
"ErrorControl"=dword:00000001
"Start"=dword:00000003
"Type"=dword:00000020
"DependOnService"=hex(7):44,00,68,00,63,00,70,00,00,00,00,00
"ServiceSidType"=dword:00000001
"RequiredPrivileges"=hex(7):53,00,65,00,43,00,68,00,61,00,6e,00,67,00,65,00,4e,\
00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,\
67,00,65,00,00,00,53,00,65,00,43,00,72,00,65,00,61,00,74,00,65,00,47,00,6c,\
00,6f,00,62,00,61,00,6c,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,\
65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,6e,00,61,\
00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\
00,00
"FailureActions"=hex:00,5c,26,05,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\
00,01,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinHttpAutoProxySvc\Parameters]
"ServiceDll"=hex(2):77,00,69,00,6e,00,68,00,74,00,74,00,70,00,2e,00,64,00,6c,\
00,6c,00,00,00
"ServiceMain"="WinHttpAutoProxySvcMain"
"ServiceDllUnloadOnStop"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinHttpAutoProxySvc\Security]
"Security"=hex:01,00,14,80,a0,00,00,00,ac,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,70,00,05,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
00,14,00,14,00,00,00,01,01,00,00,00,00,00,05,04,00,00,00,00,00,14,00,14,00,\
00,00,01,01,00,00,00,00,00,05,06,00,00,00,01,01,00,00,00,00,00,05,12,00,00,\
00,01,01,00,00,00,00,00,05,12,00,00,00

 

 

HKLM ...WinHttpAudoProxySvc - RequiredPrivileges: SeChangeNotifyPrivilege\0SeCreateGlobalPrivilege\0SeImpersonatePrivilege\0  <= czyli posiada maskowanie null a u Ciebie jest:

 

Nie ma.

 

Usuń ten klucz przez Swreg i sprawdź uprawnienia do klucza

[wertumnus]

Nie mogę usunąć klucza za pomocą Swreg o czym pisałem w 19 komentarzu na poprzedniej stronie. Wpisywałem ze składnią jaką podałeś tutaj

 

swreg null delete "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinHttpAudoProxySvc\Parameters"\0

 

oraz taką jak była podana przy opisie programu

 

swreg null delete "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinHttpAudoProxySvc\Parameters\0"

 

i za każdym razem otrzymywałem komunikat:

Error: Key: system\currentcontrolset\services\winhttpaudoproxysvc\parameters does not exist!

Uprawnień nie mogę podejrzeć bo wszystkie programy odmawiają.

Dlatego uważam, ze ewidentnie coś jest nie tak jak powinno być. 

[Zappa]

Uruchom MiniRegTool jako administrator i w okienko wklej

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinHttpAutoProxySvc]

 

 

zaznacz opcję export keys  i przedstaw raport

[wertumnus]

Raport:

http://www.sendspace.pl/file/pic/4f86579a3b8e9087327311b/view

 

Zamieszczam celowo zdjęcie bo mnie samemu trudno uwierzyć, że nic się nie pokazuje poza tym co w polu niżej

Windows Registry Editor Version 5.00

[Zappa]

To ci sie pokazuje po kliknieciu w Go?

[wertumnus]

To ci sie pokazuje po kliknieciu w Go?

Dokładnie. Za to jak chcę wyswietlić uprawnienia to wyświetla już więcej plus informację, że nie można odnaleźć pliku:

MiniRegTool64 by Farbar Version:09-05-2014
Ran by Pepe (administrator) on 2014-06-30 at 15:47:22

===============================================
Parsing the SD of <HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinHttpAutoProxySvc> failed with: Nie można odnaleźć określonego pliku.

[Zappa]

zapisz sobie w notatniku tekst, który podałem w poście 26

 

Z menu plik Zapisz jako Fix.reg > ustaw rozszerzenie na wszystkie pliki.

 

Z prawokliku na plik Fix.reg > Scal

[wertumnus]

Zrobione. Teraz może uruchomię ponownie komputer i zobaczymy czy coś się zmieniło.

[Zappa]

Uruchom ponownie system i sprawdź co powie MiniRegTool

[wertumnus]

Ponowny raport z MiniRegTool dla odpowiedniego klucza:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinHttpAutoProxySvc]
"DisplayName"="@%SystemRoot%\\system32\\winhttp.dll,-100"
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,4c,00,6f,00,63,00,61,00,6c,00,53,00,65,00,72,00,76,00,69,00,63,\
  00,65,00,00,00
"Description"="@%SystemRoot%\\system32\\winhttp.dll,-101"
"ObjectName"="NT AUTHORITY\\LocalService"
"ErrorControl"=dword:00000001
"Start"=dword:00000003
"Type"=dword:00000020
"DependOnService"=hex(7):44,00,68,00,63,00,70,00,00,00,00,00
"ServiceSidType"=dword:00000001
"RequiredPrivileges"=hex(7):53,00,65,00,43,00,68,00,61,00,6e,00,67,00,65,00,4e,\
  00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,\
  67,00,65,00,00,00,53,00,65,00,43,00,72,00,65,00,61,00,74,00,65,00,47,00,6c,\
  00,6f,00,62,00,61,00,6c,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,\
  65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,6e,00,61,\
  00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\
  00,00
"FailureActions"=hex:00,5c,26,05,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\
  00,01,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinHttpAutoProxySvc\Parameters]
"ServiceDll"=hex(2):77,00,69,00,6e,00,68,00,74,00,74,00,70,00,2e,00,64,00,6c,\
  00,6c,00,00,00
"ServiceMain"="WinHttpAutoProxySvcMain"
"ServiceDllUnloadOnStop"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinHttpAutoProxySvc\Security]
"Security"=hex:01,00,14,80,a0,00,00,00,ac,00,00,00,14,00,00,00,30,00,00,00,02,\
  00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
  00,00,02,00,70,00,05,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
  05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
  20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
  00,14,00,14,00,00,00,01,01,00,00,00,00,00,05,04,00,00,00,00,00,14,00,14,00,\
  00,00,01,01,00,00,00,00,00,05,06,00,00,00,01,01,00,00,00,00,00,05,12,00,00,\
  00,01,01,00,00,00,00,00,05,12,00,00,00

[Zappa]

No i gra. Powinno być dobrze.

 

Wejdź jeszce do rejestru

 

start > polecenie uruchom >regedit

 

znajdź kluczyk [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinHttpAutoProxySvc]

 

z prawokliku na wartość WinHttpAutoProxySvc > uprawnienia > zaawansowane i daj obrazek

[wertumnus]

Hmm już chyba rozumiem skąd część problemów. Podałeś mi klucz:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinHttpAutoProxySvc]

i u mnie go nie było ale sprawdziłem i teraz mam dwa obok siebie. Ten wyżej i ten wcześniejszy (niżej):

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinHttpAudoProxySvc]

 

Dodam tylko, że ten mój "Audo" jest właśnie tym zablokowanym a do Twojego wchodzę bez problemów. Wyglada na to, że jakiś syf w windowsie albo zmienił nazwę albo skasował oryginalny i podstawił swój.

[Zappa]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinHttpAudoProxySvc]

 

do usunięcia ten klucz  ma być Auto

[wertumnus]

No to zabawa od początku bo ja cały czas nie mogę usunąć tego Audo nie licząc wklepywania niewłaściwych poleceń (przez zamienioną literkę). Spróbuję na początek Swreg tylko wolałbym abyś podał mi całość do wklepania bo już nie wiem czy mam podawać z null "\0" czy po prostu cały klucz:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinHttpAudoProxySvc]

?

 

Niestety nie udaje mi się usunąć klucza przez SwReg. Ponadto sprawdziłem wcześniej i wpisywałem poprawnie (czyli z Audo) i też nie szło. Ciągle nie mam dostępu do uprawnień ani podglądania zawartości. Tylko gmer pozwala mi zajrzeć do środka klucza ale poza podglądaniem nie mam tam zadnych opcji. Za to jeśli gmer dobrze omija jakieś tam zabezpieczenia złośliwca to może jest to odpowiednie narzędzie by z tym walczyć? Przecież chyba można samym gmerem wpływac na rejestr? 

[Zappa]

czy po prostu cały klucz

 

bez 0 (zero)

 

Ciągle nie mam dostępu do uprawnień ani podglądania zawartości.

 

Pisałem że masz sobie nadać uprawnienia do klucza. Na samym końcu tutka jest jak nadać sobie uprawnienia

 

http://traxter-online.net/kasowanie-kluczy-rejestru/

[wertumnus]

bez 0 (zero)

dawałem bez 0, opisałem w edycji poprzedniego koma.

[Zappa]

poszła edycja poprezdniego posta.

[wertumnus]

Niestety MultiRegTool nie potrafi skasować klucza:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinHttpAudoProxySvc

za to teoretycznie daje mu unlocka. Tyle, że później przez regedit (z prawami admina) nadal nie mogę wejść w zawartość ani uprawnienia.

 

RegAssassin z kolei powiadamia, że coś usuwa czego nie widzi i to z sukcesem natomiast prawda jest całkiem inna bo klucz cały czas siedzi nietykalny w rejestrze bez możliwości nawet podejrzenia prawym klikiem czegokolwiek nie mówiąc już o uprawnieniach i własności.

Póki co tymi dwoma programami nie jestem w stanie ruszyć tego ustrojstwa. Wcześniej też sprawdzaliśmy obecność zera ale nic nie pokazywało.

[Zappa]

Masz zmienic uprawnienia ręcznie do tego klucza a nie programami i go normalnie skasować.

[wertumnus]

Masz zmienic uprawnienia ręcznie do tego klucza a nie programami i go normalnie skasować.

Tak też próbowałem robić i dopiero kiedy nie było rezultatu wspierałem sie programami.

Robię to tak:

1) otwieram regedit z uprawnieniami administratora

2) wyszukuję odpowiedni klucz i klikam prawym

3) wybieram z menu kontekstowego "uprawnienia..."

4) wyskakuje mi taki monit: http://www.sendspace.pl/file/pic/8f49397c8f963778ea69072/view

5) po kliknieciu ok (uciałem na zdjęciu) wyskakuje mi taki monit: http://www.sendspace.pl/file/pic/35c72d00fd9faa9a9e0a906/view

6) po kliknięciu ok jestem w punkcie 2

7) dlatego próbowałem MultiRegToolem odblokować klucz albo go skasować. Podobnie RegAssasinem resetowałem uprawnienia, przechodziłem na regedita i kroki 3 do 6 więc próba kasowania.

8) nic się nigdzie nie zmieniło pomimo komunikatów o odblokowaniu przez MultiRegTool i RegAssassin a przez ten drugi nawet skasowaniu klucza.

[Zappa]

No to zostało zalogować się na specjalne ukryte konto administrator i z jego poziomu wejść w rejestr i usunąc ten wpis

 

start > polecenie uruchom > cmd

 

Net user administrator /active:yes

 

uruchom ponownie system i zaloguj sie na konto administrator

[wertumnus]

Niestety nie poskutkowało samo usuniecie klucza. Wpisałem odpowiednią komendę, wylogowałem się i od razu pokazało sie konto administratora. Ponieważ zalecane miałem uruchomienie ponowne tak też zrobiłem. Zalogowałem się na administratora (windows poustawiał sobie pulpit itp.) otworzyłem regedit i otrzymałem monity jak z poprzedniego postu. Rejestr działał na koncie administracyjnym bo ukazywała sie gałąź SAM. Po powrocie na moje zwykłe konto wiersz poleceń cmd zrobił sie bardzo mały (taki, że ciężko przeczytać coś) a jego okno bardzo mało rozszerzalne w każdą stronę. 

 

Używając gmera eksportowałem zawartość klucza z Audo (żadnym innym programem mi sie to nie udało - jest skutecznie blokowane) ale nie wiem czy to coś da:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinHttpAudoProxySvc]
"DisplayName"="@%SystemRoot%\system32\winhttp.dll,-100"
"ImagePath"=str(2):"%SystemRoot%\system32\svchost.exe -k LocalService"
"Description"="@%SystemRoot%\system32\winhttp.dll,-101"
"ObjectName"="NT AUTHORITY\LocalService"
"RequiredPrivileges"=str(7):"SeChangeNotifyPrivilege\0SeCreateGlobalPrivilege\0SeImpersonatePrivilege\0"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinHttpAudoProxySvc\Parameters]
"ServiceDll"=str(2):"winhttp.dll"
"ServiceMain"="WinHttpAutoProxySvcMain"
"ServiceDllUnloadOnStop"=dword:00000001
"ProxyDllFile"=str(2):"%SystemRoot%\system32\jsproxy.dll"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinHttpAudoProxySvc\Security]
"Security"=hex:01,00,14,80,a0,00,00,00,ac,00,00,00,14,00,00,00,30,00,00,00,02,00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,00,00,02,00,70,00,05,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,00,14,00,14,00,00,00,01,01,00,00,00,00,00,05,04,00,00,00,00,00,14,00,14,00,00,00,01,01,00,00,00,00,00,05,06,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinHttpAudoProxySvc]

Jakiś bardzo oporny ten klucz, może damy sobie na dzisiaj spokój aby mieć dystans do problemu i świeże spojrzenie? Naprawdę doceniam poświęcony czas i zaangażowanie ale niekiedy mała przerwa się przydaje.

[Zappa]

Masz płytę z systemem?

 

Poczekaj muszę coś sprawdzić.

[wertumnus]

Gdzieś mam a jak nie to zrobiłem obraz i mogę wypalić.

[KolegaDudysa]

Wybaczcie że się wtrącam, a może uruchomić narzędzie usuwające z poziomu konta SYSTEM? Przy pomocy  PsExec (psexec -i -s program.exe)lub okienkowego Run As System, jeśli narzędzia usuwające nie zostaną uruchomione na koncie system (patrz manager zadań) uruchomcie podane przeze mnie toolsy z poziomu konta administrator.