Rootkit Zeroaccess infekcja ?

[Hajasz]

Witam !

Jestem nowym użytkownikiem forum, które poleciło mi wielu znajomych obytych w sprawach.

Wczoraj wieczorem najprawdopodobniej mój komputer został zainfekowany tym rootkitem, czego natychmiastowym objawem było

brak działania Norton Internet Security 2011.

Natychmiast zrobiłem skanowanie w OTL i otrzymałem takie logi:

Podstawowy log z OTL

http://wklej.org/id/606571/

Extras log z OTL

http://wklej.org/id/606572/

 

Czytając temat o tym rootkicie spodziewam się ciężkiej przeprawy ale może się z Waszą pomocą uda i nie będę zmuszony formatować dysku.

Nie ukrywam, że pytałem w tym temacie na innym forum, gdzie na początek kazano w Dummy Creator wkleić C:\WINDOWS\4205519094 i wygenerować log

a następnie po restarcie komputera użyć Kasperski TDSSKiller i jak coś wykryje użyć opcji Skip i pokazać raport.

Jako, że jestem obecnie w pracy jeszcze nic nie ruszałem. Za ok 1,5h będe w domu i zaczynam walkę.

 

Czy tak mam ją rozpocząć jak napisałem ?

Bardzo proszę o pomoc.

[picasso]

Rootkit jest tu bez wątpienia:

 

PRC - File not found -- C:\WINDOWS\4205519094:165630981.exe
 
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Program Files\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\Program Files\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - C:\Program Files\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - C:\Program Files\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - C:\Program Files\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000006 - C:\Program Files\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000007 - C:\Program Files\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000008 - C:\Program Files\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000009 - C:\Program Files\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000010 - C:\Program Files\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000011 - C:\Program Files\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000012 - C:\Program Files\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000013 - C:\Program Files\Bonjour\mdnsNSP.dll File not found
 
File not found -- C:\WINDOWS\System32\
File not found -- C:\WINDOWS\
[2011-10-12 00:28:37 | 000,000,000 | -HS- | M] () -- C:\WINDOWS\{2521BB91-29B1-4d7e-9137-AC9875D77735}
[2011-10-12 00:25:27 | 000,000,000 | ---- | M] () -- C:\WINDOWS\4205519094
[2011-10-12 00:23:04 | 000,000,000 | -HSD | C] -- C:\Documents and Settings\Krzysztof Pietruszka\Ustawienia lokalne\Dane aplikacji\f620abfa

 

Zmodyfikuję nieco instrukcję usuwania:

 

1. Rozpocznij od użycia ESET Win32/Sirefef Trojan remover i zresetuj komputer.

 

2. Następnie uruchom ComboFix i przedstaw wynikowy raport.

 

 

 

PS. Log z OTL zrobiony na ustawieniach z obcego forum. Kolejne logi będziesz wykonywał na podstawie tutejszych ustawień.

 

 

 

.

[Hajasz]

Czy Combofix mam uruchomić w trybie awaryjnym czy normalnie ?

[picasso]

Narzędzie ESET uruchom w Trybie normalnym, ComboFix też napocznij w takim trybie, ale przy trudnościach z nim przejdź w Tryb awaryjny.

[Hajasz]

Hmm zrobiłem tak ale Combofix nie pokazał żadnego loga (albo nie mogę go odnaleźć) pomimo, że parę rzeczy tam się działo.

[picasso]

Hmm zrobiłem tak ale Combofix nie pokazał żadnego loga (albo nie mogę go odnaleźć) pomimo, że parę rzeczy tam się działo.

 

A do którego etapu doszedł (który ekran był ostatnim) i czy jest na dysku plik C:\Combofix.txt i/lub C:\Qoobox\ComboFix-quarantined-files.txt?

 

 

.

[Hajasz]

Doszedł do 50 etapu potem jakieś pliki usuwał, utworzył Qoobox ale nie ma loga, nawet się nie pokazał.

[picasso]

Etap 50 to nie jest finalizacja pracy narzędzia, ComboFix musi dojść do ekranu na którym wyraźnie jest napisane, że jest generowany log i na tymże ekranie czeka się jeszcze kawałek czasu. Co się działo po etapie 50: narzędzie "wisi" tam, narzędzie samo się zamknęło, zamknąłeś okno narzędzia (czego nie należy robić)? Sprecyzuj to. I w którym trybie Windows ComboFix startował? Ponawiam: czy jest plik C:\Qoobox\ComboFix-quarantined-files.txt?

[Hajasz]

Po przejściu tego etapu Combofix zaczął usuwać jakieś pliki a następnie uruchomił ponownie komputer, który trochę czasu pracował coś tam robiąc ale nie pojawiło się okno, że już wszystko prawie gotowe ani nie pokazał się log.

Nie ma go też w folderze Qoobox w żadnym katalogu. Obecnie nic na komputerze się nie dzieje więc chyba już Combo przestał działać.

W Qoobox jest plik LogA bez rozszerzenia ale da się go podejrzeć w notatniku

[picasso]

Ponów jeszcze raz uruchomienie ComboFix i pozwól mu zatoczyć całą rundę. I dodaj także nowy log z OTL (przypominam: nic nie wklejać w oknie, log tworzony na warunkach z tutejszego opisu).

[Hajasz]

Po ponownym uruchomieniu Combofix pojawił się log.

Oto on:

http://wklej.org/id/606713/

 

A to nowy log z OTL

http://wklej.org/id/606719/

Extras

http://wklej.org/id/606720/

[picasso]

Konsekwentnie tworzysz log z OTL na innych warunkach, mówiłam wyraźnie: "nic nie wklejać w oknie, log tworzony na warunkach z tutejszego opisu". Wykonałeś (przestarzałe) instrukcje z innego forum. Swoją drogą oni powinni się w końcu obudzić i poprawić. ESET robił wstęp, wygląda iż zajmował się zainfekowanym sterownikiem ipsec.sys. ComboFix musiał wcześniej rzeczywiście usuwać (link symboliczny / pliki bez nazwy / plik {numeryczny}), bo zestaw rootkit wygląda na szczątkowy. Aktualna runda przeprowadziła następujące operacje:

 

(((((((((((((((((((((((((((((((((((((((   Usunięto   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\4205519094
.
c:\program files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe . . . jest zainfekowany!!
c:\program files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe . . . was deleted!! You should re-install the program it pertains to
.
c:\windows\system32\Ati2evxx.exe . . . jest zainfekowany!!
c:\windows\system32\Ati2evxx.exe . . . was deleted!! You should re-install the program it pertains to
.
c:\windows\system32\srvany.exe . . . jest zainfekowany!!
c:\windows\system32\srvany.exe . . . was deleted!! You should re-install the program it pertains to
.
c:\program files\TuneUp Utilities 2011\TuneUpUtilitiesService32.exe . . . jest zainfekowany!!
c:\program files\TuneUp Utilities 2011\TuneUpUtilitiesService32.exe . . . was deleted!! You should re-install the program it pertains to

 

Plik srvany.exe jest nieistotny i nie będzie tu odtwarzany, to crack Office i stanowi parę do pliku kmservice.exe (i to będzie likwidowane). Natomiast zostały wykryte jako zainfekowane pliki aplikacji TuneUp Utilities 2011 | Apple | ATI. Konsekwencje to ubytki:

 

SRV - File not found [Auto | Running] --  -- (TuneUp.UtilitiesSvc)
SRV - File not found [Auto | Running] --  -- (KMService)
SRV - File not found [Auto | Stopped] --  -- (Ati HotKey Poller)
SRV - File not found [Auto | Running] --  -- (Apple Mobile Device)

 

Sumarycznie: wygląda na to, że aktywność rootkit została wstrzymana i możemy się zająć innymi korektami. Po rootkicie zostały jeszcze drobnostki plus w ComboFix plik Ochrony plików Windows jawi się jako pozbawiony sygnatury i będę go podmieniać.

 

------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[-] 2008-05-08 . 9F02C1CF7C3100E4AEA7DD8B6A86A01B . 1571840 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll

 

 

---

1. Pobierz plik sfcfiles.dll w wersji XP SP3: KLIK. Plik wstaw do folderu C:\Tmp, gdyż taką ścieżkę uwzględniam w skrypcie.

 

2. Otwórz Notatnik i wklej w nim:

 

FCopy::
C:\Tmp\sfcfiles.dll | C:\Windows\system32\dllcache\sfcfiles.dll
C:\Tmp\sfcfiles.dll | C:\Windows\system32\sfcfiles.dll
 
Folder::
C:\Documents and Settings\Krzysztof Pietruszka\Ustawienia lokalne\Dane aplikacji\f620abfa
 
File::
C:\WINDOWS\System32\c_14651.nl_
C:\WINDOWS\System32\drivers\ipsec.sys.vir
C:\WINDOWS\kmservice.exe
 
Driver::
KMService
gupdate

 

Plik zapisz pod nazwą CFScript.txt. Przeciągnij go i upuść na ikonę ComboFixa.

 

 

3. Usuń poszkodowane aplikacje (wymagana pełna reinstalacja):

- Do usunięcia NIS skorzystaj z dedykowanego narzędzia Norton Removal Tool.

- Przeinstaluj aplikacje, których pliki zostały wykryte jako zainfekowane: TuneUp Utilities 2011 | Apple | ATI.

 

4. Wygeneruj do oceny nowy log OTL z opcji Skanuj (po raz trzeci powtarzam: nic nie wklejać w oknie). Dołącz także log, który powstanie w punkcie 2 z pracy ComboFix.

 

 

 

 

.

[Hajasz]

Po wykonaniu powyższych instrukcji tak prezentuje się log z Combofix

http://wklej.org/id/606755/

Czy po uruchomieniu OTL mam coś zmieniać w oryginalnych opcjach skanowania ?

[picasso]

Czy po uruchomieniu OTL mam coś zmieniać w oryginalnych opcjach skanowania ?

 

Hajasz, raczę zwrócić uwagę, że nie przeczytałeś chyba w ogóle tutejszych zasad działu i instrukcji uruchomienia OTL. Wszystko jest opisane. Skrót: wszystkie opcje na Użyj filtrowania, nic nie wklejać w spodnim polu.

 

Czekam na wykonanie dalszych zadań, oczywiście log z OTL ma być zrobiony po przeprowadzeniu deinstalacji uszkodzonych aplikacji.

 

 

.

[Hajasz]

Przepraszam mój błąd bo nie doczytałem o tym OTL już wszystko jasne. Pytanie jeszcze tylko w sprawie ATI przed uruchomieniem OTL. Czy całe sterowniki odinstalować i na nowo zainstalować czy może być reinstalka ?

[picasso]

Pytanie jeszcze tylko w sprawie ATI przed uruchomieniem OTL. Czy całe sterowniki odinstalować i na nowo zainstalować czy może być reinstalka ?

 

Nie trzeba przeładowywać całości w tak dokładny sposób, bo tu tylko jeden plik ATI Catalyst był poszkodowany. Wystarczy nakładkowe nadinstalowanie softu.

 

 

.

[Hajasz]

Przepraszam Picasso a ten Apple co jest poszkodowany to chodzi o iTunes ?

[picasso]

W Twoim logu od Apple jest:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{69995C7A-062A-4A90-A4DF-8C22895DF522}" = iTunes
"{789A5B64-9DD9-4BA5-915A-F0FC0A1B7BFE}" = Apple Software Update
"{B3575D00-27EF-49C2-B9E0-14B3D954E992}" = Apple Application Support
"{C23CD6DA-1958-43A5-ADD0-59396572E02E}" = Apple Mobile Device Support
"{C9E14402-3631-4182-B377-6B0DFB1C0339}" = QuickTime
"{D03482C5-9AD8-496D-B388-692AE04C93AF}" = Bonjour

 

ComboFix usuwał plik C:\Program files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe, czyli aplikacja do reinstalacji to Apple Mobile Device Support. Nie pamiętam już czy to się da przeinstalować pojedynczo czy jednak w ogólnej paczce. Ale wypróbuj tego: w Dodaj / Usuń Programy uruchom naprawę (a nie deinstalację), być może ubytek się odbuduje z cache Apple na dysku twardym.

 

 

.

[Hajasz]

Przeinstalowałem sterowniki ATI, zainstalowałem nowy Apple. Na razie jeszcze nie instalowałem NIS 2011 tylko go całkowicie usunąłem.

Teraz już poprawne logi z OTL

http://wklej.org/id/606817/

http://wklej.org/id/606818/

 

Czy jest jeszcze coś do zrobienia ?

[picasso]

Sprawa infekcji ZeroAccess wygląda na załatwioną. Jeszcze te pliki mnie zastanawiają, nie wiem co o nich sądzić:

 

[2008-04-14 22:50:58 | 000,020,480 | ---- | C] () -- C:\WINDOWS\System32\mssockcc.dll

[2008-04-14 22:50:58 | 000,020,480 | ---- | C] () -- C:\WINDOWS\System32\msfontshg.dll

[2008-04-14 22:50:58 | 000,007,472 | ---- | C] () -- C:\WINDOWS\System32\wpnte.dll

[2008-04-14 22:50:58 | 000,007,462 | ---- | C] () -- C:\WINDOWS\System32\wyjnt.dll

 

Przeinstalowałem sterowniki ATI, zainstalowałem nowy Apple. Na razie jeszcze nie instalowałem NIS 2011 tylko go całkowicie usunąłem.

Z NIS tak jak w zamiarze tu było, instalacja tego pakietu idzie na sam koniec. Ale ominąłeś TuneUp, nadal jest uszczerbek:

 

SRV - File not found [Auto | Stopped] -- -- (TuneUp.UtilitiesSvc)

 

Prócz w/w reinstalacji TuneUp:

 

1. Drobna poprawka do OTL adresująca puste wpisy oraz czyszczenie lokalizacji tymczasowych. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O3 - HKU\S-1-5-21-507921405-746137067-1606980848-1003\..\Toolbar\WebBrowser: (no name) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - No CLSID value found.
O3 - HKU\S-1-5-21-507921405-746137067-1606980848-1003\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
O8 - Extra context menu item: Append Link Target to Existing PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html File not found
O8 - Extra context menu item: Konwertuj do Adobe PDF - Reg Error: Value error. File not found
O8 - Extra context menu item: Konwertuj miejsce docelowe łącza do Adobe PDF - Reg Error: Value error. File not found
O8 - Extra context menu item: Konwertuj miejsce docelowe łącza do istniejącego pliku PDF - Reg Error: Value error. File not found
O8 - Extra context menu item: Konwertuj wybrane łącza do Adobe PDF - Reg Error: Value error. File not found
O8 - Extra context menu item: Konwertuj zaznaczenie do Adobe PDF - Reg Error: Value error. File not found
O8 - Extra context menu item: Konwertuj zaznaczenie do istniejącego pliku PDF - Reg Error: Value error. File not found
O8 - Extra context menu item: 使用快车3下载 - C:\Documents and Settings\Krzysztof Pietruszka\Dane aplikacji\FlashGetBHO\GetUrl.htm File not found
O8 - Extra context menu item: 使用快车3下载全部链接 - C:\Documents and Settings\Krzysztof Pietruszka\Dane aplikacji\FlashGetBHO\GetAllUrl.htm File not found
O9 - Extra Button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\Krzysztof Pietruszka\Menu Start\Programy\IMVU\Run IMVU.lnk File not found
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab (Reg Error: Key error.)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
FF - HKLM\Software\MozillaPlugins\@docu-track.com/PDF-XChange Viewer Plugin,version=1.0,application/pdf: File not found
FF - HKLM\Software\MozillaPlugins\@nosltd.com/getPlus+®,version=1.6.2.91: C:\Program Files\NOS\bin\np_gp.dll File not found
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=8: File not found
 
:Commands
[emptyflash]
[emptytemp]

 

Rozpocznij przez Wykonaj skrypt. System zostanie zrestartowany.

 

2. Odinstaluj w prawidłowy sposób ComboFix, co wyczyści też foldery Przywracania systemu. W Start > Uruchom > wklej komendę D:\ComboFix.exe /uninstall.

 

3. W OTL uruchom Sprzątanie, które w zamiarze ma usunąć z kolei składniki OTL.

 

4. Wykonaj pełny skan za pomocą Kaspersky Virus Removal Tool. Przedstaw raport, jeśli coś infekcyjnego się znajdzie. Wyniki OK / Archive / Packed / Password Protected mnie nie interesują.

 

 

 

.

[Hajasz]

Punkty 1-3 wykonane.

Kasperski się ściąga i za chwilę go uruchomię.

Co do TuneUp to sprawa była taka, że nie chciał się do końca odinstalować.

W końcu niby się odinstalował ale zauważyłem, że pozostał katalog z jakimiś plikami, który usunąłem ręcznie.

Na razie ponownie go nie instalowałem.

A sprawa tych czterech plików ? Uważa Pan, że to coś podejrzanego ?

A nie będzie problemów potem z odinstalowaniem tego Kasperskiego ?

[picasso]

Co do TuneUp to sprawa była taka, że nie chciał się do końca odinstalować.

W końcu niby się odinstalował ale zauważyłem, że pozostał katalog z jakimiś plikami, który usunąłem ręcznie.

Na razie ponownie go nie instalowałem.

 

Na potem reinstalacja.

 

 

A sprawa tych czterech plików ?

 

Owszem, uważam że pliki wyglądają podejrzane, ale jak widzisz tu jest planowane skanowanie Kasperskym jeszcze, i zobaczymy czy na nie zareaguje.

 

 

A nie będzie problemów potem z odinstalowaniem tego Kasperskiego ?

 

To jest jednorazówka. Skaner skrojony / obcięty i przystosowany do awaryjnego pobytu na dysku. Na dodatek się sam deinstaluje, jeśli narzędzie zostanie zamknięte.

 

 

Uważa Pan, że to coś podejrzanego ?

 

Toczymy rozmowę już tak długo, wnioski: nie czytasz uważnie . Ja jestem kobietą.

 

 

 

.

[Hajasz]

Kasperski poskanował sobie i oto co znalazł

http://wklej.org/id/606862/

Na razie dawałem skip przy tych plikach.

 

Bardzo przepraszam Panią ale to jest internet i nie wiadomo z jaką płcią się rozmawia zwłaszcza jak ma nick Picasso.

[picasso]

1. To plik systemowy i nie wolno go usuwać, musi być poddany leczeniu (Cure). Spróbuj to zrobić za pomocą Kasperskiego.

 

2. Coś zbyt szybki ten skan Kasperskym .... Wejdź do konfiguracji skanera i zaznacz skanowanie całego dysku.

 

 

Bardzo przepraszam Panią ale to jest internet i nie wiadomo z jaką płcią się rozmawia zwłaszcza jak ma nick Picasso.

 

Wnioski o nieuwadze w czytaniu podtrzymuję.

 

Konsekwentnie tworzysz log z OTL na innych warunkach, mówiłam wyraźnie

 

A tak poza tym to w profilu jest ustawiona przecież płeć.

 

 

 

.

[Hajasz]

Kasperski ma problem. Nie potrafi wyleczyć tego pliku, proponuje tylko usunięcie albo pominięcie.