Preki Opublikowano 13 Września 2011 Zgłoś Udostępnij Opublikowano 13 Września 2011 Witam. Niedawno na moim komputerze zalągł się ten okropny rootkit. Jego objawy to notoryczne zabijanie procesów antywirusów + czynienie ich .exe zupełnie niezdatnymi do użytku. Oprogramowanie typu ComboFix, GMER, także jest niszczone w trakcie działania, co dodatkowo zostawia za sobą niepożądane śmieci w postaci plików tymczasowych tychże programów. Drugim symptomem jest notoryczne przekierowywanie linków w wyszukiwarce Google. W katalogu głównym Windows znajduje się plik o nazwie: "191879450", a w menedżerze zadań widnieje "191879450:3844509940.exe". Procesu nie da się zatrzymać, czy to menedżerem, czy programami typu KillBox (o MBAM nie wspominając, gdyż ten jest ubity po chwili przez rootkita). Całe szczęście OTL, MBRCheck oraz TDSSKiller "przeżyły" ten pogrom, więc poniżej znajdują się linki do logów: http://wklej.org/id/593708/txt - MBRCheck http://wklej.org/id/593709/txt - OTL http://wklej.org/id/593712/txt - TDSSKiller Odnośnik do komentarza
picasso Opublikowano 13 Września 2011 Zgłoś Udostępnij Opublikowano 13 Września 2011 Poprawiłam tytuł, Toolkit > Rootkit. Jego objawy to notoryczne zabijanie procesów antywirusów + czynienie ich .exe zupełnie niezdatnymi do użytku. Rootkit stosuje self-defense i pozbawia programy uprawnień. Gdy rootkit zostanie usunięty, da się ożywić narzędzia za pomocą specjalnych programów służących resetowi uprawnień (pliki nie odblokują się samodzielnie). Tu jeszcze nie ten etap. w menedżerze zadań widnieje "191879450:3844509940.exe". Procesu nie da się zatrzymać, czy to menedżerem, czy programami typu KillBox. Dopóki ten proces działa, dzieje się to co wyżej z cytatu i nie jest możliwe przeprowadzenie konkretnego leczenia zainfekowanych sterowników. Menedżer zadań Windows + KillBox: nawet o tym nie myśl, to tak jakbyś chciał zastrzelić komandosa ... ze słomki. oraz TDSSKiller 1. Po pierwsze błąd, tego się nie usuwa: 2011/09/13 14:58:07.0015 1776 Suspicious file (NoAccess): C:\WINDOWS\system32\Drivers\sptd.sys. md5: cdddec541bc3c96f91ecb487596735052011/09/13 14:58:07.0015 1776 sptd - detected LockedFile.Multi.Generic (1) 2011/09/13 14:58:52.0671 2024 HKLM\SYSTEM\ControlSet001\services\sptd - will be deleted after reboot2011/09/13 14:58:52.0671 2024 HKLM\SYSTEM\ControlSet002\services\sptd - will be deleted after reboot2011/09/13 14:58:52.0671 2024 HKLM\SYSTEM\ControlSet003\services\sptd - will be deleted after reboot2011/09/13 14:58:52.0671 2024 HKLM\SYSTEM\ControlSet004\services\sptd - will be deleted after reboot2011/09/13 14:58:52.0671 2024 HKLM\SYSTEM\ControlSet005\services\sptd - will be deleted after reboot2011/09/13 14:58:52.0671 2024 HKLM\SYSTEM\ControlSet006\services\sptd - will be deleted after reboot2011/09/13 14:58:52.0671 2024 HKLM\SYSTEM\ControlSet007\services\sptd - will be deleted after reboot2011/09/13 14:58:52.0671 2024 C:\WINDOWS\system32\Drivers\sptd.sys - will be deleted after reboot2011/09/13 14:58:52.0671 2024 LockedFile.Multi.Generic(sptd) - User select action: Delete To sterownik emulacji napędów wirtualnych (DAEMON Tools / Alcohol), wg wykazu prawidłowa suma kontrolna cdddec541bc3c96f91ecb48759673505. Gdy czynny, zawsze widoczny w Kasperskym jako "podejrzany", bo to natura tego sterownika (jest totalnie zablokowany, działa w technice para-rootkit). 2. Po drugie: ten log z Kasperskiego nie jest świeży, nie może być brany jako odczyt aktualny i w ogóle nawet nie jest tu potwierdzone, że cokolwiek zrobił, bo to raport sprzed restartu systemu. Nie ma tu raportu po restarcie, czy akcja rzeczywiście wykonana i jaki jest stan obecny. A jeszcze, o czym tu nie wspominasz, na innym forum (gdzie to w pierwszym poście pokazywałeś ten sam log z Kasperskiego) polecono program Webroot AntiZeroAccess, wg Twoich słów: "Użyłem wskazanego programu dwukrotnie, z restartowaniem systemu. Bez skutku." Zaistniało tu tak wiele manipulacji po Kasperskym (sam mówisz: bez skutku), że to prawie pewne, iż nastąpiła transformacja zarażonych sterowników i to co mówił Kaspersky już dawno w lamusie. Nawiasem: Webroot AntiZeroAccess nie jest skuteczny na tę wersję, nie zajmuje się procesem ze strumieniem, w efekcie leczenie odbywa się "w kółko" (tylko co rusz inne sterowniki są infekowane po restarcie). Przechodząc do wstępnego usuwania infekcji (usuwanie będzie rozłożone na wiele etapów): 1. Uruchom DummyCreator. W oknie wklej: C:\WINDOWS\191879450 Klik w Create. Akcja ta wygeneruje log, który w punkcie 3 zaprezentujesz. 2. Ważne: zresetuj system. 3. Po restarcie wygeneruj nowy log z Kaspersky TDSSKiller, na wynikach nie podejmuj żadnych akcji (wszystkim przyznaj Skip). Jeśli posiadana kopia Kasperskiego zwróci "Odmowę dostępu", pobierz program na nowo i uruchom. Dorzuć też log z DummyCreatora. . Odnośnik do komentarza
Preki Opublikowano 14 Września 2011 Autor Zgłoś Udostępnij Opublikowano 14 Września 2011 DummyCreatora uruchomiłem z archiwum (celowo), ale zapomniałem kompletnie o logu. Zrestartowałem jednak po tym system, uciążliwego exe nie ma na liście procesów, choć TDSSKiller wciąż wykrywa ZAccess. Jednak nie dochodzi już do uciążliwego przekierowywania stron via Google. http://wklej.org/id/593758/txt - log z TDSSK, wbrew dacie, która się w nim znajduje, skanowanie zostało przeprowadzone dzisiaj. Odnośnik do komentarza
picasso Opublikowano 14 Września 2011 Zgłoś Udostępnij Opublikowano 14 Września 2011 Zrestartowałem jednak po tym system, uciążliwego exe nie ma na liście procesów, choć TDSSKiller wciąż wykrywa ZAccess. Jak mówiłam, to był etap wstępny, polegający na neutralizacji strumienia. log z TDSSK, wbrew dacie, która się w nim znajduje, skanowanie zostało przeprowadzone dzisiaj Daty właściwe są przy skanowanych obiektach: 2011/09/14 10:35:17.0609 4036 Suspicious file (Forged): C:\WINDOWS\system32\DRIVERS\redbook.sys. Real md5: 06c08824baf3c2962a56fc538c05d138, Fake md5: bddcece9acdad26841c987d10376f6f72011/09/14 10:35:17.0609 4036 redbook - detected Rootkit.Win32.ZAccess.e (0) Kolejne kroki do wykonania: 1. Aktualnie jako zainfekowany stoi sterownik systemowy redbook.sys. Uruchom Kasperskiego ponownie, ale tym razem wybierz dla tego wyniku akcję Cure. Zresetuj system. 2. Uruchom zgodnie z wytycznymi z nowo pobranej kopii (stare zdefektowane aktywnością rootkita) ComboFix. 3. Następnie wygeneruj nowe logi: log z TDSSKiller i log z OTL. Dołącz raport z ComboFix pozyskany w punkcie 2. . Odnośnik do komentarza
Preki Opublikowano 14 Września 2011 Autor Zgłoś Udostępnij Opublikowano 14 Września 2011 OK, wykonałem polecone zadania. ComboFix przeczyścił komputer (mam nadzieję), a przynajmniej jego procesy nie zostały zatrzymane przedwcześnie przez czynniki trzecie. Logi: http://wklej.org/id/593968/txt - TDSSKiller http://wklej.org/id/593969/txt - ComboFix (nie instalowałem konsoli ze względu na marne łącze internetowe) http://wklej.org/id/593975/txt - OTL Odnośnik do komentarza
picasso Opublikowano 14 Września 2011 Zgłoś Udostępnij Opublikowano 14 Września 2011 Zapomniałam Cię poinstruować, że logi z OTL mają być dwa. OTL uruchomiony więcej niż raz ustawia opcję "Rejestr - skan dodatkowy" na "Brak", a ma być "Użyj filtrowania", by pozyskać plik Extras. ComboFix przeczyścił komputer (mam nadzieję), a przynajmniej jego procesy nie zostały zatrzymane przedwcześnie przez czynniki trzecie. Jesteśmy na prostej. Główną robotę wykonały DummyCreator (blokada na strumień umożliwiająca pracę innych narzędzi) oraz Kaspersky TDSSKiller (wyleczenie zainfekowanego sterownika). ComboFix tu doczyścił mniejsze elementy rootkita (symlink | szczątki sterowników alfanumerycznych | podmiana kilku zainfekowanych plików) plus usunął blokadę (już zbędna). Tym razem uruchomił się bez problemu, bo DummyCreator był zastosowany. Mamy tu jeszcze różne rzeczy do czyszczenia. Są tu także znaki charakterystyczne dla aktywności rootkita Mebroot w MBR dysku, aczkolwiek TDSSKiller nie wykrył czynnego rootkita w MBR (będę to jeszcze sprawdzać). [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]"3389:TCP"= 3389:TCP:Remote Desktop"65533:TCP"= 65533:TCP:Services"52344:TCP"= 52344:TCP:Services"8130:TCP"= 8130:TCP:Services"8131:TCP"= 8131:TCP:Services"5197:TCP"= 5197:TCP:Services"9368:TCP"= 9368:TCP:Services"7745:TCP"= 7745:TCP:Services"6011:TCP"= 6011:TCP:Services"3432:TCP"= 3432:TCP:Services"4479:TCP"= 4479:TCP:Services"2245:TCP"= 2245:TCP:Services"6120:TCP"= 6120:TCP:Services"6994:TCP"= 6994:TCP:Services"5446:TCP"= 5446:TCP:Services"8900:TCP"= 8900:TCP:Services"6135:TCP"= 6135:TCP:Services"1620:TCP"= 1620:TCP:Services"6180:TCP"= 6180:TCP:Services"4712:TCP"= 4712:TCP:Services"5196:TCP"= 5196:TCP:Services"1728:TCP"= 1728:TCP:Services"8963:TCP"= 8963:TCP:Services"7786:TCP"= 7786:TCP:Services"6666:TCP"= 6666:TCP:Services"7275:TCP"= 7275:TCP:Services"6228:TCP"= 6228:TCP:Services"1689:TCP"= 1689:TCP:Services"9069:TCP"= 9069:TCP:Services"9054:TCP"= 9054:TCP:Services"2539:TCP"= 2539:TCP:Services"9241:TCP"= 9241:TCP:Services S3 xcpip;Sterownik protokołu TCP/IP;c:\windows\system32\drivers\xcpip.sys --> c:\windows\system32\drivers\xcpip.sys [?]S3 xpsec;Sterownik IPSEC;c:\windows\system32\drivers\xpsec.sys --> c:\windows\system32\drivers\xpsec.sys [?] [2011-09-11 21:48:53 | 000,000,000 | -HS- | C] () -- C:\WINDOWS\{2521BB91-29B1-4d7e-9137-AC9875D77735} 1. Usuń poszkodowane antywirusy i ich szczątki. To są i tak stare wersje i nie ma sensu ich ożywiać punktowo. Zastartuj do Trybu awaryjnego Windows i zastosuj firmowe narzędzia: AVG Remover + Kaspersky Remover. 2. Odblokuj inne zdefektowane przez rootkita pliki. Uruchom GrantPerms, w oknie wklej: ścieżka 1 do pliku exe ścieżka 2 do pliku exe ... i tak dalej ... Oczywiście pod "ścieżka X" masz podstawić konkretne ścieżki dostępu. Zastosuj opcję Unlock. Po odblokowaniu przez SHIFT+DEL skasuj z dysku pliki. 3. Dodatkowe sprzątanie szkodników / wpisów pustych i czyszczenie lokalizacji tymczasowych. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Services xpsec xcpip :Reg [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] :OTL [2011-09-13 13:57:10 | 000,048,016 | -HS- | C] () -- C:\WINDOWS\System32\c_55944.nl_ [2011-09-11 21:48:53 | 000,000,000 | -HS- | C] () -- C:\WINDOWS\{2521BB91-29B1-4d7e-9137-AC9875D77735} [2010-06-24 00:01:10 | 000,010,017 | ---- | M] () -- C:\Documents and Settings\Preki\Dane aplikacji\Mozilla\Firefox\Profiles\ear1ef62.default\searchplugins\mywebsearch.xml FF - prefs.js..keyword.URL: "http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=GRfox000&ptb=Df2RA21LtAMVPCWf3_lhZg&psa=&ind=2010062318&ptnrS=GRfox000&si=&st=kwd&n=77cf1dee&searchfor=" O16 - DPF: Microsoft XML Parser for Java "file:///C:/WINDOWS/Java/classes/xmldso.cab" (Reg Error: Key error.) O20 - Winlogon\Notify\WgaLogon: DllName - (WgaLogon.dll) - File not found DRV - File not found [Kernel | On_Demand | Running] -- -- (catchme) SRV - File not found [Auto | Stopped] -- -- (TOSHIBA Bluetooth Service) SRV - File not found [Auto | Stopped] -- -- (nvsvc) SRV - File not found [Auto | Stopped] -- -- (JavaQuickStarterService) :Commands [emptyflash] [emptytemp] Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany i automatycznie otworzy się log z wynikami usuwania. 4. Do oceny przedstawiasz: log z wynikami usuwania z punktu 3 oraz nowe logi z OTL z opcji Skanuj (przypominam o Extras) oraz GMER. . Odnośnik do komentarza
Preki Opublikowano 16 Września 2011 Autor Zgłoś Udostępnij Opublikowano 16 Września 2011 http://wklej.org/id/594793/ - GMER http://wklej.org/id/594794/ - 1 log z OTL http://wklej.org/id/594795/ - 1 extras z OTL http://wklej.org/id/594796/ - 2 log z OTL Nie wiem czemu OTL nie wygenerował 2 pliku extras (używałem różnych nazw plików). Odnośnik do komentarza
picasso Opublikowano 16 Września 2011 Zgłoś Udostępnij Opublikowano 16 Września 2011 (edytowane) Nie wiem czemu OTL nie wygenerował 2 pliku extras (używałem różnych nazw plików). Problemy z czytaniem. OTL uruchomiony więcej niż raz ustawia opcję "Rejestr - skan dodatkowy" na "Brak", a ma być "Użyj filtrowania", by pozyskać plik Extras. To się przestawia za każdym razem uruchamiasz OTL. A poza tym, skąd tu dwa zestawy OTL? Ja mówiłam o pokazaniu loga z usuwania (automatycznie generowany po przetworzeniu skryptu i otwierany w Notatniku, siedzi w folderze C:\_OTL). A ten Extras co mi dałeś to w ogóle nie jest bieżący log, wcale nie stanowi pary z OTL numer 1, pochodzi sprzed 3 dni i na dodatek pokazuje to co miałam planowane w skrypcie usuwającym (autoryzacje rootkita MBR): [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]"3389:TCP" = 3389:TCP:*:Enabled:Remote Desktop"65533:TCP" = 65533:TCP:*:Enabled:Services"52344:TCP" = 52344:TCP:*:Enabled:Services"8130:TCP" = 8130:TCP:*:Enabled:Services"8131:TCP" = 8131:TCP:*:Enabled:Services"5197:TCP" = 5197:TCP:*:Enabled:Services"9368:TCP" = 9368:TCP:*:Enabled:Services"80:TCP" = 80:TCP:*:Enabled:Services"7745:TCP" = 7745:TCP:*:Enabled:Services"6011:TCP" = 6011:TCP:*:Enabled:Services"3432:TCP" = 3432:TCP:*:Enabled:Services"4479:TCP" = 4479:TCP:*:Enabled:Services"2245:TCP" = 2245:TCP:*:Enabled:Services"6120:TCP" = 6120:TCP:*:Enabled:Services"6994:TCP" = 6994:TCP:*:Enabled:Services"5446:TCP" = 5446:TCP:*:Enabled:Services"8900:TCP" = 8900:TCP:*:Enabled:Services"6135:TCP" = 6135:TCP:*:Enabled:Services"1620:TCP" = 1620:TCP:*:Enabled:Services"6180:TCP" = 6180:TCP:*:Enabled:Services"4712:TCP" = 4712:TCP:*:Enabled:Services"5196:TCP" = 5196:TCP:*:Enabled:Services"1728:TCP" = 1728:TCP:*:Enabled:Services"8963:TCP" = 8963:TCP:*:Enabled:Services"7786:TCP" = 7786:TCP:*:Enabled:Services"6666:TCP" = 6666:TCP:*:Enabled:Services"7275:TCP" = 7275:TCP:*:Enabled:Services"6228:TCP" = 6228:TCP:*:Enabled:Services"1689:TCP" = 1689:TCP:*:Enabled:Services"9069:TCP" = 9069:TCP:*:Enabled:Services"9054:TCP" = 9054:TCP:*:Enabled:Services"2539:TCP" = 2539:TCP:*:Enabled:Services"9241:TCP" = 9241:TCP:*:Enabled:Services [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]"3389:TCP" = 3389:TCP:*:Enabled:Remote Desktop"65533:TCP" = 65533:TCP:*:Enabled:Services"52344:TCP" = 52344:TCP:*:Enabled:Services"8130:TCP" = 8130:TCP:*:Enabled:Services"8131:TCP" = 8131:TCP:*:Enabled:Services"5197:TCP" = 5197:TCP:*:Enabled:Services"9368:TCP" = 9368:TCP:*:Enabled:Services"7745:TCP" = 7745:TCP:*:Enabled:Services"6011:TCP" = 6011:TCP:*:Enabled:Services"3432:TCP" = 3432:TCP:*:Enabled:Services"4479:TCP" = 4479:TCP:*:Enabled:Services"2245:TCP" = 2245:TCP:*:Enabled:Services"6120:TCP" = 6120:TCP:*:Enabled:Services"6994:TCP" = 6994:TCP:*:Enabled:Services"5446:TCP" = 5446:TCP:*:Enabled:Services"8900:TCP" = 8900:TCP:*:Enabled:Services"6135:TCP" = 6135:TCP:*:Enabled:Services"1620:TCP" = 1620:TCP:*:Enabled:Services"6180:TCP" = 6180:TCP:*:Enabled:Services"4712:TCP" = 4712:TCP:*:Enabled:Services"5196:TCP" = 5196:TCP:*:Enabled:Services"1728:TCP" = 1728:TCP:*:Enabled:Services"8963:TCP" = 8963:TCP:*:Enabled:Services"7786:TCP" = 7786:TCP:*:Enabled:Services"6666:TCP" = 6666:TCP:*:Enabled:Services"7275:TCP" = 7275:TCP:*:Enabled:Services"6228:TCP" = 6228:TCP:*:Enabled:Services"1689:TCP" = 1689:TCP:*:Enabled:Services"9069:TCP" = 9069:TCP:*:Enabled:Services"9054:TCP" = 9054:TCP:*:Enabled:Services"2539:TCP" = 2539:TCP:*:Enabled:Services"9241:TCP" = 9241:TCP:*:Enabled:Services Co do logów (pomijając nieświeży Extras): brak znaków, by coś się działo. Wprawdzie w GMER są ślady rootkita w MBR, ale jak mówię to ślady (nieczynne). Zawsze pozostają w sektorach dysku po leczeniu / nadpisaniu MBR. Totalne wymazanie tego tylko przez zerowanie dysku. ---- Disk sectors - GMER 1.0.15 ---- Disk \Device\Harddisk0\DR0 malicious Win32:MBRoot code @ sector 488396203Disk \Device\Harddisk0\DR0 PE file @ sector 488396225 Poza tym, widzę tu (przestarzałego = aka nie można mu ufać / szczelność mniejsza) Kasperskiego, który miał być przecież usunięty. Czy tu był jakiś problem z jego likwidacją? Kolejne czynności do wykonania: 1. Drobna poprawka na mikro szczątki po AVG i jeden poszkodowany wpis Java. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej co podane niżej i klik w Wykonaj skrypt (tym razem nie będzie restartu). :OTL O2 - BHO: (no name) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - No CLSID value found. O20 - Winlogon\Notify\avgrsstarter: DllName - (avgrsstx.dll) - File not found :Reg [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\Microsoft XML Parser for Java] 2. Odinstaluj w prawidłowy sposób ComboFix (co czyści także foldery Przywracania systemu), w Start > Uruchom > wklejając komendę: "c:\documents and settings\Preki\Pulpit\ComboFix.exe" /uninstall 3. W OTL uruchom Sprzątanie, które zlikwiduje kwarantannę OTL oraz sam OTL/TDSSKiller/KillBox z dysku. 4. Wykonaj pełne skanowanie systemu za pomocą softu antywirusowego. Miałam proponować Kaspersky Virus Removal Tool. Ale teraz to mi koliduje ze starym Kasperskym w logach, jego tu miało po prostu nie być na tym etapie. Przedstaw raport z antywirusa, o ile coś zostanie wykryte jako infekcja. . Edytowane 30 Października 2011 przez picasso 30.10.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi