Skocz do zawartości

Rootkit "ZeroAccess"


Rekomendowane odpowiedzi

Witam

Mam laptopa od kuzynki która mnie prosiła o sprawdzenie czy nie ma wirusów ponieważ był problem z netem oraz bardzo często się wieszał. Był zainstalowany Avast z który nie chciał się odpalić, po instalacji noda też miałem problem ponieważ wyskakuje komunikat "Błąd podczas komunikacji z jądrem." Daję link do innego forum z którego korzystam: PCLAB.PL i na którym skierowano mnie tutaj.

Otl odpaliłem dopiero w trybie awaryjnym. Próbowałem odpalić również ComboFix ale stanął na okienku "Skanowanie w poszukiwaniu zainfekowanych plików..." i tak stał ponad godzinę było to w nocy więc wyłączyłem go i poszedłem spać więc nie mam z niego logów.

Prosiłbym o pomoc w rozwiązaniu mojego problemu.

 

Log z DummyCreator

 

DummyCreator by Farbar 

Ran by Agnieszka (administrator) on 30-09-2011 at 17:01:52

**************************************************************

 

C:\windows\3203397148 [30-09-2011 17:01:52]

 

== End of log ==

Log z OTL:

 

http://wklej.org/id/601226/ - otl

http://wklej.org/id/601227/ - Extras

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Logi z OTL są z wczoraj, nie korespondują więc wcale do bieżącej sytuacji po użyciu DummyCreator.

 

 

Próbowałem odpalić również ComboFix ale stanął na okienku "Skanowanie w poszukiwaniu zainfekowanych plików..." i tak stał ponad godzinę było to w nocy więc wyłączyłem go i poszedłem spać więc nie mam z niego logów.

 

Pobierz nową kopię ComboFix, wejdź w Tryb awaryjny Windows i uruchom narzędzie. Przedstaw raport z jego pracy. raport proszę umieść jako zalącznik forum.

 

 

 

.

Odnośnik do komentarza

Hm mam problem z Combofix wypakował pliki i się wyłączył będę próbował dalej przeskanować.

 

Podczas wypakowywania plików wyskoczył błąd:

 

Błąd otwarcia pliku do zapisu

c:\32788R22FWJFW\swxcacls.3xe

 

Wybierz Anuluj, aby przerwać instalację,

Ponów aby ponowić zapis do pliku lub

Ignoruj, aby pominąć ten plik.

 

I co mam z tym zrobić ??

 

EDIT

 

Odinstalowałem ComboFix, ściągnąłem nowy i dalej to samo po wypakowaniu wyłącza się

 

Więc mam dalej próbować odpalić Kombofix czy przeskanować OTL ?

Edytowane przez futrzak
Posty połączone. //picasso
Odnośnik do komentarza

Proszę korzystaj z funkcji Edytuj, jeśli nikt pod Tobą jeszcze nie odpisał, zamiast tworzyć X własnych postów w ciągu. Posty łączę.

 

Na temat ComboFix: czy na pewno akcja uruchomienia odbywała się z poziomu Trybu awaryjnego Windows? Wywołaj parametr deinstalacji bieżącej kopii, w Start > Uruchom > wklejając dokładnie ścieżkę (jeśli ścieżka ma spacje, musi być cudzysłów):

 

"pełna ścieżka dostępu do ComboFix.exe" /uninstall

 

Następnie pobierz od nowa ComboFix i spróbuj po raz kolejny uruchomić w Trybie awaryjnym Windows.

 

 

PS. Zapomniałam jeszcze skomentować, że: po DummyCreator należało obowiązkowo zresetować system (inaczej to nie będzie działać), a takich instrukcji nie dostałeś, zaś z ComboFix to się pośpieszyłeś na wariata, nawet nie wiem czy były prawidłowe warunki dla jego uruchomienia.

 

 

EDIT: Jeśli odpowiadasz na mój post, to pisz już nowy post pod moim, a nie edytujesz "wstecz". Z edycjami chodzi tylko o to, by nie pisać więcej niż jeden własny post w ciągu. Oczekuję więc nowej odpowiedzi teraz.

 

 

Odinstalowałem ComboFix, ściągnąłem nowy i dalej to samo po wypakowaniu wyłącza się

 

Odpowiedz mi wyraźnie na pytanie czy go uruchamiałeś w Trybie awaryjnym Windows?

 

 

Więc mam dalej próbować odpalić Kombofix czy przeskanować OTL ?

 

Najwyraźniej rootkit jest aktywny i unieruchamia kolejne kopie (z nich już nie uruchomisz narzędzia). A o OTL to zapomnij w tym momencie.

 

 

.

Odnośnik do komentarza
Odpowiedz mi wyraźnie na pytanie czy go uruchamiałeś w Trybie awaryjnym Windows?

 

TAK

 

W końcu odpaliłem Combofix jestem na etapie skanowania

 

 

 

Nadal stoi na niebieskim oknie i informuje mnie, że skanowanie zajmie około 10 minut, tak jest około 4 godzin. Zostawię go na noc może ruszy.

 

Mam kilka pytań:

 

Jak zrobię format i postawię nowy system to wykasuję tego rootkita ?

 

Czy jak będę robił kopie danych to nie zainfekuję swojego kompa ? Mam WinXP więc się trochę obawiam.

Edytowane przez futrzak
Odnośnik do komentarza

Tak też sądziłam, że coś niepożądanego się rozgrywa, bo bardzo długo czekałam na edycję posta. ComboFix tyle czasu nie działa. Zmiana metody diagnostycznej:

 

1. Pobierz i wypal na CD płytę OTLPE.

 

2. Zastartuj z tej płyty, uruchom zgodnie ze wskazówkami OTL. W oknie Custom Scans/Fixes wklej:

 

C:\Windows\system32\drivers\*.* /md5
C:\Windows\*. /RP /s
dir /s /a C:\Windows\assembly /C

 

Klik w Scan.

 

3. Przedstaw wynikowy log.

 

 

Jak zrobię format i postawię nowy system to wykasuję tego rootkita ?

 

Da się usunąć bez formatu. Wszystkie przypadki z tym rootkitem rozwiązałam tu na forum bez formatu. Na razie nie rozmyślaj o takich drastycznych scenariuszach.

 

 

.

Odnośnik do komentarza

W raporcie nie widzę wszystkich składników infekcji. Patrząc na katalog drivers, rzucają się w oczy dwa sterowniki:

 

[2011/09/25 17:49:35 | 000,184,320 | ---- | M] (Microsoft Corporation) MD5=7C5FEE5B1C5728507CD96FB4A13E7A02 -- C:\Windows\system32\drivers\netbt.sys

 

Jedyny obiekt świeżo modyfikowany to sterownik NetBT. Jednakże jego suma kontrolna jest zgodna z plikiem Vista (obliczenie md5 wykonane z poziomu zewnętrznego środowiska, a więc wiarygodne) i nie wiem czy tu przypadkiem już nie odbywała się jakaś operacja lecznicza tego sterownika, bo skąd data modyfikacji.

 

[2008/01/20 22:32:49 | 000,035,384 | ---- | M] () MD5=1E9BA92F2B971F07B0772B9F805F5A0C -- C:\Windows\system32\drivers\kbdclass.sys

 

Sterownik klawiatur charakteryzuje brak sygnatury MS, suma kontrolna nie pasuje do sum na mojej Vista, ale nie ma zmodyfikowanej daty. Nie wiem co o tym sądzić.

 

 


Między punktem 1 i 2 nie może być restartu do Windows, tylko operacje z poziomu płyt startowych:

 

1. Wstępnie, z poziomu OTLPE uruchom OTL i w oknie Custom Scans/Fixes wklej:

 

:OTL
DRV - File not found [Kernel | On_Demand] --  -- (1cf6efbe)
 
:Files
C:\Windows\{2521BB91-29B1-4d7e-9137-AC9875D77735}
C:\Windows\System32\c_47915.nl_
C:\Windows\Assembly\GAC_MSIL\Desktop.ini

 

Klik w Run Fix.

 

2. Przeskanuj system z poziomu płyty Kaspersky Rescue Disk. Zapisz raport wykrytych infekcji na dysku twardym (nie pomyl sobie z pamięcią płyty).

 

3. Zastartuj do Windows i Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wpisz komendę netsh winsock reset. Zresetuj system.

 

4. Wygeneruj do oceny nowy log z OTL opcją Skanuj + Webroot AntiZeroAccess. Przedstaw także log ze skanera Kaspersky.

 

 

 

 

.

Odnośnik do komentarza
1. Wstępnie, z poziomu OTLPE uruchom OTL i w oknie Custom Scans/Fixes wklej (...) Klik w Run Fix.

 

Załączam logi:

 

========== OTL ==========

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\1cf6efbe deleted successfully.

C:\Windows\System32\c_47915.nl_ moved successfully.

C:\Windows\{2521BB91-29B1-4d7e-9137-AC9875D77735} moved successfully.

 

OTLPE by OldTimer - Version 3.1.48.0 log created on 10032011_173348

 

========== OTL ==========

Service\Driver key 1cf6efbe not found.

========== FILES ==========

File\Folder C:\Windows\{2521BB91-29B1-4d7e-9137-AC9875D77735} not found.

File\Folder C:\Windows\System32\c_47915.nl_ not found.

C:\Windows\Assembly\GAC_MSIL\Desktop.ini moved successfully.

 

OTLPE by OldTimer - Version 3.1.48.0 log created on 10032011_181727

Odnośnik do komentarza

Widzę, że zdążyłeś przetworzyć pierwszą wersję skryptu przed poprawką (dodanie do usuwania pliku desktop.ini w GAC_MSIL), toteż nastąpiło skrzyżowanie instrukcji (w drugim "not found" tego czego już nie ma). I to jest dopiero wstępna część usuwania, przejdź do skanowania za pomocą Kasperskiego i koniecznie dostarcz z tego log. Przypominam: masz go zapisać na dysku twardym. I nie przechodź do Windows między wykonaniem skryptu OTL a skanem Kasperskym.

Odnośnik do komentarza

Daję raporty z Kaspersky Rescue Disk.

 

Stan: Zagrożenie (zdarzenia: 9)

 

11-10-03 16:57 Zagrożenie Koń trojański Trojan-Spy.Win32.Zbot.gen C:/Windows/System32/AEADISRV.EXE Wysoki poziom bezpieczeństwa

 

11-10-03 16:57 Zagrożenie Koń trojański Trojan-Spy.Win32.Zbot.gen C:/Windows/System32/agrsmsvc.exe Wysoki poziom bezpieczeństwa

 

11-10-03 16:57 Zagrożenie wirus Type_Win32 C:/Windows/Microsoft.NET/Framework/v2.0.50727/mscorsvw.exe Wysoki poziom bezpieczeństwa

 

11-10-03 16:57 Zagrożenie wirus Type_Win32 C:/Windows/System32/HASPSrv.exe Wysoki poziom bezpieczeństwa

 

11-10-03 16:57 Zagrożenie Koń trojański Trojan-Spy.Win32.Zbot.gen C:/Program Files/Hewlett-Packard/HP Health Check/HPHC_Service.exe Wysoki poziom bezpieczeństwa

 

11-10-03 16:57 Zagrożenie Koń trojański Trojan-Spy.Win32.Zbot.gen C:/Program Files/Hewlett-Packard/Shared/hpqWmiEx.exe Wysoki poziom bezpieczeństwa

 

11-10-03 16:57 Zagrożenie wirus Type_Win32 C:/Program Files/Intel/Intel Matrix Storage Manager/IAANTmon.exe Wysoki poziom bezpieczeństwa

 

11-10-03 16:57 Zagrożenie Koń trojański Trojan-Spy.Win32.Zbot.gen C:/Program Files/Common Files/InterVideo/RegMgr/iviRegMgr.exe Wysoki poziom bezpieczeństwa

 

11-10-03 16:57 Zagrożenie wirus Type_Win32 C:/Program Files/Common Files/LightScribe/LSSrvc.exe Wysoki poziom bezpieczeństwa

 

 

Nie mogę się zalogować do Visty klawiatura nie reaguje

Odnośnik do komentarza

1. Infekcje zostały wykryte w prawidłowych plikach (a nazwa kodowa Type_Win32 insynuuje globalną infekcję w plikach wykonywalnych). Widzę tu tylko wykrycie ale brak akcji na obiektach = należy zastosować akcję Cure, a jeśli nie uda się to Delete (w późniejszej fazie trzeba będzie przeinstalować zdefektowane oprogramowanie, tym zajmę się na końcu).

 

2. Po przemyśleniu sprawy podaję jeszcze dodatkowy krok do wykonania z poziomu płyty, jednak zamiana sterownika klawiatur, mimo że Kaspersky nic w nim nie widzi. Podejrzana jest suma kontrolna, której nigdzie nie potrafię wyszukać w zestawieniach.

 

  • Pobierz sygnowany plik wyekstraktowany z Vista: KLIK. Udostępnij go w jakiś sposób płycie Kasperskiego (np. via pendrive).
  • Z poziomu płyty Kasperskiego na pasku zadań z "menu start" wybierz pozycję "File Manager". W menedżerze plików w lewym panelu kliknij w pozycję disks, która ujawni listę dysków. Wchodzisz w link do dysku systemowego i zamieniasz plik C:\Windows\system32\drivers\kbdclass.sys tym otrzymanym ode mnie.

3. Po wykonaniu w/w punktów przechodź już do kolejnych wytycznych z poprzedniej instrukcji, czyli start do Windows i komenda netsh winsock reset + nowe logi zrobione po restarcie.

 

 

EDIT:

 

Nie mogę się zalogować do Visty klawiatura nie reaguje

 

Dopisałeś. Ty nie masz się jeszcze logować do Vista, do wykonania przecież powyższe punkty 1 (skaner Kasperskiego musi się zająć wykrytymi infekcjami) + 2 (wymiana kbdclass.sys). A brak reakcji klawiatury raczej potwierdza to co mówię = kbdclass.sys jest naruszony.

 

 

 

.

Odnośnik do komentarza

Plik podmieniłem klawiatura jest ok. Daję logi z OTL i z Webroot AntiZeroAccess:

 

Webroot AntiZeroAccess 0.8 Log File

Execution time: 03/10/2011 - 20:05

Host operation System: Windows Vista X86 version 6.0.6001 Service Pack 1

20:05:15 - CheckSystem - Begin to check system...

20:05:15 - OpenRootDrive - Opening system root volume and physical drive....

20:05:15 - C Root Drive: Disk number: 0 Start sector: 0x0000003F Partition Size: 0x0CD93B71 sectors.

20:05:15 - PrevX Main driver extracted in "C:\windows\system32\drivers\ZeroAccess.sys".

20:05:15 - InstallAndStartDriver - Main driver was installed and now is running.

20:05:15 - CheckSystem - Warning! Disk class driver is INFECTED.

20:05:21 - StopAndRemoveDriver - AntiZeroAccess Driver is stopped and removed.

20:05:21 - StopAndRemoveDriver - File "ZeroAccess.sys" was deleted!

20:05:21 - Execution Ended!

OTL.Txt

Odnośnik do komentarza

Nie jest OK. Infekcja się feniksuje.

 

Po pierwsze, w logu nadal jest "not found" w Winsock od góry do dołu, a wróciły pliki już kasowane:

 

[2011-10-03 19:51:23 | 000,000,000 | -HS- | C] () -- C:\windows\{2521BB91-29B1-4d7e-9137-AC9875D77735}

[2011-10-03 19:43:54 | 000,048,016 | -HS- | C] () -- C:\windows\System32\c_47915.nl_

 

Po drugie, w Webroot AntiZeroAccess jest:

 

20:05:15 - CheckSystem - Warning! Disk class driver is INFECTED.

 

Po trzecie, teraz ujawnił się jednak sterownik netbt (nie ma sygnatury MS, w logu OTLPE ją miał):

 

DRV - [2011-09-25 23:49:35 | 000,184,320 | ---- | M] () [Kernel | System | Running] -- C:\Windows\System32\drivers\netbt.sys -- (netbt)

 

1. Pobierz plik netbt.sys: KLIK. Ułóż na C:\.

 

2. Webroot AntiZeroAccess: nie widzę, by tu była podjęta akcja leczenia. Uruchom narzędzie ponownie i postąp zgodnie ze wskazówkami leczniczymi.

 

3. Zastartuj z płyty OTLPE, uruchom OTL i w oknie Custom Scans/Fixes wklej:

 

:Files
C:\Windows\System32\drivers\netbt.sys|C:\netbt.sys /replace
C:\windows\System32\c_47915.nl_
C:\windows\{2521BB91-29B1-4d7e-9137-AC9875D77735}

 

Klik w Run Fix.

 

4. Wejdź ponownie do Windows i Start > w polu szukania cmd jako Administrator > wpisz netsh winsock reset.

 

5. Przedstaw nowe logi: z OTL + AntiZeroAccess.

 

 

 

.

Odnośnik do komentarza

Te komunikaty niedobrze wróżą, ponieważ to by znaczyło, że polecenie próbuje się wykonać na sfałszowanym pliku (przekierowanie zrobione przez rootkita). Czy w AntiZeroAccess + OTLPE wykonały się akcje?

 

Może spróbuj raz jeszcze pobrać + uruchomić ComboFix z poziomu Trybu awaryjnego, gdyż zaszły tu różne zmiany, które być może pomogą mu się uruchomić. Przy czym powtarzam: narzędzie nie może stać w nieskończoność na tym samym wstępnym etapie, bo to oznacza, że jest zawieszone.

 

 

.

Odnośnik do komentarza

Daję raporty Antizeroaccess byl uruchomiony przed otlpe

 

Webroot AntiZeroAccess 0.8 Log File

Execution time: 03/10/2011 - 20:34

Host operation System: Windows Vista X86 version 6.0.6001 Service Pack 1

20:35:02 - CheckSystem - Begin to check system...

20:35:02 - OpenRootDrive - Opening system root volume and physical drive....

20:35:02 - C Root Drive: Disk number: 0 Start sector: 0x0000003F Partition Size: 0x0CD93B71 sectors.

20:35:02 - PrevX Main driver extracted in "C:\windows\system32\drivers\ZeroAccess.sys".

20:35:02 - InstallAndStartDriver - Main driver was installed and now is running.

20:35:02 - CheckSystem - Warning! Disk class driver is INFECTED.

20:35:08 - StopAndRemoveDriver - AntiZeroAccess Driver is stopped and removed.

20:35:13 - StopAndRemoveDriver - File "ZeroAccess.sys" was deleted!

20:35:13 - Execution Ended!

 

========== FILES ==========

Invalid replace specification: C:\Windows\System32\drivers\netbt.sys \ c:\netbt.sys

C:\Windows\System32\c_47915.nl_ moved successfully.

C:\Windows\{2521BB91-29B1-4d7e-9137-AC9875D77735} moved successfully.

 

OTLPE by OldTimer - Version 3.1.48.0 log created on 10032011_220517

 

Jestem w trybie awaryjnym podczas wypakowywania plików Combo wyświetlił mi okno z błędem:

 

Błąd otwarcia pliku do zapisu:

 

C:\32788R22FWJFW\swxcacls.3XE

 

Wybierz Anuluj, aby przerwać instalację,

Ponów, aby ponowić zapis do pliku lub

Ignoruj aby pominąć ten plik

Odnośnik do komentarza

1. W AntiZeroAccess: co Ty właściwie tam robiłeś? Log kończy się tylko na detekcji:

 

20:35:02 - CheckSystem - Warning! Disk class driver is INFECTED.

 

Nie ma tu żadnego znaku, by została przeprowadzona procedura leczenia. A po wdrożeniu leczenia w logu powinno stać to:

 

Czas - DoRepair - Begin to perform system repair....

Czas - DoRepair - System Disk class driver was repaired.

 

Czy na pytanie Would you like to perform system cleanup? [Y/N] na pewno odpowiedziałeś twierdząco przez wklepanie z klawiatury Y i ENTER? Powtarzaj czynność.

 

2. W OTLPE zadanie z podmianą sterownika netbt nie wykonane, coś tu chyba było źle wklejone:

 

Invalid replace specification: C:\Windows\System32\drivers\netbt.sys \ c:\netbt.sys

 

Powtarzaj z poziomu płyty OTLPE ten fragment skryptu:

 

:Files
C:\Windows\System32\drivers\netbt.sys|C:\netbt.sys /replace

 

Po wykonaniu punktów 1 + 2 wygeneruj nowe logi z OTL + AntiZeroAccess.

 

 

 

.

Odnośnik do komentarza

Przedstawiam logi:

 

Webroot AntiZeroAccess 0.8 Log File

Execution time: 03/10/2011 - 22:06

Host operation System: Windows Vista X86 version 6.0.6001 Service Pack 1

22:06:26 - CheckSystem - Begin to check system...

22:06:26 - OpenRootDrive - Opening system root volume and physical drive....

22:06:26 - C Root Drive: Disk number: 0 Start sector: 0x0000003F Partition Size: 0x0CD93B71 sectors.

22:06:26 - PrevX Main driver extracted in "C:\windows\system32\drivers\ZeroAccess.sys".

22:06:27 - InstallAndStartDriver - Main driver was installed and now is running.

22:06:27 - CheckSystem - Warning! Disk class driver is INFECTED.

22:06:28 - CheckFile - Warning! File "dfsc.sys" is Infected by ZeroAccess Rootkit.

22:07:01 - CheckExecutableEP - Unable to open "C:\Program Files\ESET\ESET Smart Security\ekrn.exe" file. CreateFile last error: 5

22:07:01 - DoSecondPhaseCheck - Warning! Found a ZeroAccess forged PE: c:\program files\pdf complete\pdfsvc.exe

22:07:01 - CheckExecutableEP - Unable to open "c:\windows\system32\slsvc.exe" file. CreateFile last error: 5

22:07:15 - DoRepair - Begin to perform system repair....

22:07:15 - DoRepair - System Disk class driver was repaired.

22:07:16 - DoRepair - Infected "dfsc.sys" file was renamed.

22:07:16 - DoRepair - Infected "dfsc.sys" file was successfully cleaned!

22:07:16 - CheckExecutableEP - Error! Unable to repair read-only "c:\program files\pdf complete\pdfsvc.exe" file.

22:07:16 - CheckExecutableEP - Successfuly rewritten repaired "c:\program files\pdf complete\PreE56E.tmp" file.

22:07:16 - DoRepair - Unable to repair read-only "pdfsvc.exe" file, file was copied and patched with another name. Reboot system to complete repair process.

22:07:16 - DoRepair - Infected "pdfsvc.exe" file was successfully cleaned!

22:07:16 - DoRepair - "c_12345.nls" ZeroAccess file NOT found.

22:07:16 - DoRepair - Warning! Unable to delete "desktop.ini" ZeroAccess file, last error: 5. This file will be removed at next reboot.

22:08:19 - StopAndRemoveDriver - AntiZeroAccess Driver is stopped and removed.

22:08:19 - StopAndRemoveDriver - File "ZeroAccess.sys" was deleted!

22:08:19 - Execution Ended!

 

 

Webroot AntiZeroAccess 0.8 Log File

Execution time: 03/10/2011 - 22:12

Host operation System: Windows Vista X86 version 6.0.6001 Service Pack 1

22:12:48 - CheckSystem - Begin to check system...

22:12:48 - OpenRootDrive - Opening system root volume and physical drive....

22:12:48 - C Root Drive: Disk number: 0 Start sector: 0x0000003F Partition Size: 0x0CD93B71 sectors.

22:12:48 - PrevX Main driver extracted in "C:\windows\system32\drivers\ZeroAccess.sys".

22:12:49 - InstallAndStartDriver - Main driver was installed and now is running.

22:12:49 - CheckSystem - Warning! Disk class driver is INFECTED.

22:13:10 - StopAndRemoveDriver - AntiZeroAccess Driver is stopped and removed.

22:13:10 - StopAndRemoveDriver - File "ZeroAccess.sys" was deleted!

22:13:10 - Execution Ended!

========== FILES ==========

File C:\Windows\System32\drivers\netbt.sys successfully replaced with C:\netbt.sys

 

OTLPE by OldTimer - Version 3.1.48.0 log created on 10032011_235929

Odnośnik do komentarza

AntiZeroAccess leczył częściowo:

 

22:07:15 - DoRepair - Begin to perform system repair....

22:07:15 - DoRepair - System Disk class driver was repaired.

22:07:16 - DoRepair - Infected "dfsc.sys" file was renamed.

22:07:16 - DoRepair - Infected "dfsc.sys" file was successfully cleaned!

22:07:16 - CheckExecutableEP - Error! Unable to repair read-only "c:\program files\pdf complete\pdfsvc.exe" file.

22:07:16 - CheckExecutableEP - Successfuly rewritten repaired "c:\program files\pdf complete\PreE56E.tmp" file.

22:07:16 - DoRepair - Unable to repair read-only "pdfsvc.exe" file, file was copied and patched with another name. Reboot system to complete repair process.

22:07:16 - DoRepair - Infected "pdfsvc.exe" file was successfully cleaned!

22:07:16 - DoRepair - "c_12345.nls" ZeroAccess file NOT found.

22:07:16 - DoRepair - Warning! Unable to delete "desktop.ini" ZeroAccess file, last error: 5. This file will be removed at next reboot.

 

Ale nowszy odczyt nadal pokazuje:

 

22:12:49 - CheckSystem - Warning! Disk class driver is INFECTED.

 

Ponów proces czyszczenia w AntiZeroAccess raz jeszcze. Zresetuj po tym komputer. Zrób nowe logi z OTL + AntiZeroAccess.

 

 

 

.

Odnośnik do komentarza

Przedstawiam logi. Mam problem z Webroot -em a mianowicie

 

pierwsze okno jest takie:

 

Would you like to perform a System Scan? [Y/N]

 

Następnie mi skanuje a na koncu zaraz po skanowaniu mam komunikat

 

Your system is not infected by ZeroAccess/Max++ Rootkit!

 

Execution ended.

Press any key to exit...

 

Tych środkowych okien z leczeniem mi nie wyświetla miałem raz tak post czy dwa wyżej co skasowało połowę.

 

Mam tak za każdym razem kiedy go uruchamiam.

OTL.Txt

AntiZeroAccess_Log.txt

Odnośnik do komentarza
Your system is not infected by ZeroAccess/Max++ Rootkit!

 

(...)

 

Mam tak za każdym razem kiedy go uruchamiam.

 

To bardzo dobrze. To znaczy, że narzędzie nie wykrywa już infekcji w znanych sobie obiektach. Aczkolwiek log z OTL (robiony jednakże przed) wygląda gorzej, bo widać nadal pliki na dysku + załadowany przekierowany moduł Winsock:

 

========== Modules (No Company Name) ==========

 

MOD - [2008-01-21 04:33:36 | 000,223,232 | ---- | M] () -- \\?\globalroot\systemroot\system32\mswsock.dll

 

O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - %SystemRoot%\System32\winrnr.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - %SystemRoot%\System32\winrnr.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - %SystemRoot%\System32\winrnr.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - %SystemRoot%\System32\winrnr.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - %SystemRoot%\System32\winrnr.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000006 - %SystemRoot%\System32\winrnr.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000007 - %SystemRoot%\System32\winrnr.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000008 - %SystemRoot%\System32\winrnr.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000009 - %SystemRoot%\System32\winrnr.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000010 - %SystemRoot%\System32\winrnr.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000011 - %SystemRoot%\System32\winrnr.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000012 - %SystemRoot%\System32\winrnr.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000013 - %SystemRoot%\System32\winrnr.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000014 - %SystemRoot%\System32\winrnr.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000015 - %SystemRoot%\System32\winrnr.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000016 - %SystemRoot%\System32\winrnr.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000017 - %SystemRoot%\System32\winrnr.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000018 - %SystemRoot%\System32\winrnr.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000019 - %SystemRoot%\System32\winrnr.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000020 - %SystemRoot%\System32\winrnr.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000021 - %SystemRoot%\System32\winrnr.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000022 - %SystemRoot%\System32\winrnr.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000023 - %SystemRoot%\System32\winrnr.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000024 - %SystemRoot%\System32\winrnr.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000025 - %SystemRoot%\System32\winrnr.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000026 - %SystemRoot%\System32\winrnr.dll File not found

 

Oraz zdefektowany plik (leczony wcześniej przez Webroot):

 

DRV - [2011-10-03 22:07:16 | 000,075,264 | ---- | M] () [File_System | Unknown | Running] -- C:\Windows\System32\drivers\dfsc.sys -- (DfsC)

 

1. Pobierz plik dfsc.sys zgodny z uprzednio widzianym MD5 Twojej Vista (KLIK) + Fixit resetujące Winsock (KLIK). Plik dfsc.sys ułóż bezpośrednio na C:\

 

2. Z poziomu płyty OTLPE wdróż skrypt:

 

:Files
C:\Windows\System32\drivers\dfsc.sys|C:\dfsc.sys /replace
C:\Windows\System32\c_47915.nl_
C:\Windows\{2521BB91-29B1-4d7e-9137-AC9875D77735}
rd /s /q C:\32788R22FWJFW /C
rd /s /q C:\ComboFix /C
rd /s /q C:\Qoobox /C

 

3. Zresetuj do Trybu awaryjnego Windows i użyj narzędzie Fixit.

 

4. Zresetuj do Trybu normalnego Windows. Zrób nowy log z OTL, upewnij się też że Webroot nic już nie wykrywa....

 

 

 

 

.

Odnośnik do komentarza
22:54:49 - StopAndRemoveDriver - AntiZeroAccess Driver is stopped and removed.

 

Tak więc jest możliwe, że widzi teraz to:

 

Your system is not infected by ZeroAccess/Max++ Rootkit!

 

I nie jest też wiadome jak obszerny fragment loga kopiował. Tym bardziej, że jest tu takie przesunięcie w nagłówku sugerujące, że to plik klejony (a może problem z zapisem do pliku):

 

Webroot AntiZeroAccess 0.8 Log File

Execution time: 03/10/2011 - 22:48

Host operation System: Windows Vista X86 version 6.0.6001 Service Pack 1

Webroot AntiZeroAccess 0.8 Log File

Execution time: 03/10/2011 - 22:53

 

 

 

.

Odnośnik do komentarza

Podaję log z OTLPE:

 

========== FILES ==========

File C:\Windows\System32\drivers\dfsc.sys successfully replaced with C:\dfsc.sys

C:\Windows\System32\c_47915.nl_ moved successfully.

C:\Windows\{2521BB91-29B1-4d7e-9137-AC9875D77735} moved successfully.

< rd /s /q C:\32788R22FWJFW /C >

C:\cmd.bat deleted successfully.

C:\cmd.txt deleted successfully.

< rd /s /q C:\ComboFix /C >

C:\cmd.bat deleted successfully.

C:\cmd.txt deleted successfully.

< rd /s /q C:\Qoobox /C >

C:\cmd.bat deleted successfully.

C:\cmd.txt deleted successfully.

 

OTLPE by OldTimer - Version 3.1.48.0 log created on 10042011_161852

 

Podczas uruchomienia Fixit mam komunikat że:

 

Usługa instalator Windows nie jest dostępna w trybie awaryjnym.

 

Informuje mnie żebym spróbował ponownie kiedy komputer nie będzie pracował w trybie awaryjnym.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...