Skocz do zawartości

Personal Shield Pro - infekcja


Rekomendowane odpowiedzi

Witam,

 

w dniu wczorajszym mój komputer został zainfekowany Personal Shield Pro. Próbowałem go usunąć stosując porady znalezione w internecie, jednakże nie przyniosło to zamierzonych efektów (mam tylko nadzieje, że bardziej nie zaszkodziło). Na chwilę obecną mogę uruchomić windows tylko w "safe mode".

 

PS

Log tworzony programem GMER zawiera zapis tylko preskanu, ponieważ po uruchomieniu pełnego skanu program sam się wyłącza i nie można go już uruchomić. Generalnie próba uruchomienia programów skanujących (np. Malwarebytes) kończy się podobnie jak próba wykonania skanu programem GMER.

 

Bardzo proszę o pomoc w rozwiązaniu problemu.

 

Pozdrawiam

OTL.Txt

Extras.Txt

GMER.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Mamy tu bardzo poważny problem = rootkit ZeroAccess:

 

========== Processes (SafeList) ==========

 

PRC - File not found -- C:\WINDOWS\3203397148:3809022017.exe

 

 

========== Modules (No Company Name) ==========

 

MOD - [2008/06/20 18:02:47 | 000,245,248 | ---- | M] () -- \\?\globalroot\systemroot\system32\mswsock.dll

 

 

O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - %SystemRoot%\System32\nwprovau.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - %SystemRoot%\System32\nwprovau.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - %SystemRoot%\System32\nwprovau.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - %SystemRoot%\System32\nwprovau.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - %SystemRoot%\System32\nwprovau.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000008 - %SystemRoot%\System32\nwprovau.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000009 - %SystemRoot%\System32\nwprovau.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000010 - %SystemRoot%\System32\nwprovau.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000016 - %SystemRoot%\System32\nwprovau.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000017 - %SystemRoot%\System32\nwprovau.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000018 - %SystemRoot%\System32\nwprovau.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000019 - %SystemRoot%\System32\nwprovau.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000020 - %SystemRoot%\System32\nwprovau.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000021 - %SystemRoot%\System32\nwprovau.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000022 - %SystemRoot%\System32\nwprovau.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000023 - %SystemRoot%\System32\nwprovau.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000024 - %SystemRoot%\System32\nwprovau.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000025 - %SystemRoot%\System32\nwprovau.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000026 - %SystemRoot%\System32\nwprovau.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000027 - %SystemRoot%\System32\nwprovau.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000028 - %SystemRoot%\System32\nwprovau.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000029 - %SystemRoot%\System32\nwprovau.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000030 - %SystemRoot%\System32\nwprovau.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000031 - %SystemRoot%\System32\nwprovau.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000032 - %SystemRoot%\System32\nwprovau.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000033 - %SystemRoot%\System32\nwprovau.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000034 - %SystemRoot%\System32\nwprovau.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000035 - %SystemRoot%\System32\nwprovau.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000036 - %SystemRoot%\System32\nwprovau.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000037 - %SystemRoot%\System32\nwprovau.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000038 - %SystemRoot%\System32\nwprovau.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000039 - %SystemRoot%\System32\nwprovau.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000040 - %SystemRoot%\System32\nwprovau.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000041 - %SystemRoot%\System32\nwprovau.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000042 - %SystemRoot%\System32\nwprovau.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000043 - %SystemRoot%\System32\nwprovau.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000044 - %SystemRoot%\System32\nwprovau.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000045 - %SystemRoot%\System32\nwprovau.dll File not found

I to on blokuje narzędzia, które są zamykane, a próba ich ponownego startu jest niemożliwa. Rootkit ma technikę samoobrony polegającą na zerowaniu uprawnień narzędzi próbujących odczytać jego komponenty.

 

 


Usuwanie wstępne:

 

1. Uruchom DummyCreator. W oknie wklej:

 

C:\WINDOWS\3203397148

Klik w Create. W konsekwencji powstanie log, który zaprezentujesz w punkcie 3.

 

2. Ważne: zresetuj system.

 

3. Po restarcie uruchom Kaspersky TDSSKiller, ale nic jeszcze nie usuwaj (wszystkim wynikom przyznaj akcję Skip) i tylko wygeneruj log do oceny. Dołącz log z DummyCreator pozyskany w punkcie 1.

 

 

 

 

 

.

Odnośnik do komentarza

Witam,

 

na wstępie chciałbym podziękować za zainteresowanie i pomoc. Załączam log z obu programów wykonany zgodnie z zaleceniami.

 

Pozdrawiam

 

DummyCreator by Farbar 

Ran by Kamil (administrator) on 17-09-2011 at 10:00:58

**************************************************************

 

C:\WINDOWS\3203397148 [17-09-2011 10:00:58]

 

== End of log ==

TDSSKiller log.txt

Odnośnik do komentarza

TDSSKiller widzi zainfekowany sterownik systemowy NetBIOS:

 

2011/09/17 10:08:09.0687 0332	Suspicious file (Forged): C:\WINDOWS\system32\DRIVERS\netbt.sys. Real md5: e3062c4d88d2bc15f7ea73fab9ede3c9, Fake md5: 74b2b2f5bea5e9a3dc021d685551bd3d

2011/09/17 10:08:09.0703 0332 NetBT - detected ForgedFile.Multi.Generic (1)

Z tym, że nazwa kodowa zagrożenia to "ForgedFile.Multi.Generic", a typ ten nie udostępnia opcji "Cure" tylko "Delete", a tego tu nie wolno wykonać (to sterownik systemowy). W związku z tym zgodnie ze wskazówkami wykorzystaj Webroot AntiZeroAccess i przedstaw wynikowy log.

 

 

 

 

.

Odnośnik do komentarza

Webroot AntiZeroAccess znalazł problem, jednakże nie mógł go usunąć. W załączeniu log.

 

Webroot AntiZeroAccess 0.8 Log File

Execution time: 17/09/2011 - 10:37

Host operation System: Windows Xp X86 version 5.1.2600 Service Pack 3

10:37:07 - CheckSystem - Begin to check system...

10:37:07 - OpenRootDrive - Opening system root volume and physical drive....

10:37:08 - C Root Drive: Disk number: 0 Start sector: 0x0000003F Partition Size: 0x0A0DA504 sectors.

10:37:08 - PrevX Main driver extracted in "C:\WINDOWS\system32\drivers\ZeroAccess.sys".

10:37:08 - InstallAndStartDriver - Unable to start AntiZeroAccess driver. StartService last error: 1084

10:37:28 - CheckFile - Warning! File "netbt.sys" is Infected by ZeroAccess Rootkit.

10:37:45 - StopAndRemoveDriver - AntiZeroAccess Driver is stopped and removed.

10:37:45 - StopAndRemoveDriver - File "ZeroAccess.sys" was deleted!

10:37:45 - Execution Ended!

Odnośnik do komentarza

Mam pewną wątpliwość. Konkretnie przed założeniem tematu próbowałem usunąc zainstalowany na systemie program Daemon Tools. Jednakże próba jego deinstalacji nie powiodła się, program SPTD również nic nie wykrywał. Dlatego też zgodnie z sugestią załączyłem tylko standardowe logi.

Czy w związku z powyższym przed użyciem programu COMBOFIX powinienem podjąć jakieś czynności zmierzające do usunięcia powyższego programu?

Odnośnik do komentarza

Był tu stosowany DummyCreator na wstępie i to nie powinno mieć miejsca teraz (zakładam, że restartowałeś system po użyciu DummyCreator).

 

1. Kiedy został pobrany ten ComboFix? Jeśli to wcześniej pobrana kopia, to ona się nie uruchomi (żaden z uszkodzonych programów nie ożywi się sam, jest wymagany reset ACL i to jeszcze nie teraz), należy pobrać nową i uruchomić. A jeśli to co dopiero pobrany ComboFix:

 

2. Proszę zrób nowy log z OTL, ale zaznacz do skanowania tylko Procesy, a wszystkie inne opcje ustaw na Brak. Zweryfikuję, czy strumień nadal pracuje w tle lub czy może powstał nowy.

 

 

 

.

Odnośnik do komentarza

Zastanawiające, nie ma strumienia w procesach. W związku z tym spróbuj jeszcze tej kombinacji zanim sięgnę po środowisko zewnętrzne: pobierz nową kopię ComboFix ale jej nie uruchamiaj, zastartuj system w Trybie awaryjnym i wtedy dopiero spróbuj ComboFix zastartować.

 

 

Programu tak jak poprzednio nie można uruchomić ani usunąć.

 

Usuwaniem wadliwych kopii zajmę się na końcu. To jest prosta operacja, tylko teraz nie ma jej sensu prowadzić.

 

 

 

.

Odnośnik do komentarza

ComboFix skasował pewne elementy rootkita (losowy sterownik, link symboliczny) i wykrył zainfekowane pliki BlueTooth. Jednakże brak tu adnotacji o infekcji sterownika Netbt. W związku z tym będę zamieniać ten sterownik.

 

 

1. Pobierz czystą kopię pliku Netbt.sys zgodną z XP SP3: KLIK. Plik umieść w katalogu C:\Temp.

 

2. Otwórz Notatnik i wklej w nim:

 

FCopy::
C:\Temp\netbt.sys | C:\WINDOWS\system32\drivers\netbt.sys
C:\Temp\netbt.sys | C:\WINDOWS\system32\dllcache\netbt.sys
 
Registry::
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Program Files\\SopCast\\adv\\SopAdver.exe"=-
 
File::
C:\WINDOWS\{2521BB91-29B1-4d7e-9137-AC9875D77735}

Plik zapisz pod nazwą CFScript.txt. Przeciągnij go i upuść na ikonę ComboFixa.

 

cfscript.gif

 

3. Przejdź w Tryb normalny Windows i uruchom narzędzie Webroot AntizeroAccess, by zweryfikować, czy widzi ono jakieś czynności infekcyjne.

 

4. Przedstaw do oceny: log z ComboFix uzyskany w punkcie 2, log z AntiZeroAccess (o ile coś wykryte) i nowy log z OTL z opcji Skanuj.

 

 

 

.

Odnośnik do komentarza

Nie wykonała się część z zamianą sterownika Netbt. Aktualnie sterownik już widzialny w logu OTL bez sygnatury MS:

 

DRV - [2008/04/13 21:21:00 | 000,162,816 | ---- | M] () [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\netbt.sys -- (NetBT)

I może jednak sterownik SPTD spróbuję wyłączyć z bootowania (pod kątem Trybu normalnego).

 

1. Do Notatnika tym razem wklej:

 

FCopy::
C:\Temp\netbt.sys | C:\WINDOWS\system32\drivers\netbt.sys
C:\Temp\netbt.sys | C:\WINDOWS\system32\dllcache\netbt.sys
 
Registry::
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd]
"Start"=dword:00000004
 
Driver::
aswSP
aswFsBlk
esgiguard

Uruchom jak poprzednio, przez przeciągnięcie na ComboFix.

 

2. Spróbuj zastartować do Trybu normalnego i ponowić skan AntiZeroAccess. Przedstaw log z wynikami uruchomienia ComboFix w punkcie 1.

 

 

Niestety system windows nie chciał uruchomić się w trybie normalnym (dalej pojawia się niebieski ekran)

 

Jeśli to nadal będzie mieć miejsce, zapakuj do ZIP cały katalog C:\Windows\Minidump, shostuj na speedyshare i tu podrzuć link.

 

 

 

.

Odnośnik do komentarza

Wszystko pomyślnie wykonane i nie widzę już żadnych objawów infekcji w stanie czynnym. Przechodzimy do kolejnej fazy:

 

 

1. Mini-mini poprawka usuwająca dwa puste wpisy. Uruchom OTL, w sekcji Własne opcje skanowania / skrypt wklej co podane niżej i klik w Wykonaj skrypt. Po ukończeniu możesz przez SHIFT+DEL skasować folder C:\_OTL.

 

:OTL
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {C4069E3A-68F1-403E-B40E-20066696354B} - No CLSID value found.
O8 - Extra context menu item: E&xport to Microsoft Excel - Reg Error: Value error. File not found

2. Reanimacja poszkodowanych narzędzi. Uruchom GrantPerms, w oknie wklej:

 

ścieżka 1 do pliku exe

ścieżka 2 do pliku exe

... i tak dalej ...

Po prostu wklejasz konkretne ścieżki wiodące do zablokowanych plików. Zastosuj opcję Unlock. Po odblokowaniu przez SHIFT+DEL skasuj z dysku pliki.

 

3. Odinstaluj w prawidłowy sposób bieżący ComboFix, procedura ta także wyczyści foldery Przywracania systemu. W Start > Uruchom > wklej komendę:

 

"c:\documents and settings\Kamil\Desktop\ComboFix1.exe" /uninstall

 

4. Przeskanuj cały system za pomocą Kaspersky Virus Removal Tool. Przedstaw raport z wynikami, jeśli to znaleziska infekcyjne. Nie interesują mnie zwroty OK / Archive / Packed.

 

 

 

.

Odnośnik do komentarza

Kaspersky Virus Removal możesz już odinstalować.

 

1. Zapięciem tematu są obowiązkowe aktualizacje oprogramowania, istotne pod kątem łatania luk. U Ciebie na liście zainstalowanych widnieją:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F83216015FF}" = Java™ 6 Update 15

"{3248F0A8-6813-11D6-A77B-00B0D0150060}" = J2SE Runtime Environment 5.0 Update 6

"{3248F0A8-6813-11D6-A77B-00B0D0160020}" = Java™ 6 Update 2

"{3248F0A8-6813-11D6-A77B-00B0D0160030}" = Java™ 6 Update 3

"{AC76BA86-7AD7-1033-7B44-A70500000002}" = Adobe Reader 7.0.5

"{E633D396-5188-4E9D-8F6B-BFB8BF3467E8}" = Skype™ 5.1

"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX

"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin

"ffdshow_is1" = ffdshow [rev 1724] [2007-12-25]

"Gadu-Gadu" = Gadu-Gadu 7.6

"KLiteCodecPack_is1" = K-Lite Codec Pack 3.6.5 Basic

"Mozilla Firefox 4.0.1 (x86 pl)" = Mozilla Firefox 4.0.1 (x86 pl)

"Nowe Gadu-Gadu" = Nowe Gadu-Gadu

- Podstawowe szczegóły aktualizacyjne rozpisane tutaj: INSTRUKCJE. Zakładam, że wszystkie łatki do systemu i Office 2007 są zainstalowane..

- Rozmnożone bezsensownie Gadu (GG7 to kaleka, brak szyfrowania + nie umie nawet obsłużyć własnej sieci w pełni, a NGG bez komentarza) można zastąpić alternatywą. W temacie Darmowe komunikatory są opisane liczące się na dzień dzisiejszy alternatywy z obsługą sieci Gadu: AQQ, Kadu, WTW i Miranda. Szczerze polecam WTW: zero reklam, portable, obsługa wszystkich ważnych cech protokołu GG10, import archiwum oryginalnych widzianych tu Gadu.

- Kodeki bardzo sfatygowane, a takowe mogą tworzyć problemy w systemie. I tu czas na aktualizacje....

 

2. Aktualnie nie masz żadnej ochrony antywirusowej. W systemie były szczątki Avast. Czy masz doń jakieś anse, że go tu nie ma, lub szukasz innego rozwiązania?

 

3. Dla własnego bezpieczeństwa zmień hasła logowań w serwisach.

 

 

Podsumuj stan systemu i czy coś jeszcze należy naprawiać w "wyrafinowany" sposób.

 

 

.

Odnośnik do komentarza

Wszystkie uaktualnienia wykonane zgodnie z zaleceniami. Co się tyczy kodeków to mam rozumieć, że należy zainstalować jakiś nowy zestaw, a stare odistalować?

W zakresie ochrony używałem najpierw Avasta, a później Aviry. Tak naprawdę to nie wiem, który z nich jest lepszy (może znasz jakiś inny antivirus godny polecenia?)

Co się tyczy zmiany haseł to mam wykonać ich zmianę we wszystkich serwisach (tj. hasła do kont e-mail, forum, banków),

Wybacz jeśli moje pytania pozostają banalne, niestety nie jestem specjalistą w zakresie komupterów.

 

Tak poza tym system działa bez zarzutu. Pięknie dziękuję i odwdzięczę się wspomagając Twoją/Waszą działalność.

 

Pozdrawiam serdecznie

Odnośnik do komentarza
Co się tyczy kodeków to mam rozumieć, że należy zainstalować jakiś nowy zestaw, a stare odistalować?

 

O to mi dokładnie chodzi. Jest tu okropnie stara paczka K-Lite Codec Pack 3.6.5 Basic oraz starawy ffdshow. W zamian zaopatrz się w najnowszy K-Lite Codec Pack Basic. Paczka montuje także ffdshow:

 

Contents of version 7.7.0:

 

DirectShow video decoding filters:

 

ffdshow [version 1.1.3978]

LAV Video [version 0.33 build 2011-08-25]

 

DirectShow audio decoding filters:

 

ffdshow [version 1.1.3978]

LAV Audio [version 0.33 build 2011-08-25]

 

DirectShow source filters:

 

Haali Media Splitter [version 1.11.96.14]

LAV Splitter [version 0.33 build 2011-08-25]

 

DirectShow subtitle filter:

 

DirectVobSub (a.k.a. VSFilter) [version 2.40.3705.0]

 

Other filters:

 

Haali Video Renderer [version 1.11.96.14]

 

Tools:

 

Codec Tweak Tool [version 5.0.8]

Win7DSFilterTweaker [version 4.6]

 

 

W zakresie ochrony używałem najpierw Avasta, a później Aviry. Tak naprawdę to nie wiem, który z nich jest lepszy (może znasz jakiś inny antivirus godny polecenia?)

 

Wybór Avast uważam za dobry pomysł. Avira ma mniej rozbudowanego rezydenta, a też nie polecam jej tu ostatnimi czasy ze względu na kompromitację producenta (w instalatorze Ask Toolbar, co tępię, bo to jest zachowanie "adware" w programie zabezpieczającym!). Do antywirusa można dołożyć zaporę sieciową z HIPS, za darmo np. Online Armor Free lub PrivateFirewall. Należy jednak wtedy wykonać korektę w osłonach rezydentnych Avast, by nie nastąpiło skrzyżowanie pewnych funkcji: wyłączenie Osłony sieciowej i Monitora zachowań.

Dodatkowe dyskusje / testy dostępne w dziale Oprogramowanie zabezpieczające: KLIK.

 

 

Co się tyczy zmiany haseł to mam wykonać ich zmianę we wszystkich serwisach (tj. hasła do kont e-mail, forum, banków),

 

W systemie rezydował rootkit ZeroAccess, dlatego sytuacja jest niepewna i wyróżniam wymianę haseł. Tak, zmień hasła bankowe, e-mail, forum. Lepiej wykonać zabezpieczenie nawet na wyrost niż później płakać.

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...