Skocz do zawartości

Skaner MBAM wykrył 3 rootkity Zeroaccess


Rekomendowane odpowiedzi

Witam,

przeczytałem przyklejony wpis: "zakładanie tematu"

i trochę się obawiam, czy admin mnie nie pogoni.

Dlaczego? Bo nie zauwazyłem, by mój system się sypał, czy w jakiś dziwny sposób zachowywał, jak dotychczas, więc może nie jest spełniony podstawowy warunek założenia tutaj nowego tematu.

Jeżeli tak, to proszę wykasować mój temat.

Trochę poczytałem o zeroaccess i nie mam pewności na pewno czy komputer jest czysty, pomimo że MBAM usunął owe rootkity - przynajmniej tak zakomunikował.

Oto log z MBAM:

 

Malwarebytes Anti-Malware 1.60.1.1000

www.malwarebytes.org

 

Wersja bazy: v2012.02.06.01

 

Windows XP Service Pack 3 x86 NTFS

Internet Explorer 8.0.6001.18702

Admin :: TOMASZ [administrator]

 

2012-02-06 09:52:59

mbam-log-2012-02-06 (09-52-59).txt

 

Typ skanowania: Pełne skanowanie

Zaznaczone opcje skanowania: Pamięć | Rozruch | Rejestr | System plików | Heurystyka/Dodatkowe | Heuristyka/Shuriken | PUP | PUM | P2P

Odznaczone opcje skanowania:

Przeskanowano obiektów: 223293

Upłynęło: 19 minut(y), 26 sekund(y)

 

Wykrytych procesów w pamięci: 0

(Nie znaleziono zagrożeń)

 

Wykrytych modułów w pamięci: 0

(Nie znaleziono zagrożeń)

 

Wykrytych kluczy rejestru: 0

(Nie znaleziono zagrożeń)

 

Wykrytych wartości rejestru: 0

(Nie znaleziono zagrożeń)

 

Wykryte wpisy rejestru systemowego: 0

(Nie znaleziono zagrożeń)

 

wykrytych folderów: 0

(Nie znaleziono zagrożeń)

 

Wykrytych plików: 3

C:\Documents and Settings\Administrator\Ustawienia lokalne\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb (Rootkit.Zeroaccess) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.

C:\Documents and Settings\LocalService\Ustawienia lokalne\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb (Rootkit.Zeroaccess) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.

C:\Documents and Settings\NetworkService\Ustawienia lokalne\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb (Rootkit.Zeroaccess) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.

 

(zakończone)

=================================

 

Czy mogę uznać na podstawie powyższego logu, że mój komputer nie wymaga dodatkowej diagnostyki?

Przeskanowałem również cały komputer Avirą i nic po MBAM nie wykryła.

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
Dlaczego? Bo nie zauwazyłem, by mój system się sypał, czy w jakiś dziwny sposób zachowywał, jak dotychczas, więc może nie jest spełniony podstawowy warunek założenia tutaj nowego tematu.

 

To nie jest powód dla którego omija się tworzenie logów.

 

 

Trochę poczytałem o zeroaccess i nie mam pewności na pewno czy komputer jest czysty, pomimo że MBAM usunął owe rootkity - przynajmniej tak zakomunikował.

 

To na pewno są składniki ZeroAccess. Możliwe, że to stare szczątki w Tempach kiedyś tam nie doczyszczone lub nastąpiło tylko "pobranie" a nie "wykonanie". Przeczyść zbiorczo pliki tymczasowe za pomocą TFC - Temp Cleaner.

 

 

 

.

Odnośnik do komentarza
Na razie nie czyszczę za pomocą TFC.

 

A to dlaczego? To była rzecz do wykonania od ręki. Ale owszem możesz to opuścić, zrobię to zbiorczo, bo tu mamy co czyścić:

 

I widzisz, logi jednak istotne, niezależnie od tego co Ci się wydaje. W systemie jest więcej śladów ZeroAccess. Musiałeś mieć tę infekcję i nie wyczyścić tego za dobrze. GMER pokazuje zablokowany przez uprawnienia reparse point rootkita:

 

---- Files - GMER 1.0.15 ----

 

File C:\WINDOWS\$NtUninstallKB57294$\317862595 0 bytes

File C:\WINDOWS\$NtUninstallKB57294$\317862595\@ 2048 bytes

File C:\WINDOWS\$NtUninstallKB57294$\317862595\click.tlb 2144 bytes

File C:\WINDOWS\$NtUninstallKB57294$\317862595\L 0 bytes

File C:\WINDOWS\$NtUninstallKB57294$\317862595\L\bziadtav 62976 bytes

File C:\WINDOWS\$NtUninstallKB57294$\317862595\loader.tlb 2540 bytes

File C:\WINDOWS\$NtUninstallKB57294$\317862595\U 0 bytes

File C:\WINDOWS\$NtUninstallKB57294$\317862595\U\@00000001 45968 bytes

File C:\WINDOWS\$NtUninstallKB57294$\317862595\U\@000000c0 3584 bytes

File C:\WINDOWS\$NtUninstallKB57294$\317862595\U\@000000cb 3072 bytes

File C:\WINDOWS\$NtUninstallKB57294$\317862595\U\@000000cf 1536 bytes

File C:\WINDOWS\$NtUninstallKB57294$\317862595\U\@80000000 26112 bytes

File C:\WINDOWS\$NtUninstallKB57294$\317862595\U\@800000c0 35840 bytes

File C:\WINDOWS\$NtUninstallKB57294$\317862595\U\@800000cb 27648 bytes

File C:\WINDOWS\$NtUninstallKB57294$\317862595\U\@800000cf 27648 bytes

File C:\WINDOWS\$NtUninstallKB57294$\589441654 0 bytes

 

Jest także naruszony przez rootkita Winsock:

 

O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - %SystemRoot%\System32\mswsock.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - %SystemRoot%\System32\mswsock.dll File not found

 

 

 

1. Uruchom GrantPerms i w oknie wklej:

 

C:\WINDOWS\$NtUninstallKB57294$

 

Klik w Unlock.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files

fsutil reparsepoint delete C:\WINDOWS\$NtUninstallKB57294$ /C

rd /s /q C:\WINDOWS\$NtUninstallKB57294$ /C

netsh winsock reset /C

 

:OTL

O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} "http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab" (Reg Error: Key error.)

O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab" (Reg Error: Key error.)

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.)

 

:Reg

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

"C:\Program Files\SopCast\adv\SopAdver.exe"=-

"C:\WINDOWS\explorer.exe"=-

 

:Commands

[emptytemp]

 

Klik w Wykonaj skrypt. System zostanie zrestartowany.

 

3. Dziennik zdarzeń dręczy błędy uszkodzeń sterownika SPTD od napędów wirtualnych:

 

Error - 2012-02-06 12:51:02 | Computer Name = TOMASZ | Source = sptd | ID = 262148

Description = Sterownik wykrył błąd wewnętrzny w swoich strukturach danych dla .

 

Error - 2012-02-06 12:52:32 | Computer Name = TOMASZ | Source = Service Control Manager | ID = 7026

Description = Nie można załadować następujących sterowników startu rozruchowego

lub systemowego: sptd

 

Odinstaluj go posiłkując się narzędziem SPTDinst.

 

4. Do oceny: log z wynikami usuwania pozyskany w punkcie 2 oraz nowe logi z OTL i GMER.

 

 

 

.

Odnośnik do komentarza

Wszystko zrobię jutro, bo młody ma robotę na kompie. Mam jednak pytania:

komp na teraz jest bezpieczny, ale coś pozostało po starych infekcjach, w sensie trzeba posprzątać śmieci?

alcohol 52% już od dawna nie mam, a po uruchomieniu tego sptdinst nie widać sterownika spdt, tzn mogę zainstalować, a przycisk uninstall jest nieaktywny - to już sprawdziłem zanim napisałem pierwszy post. podejrzewam, że plik spdt.sys jest uszkodzony - kilka miesięcy temu miałem infekcję z BSOD włacznie i pamiętam, że były jakieś komunikaty odnośnie spdt. w każdym razie wówczas włożyłem płytę z systemem i skorzystałem z opcji 'napraw', co załatwiło sprawę. dzisiaj szukałem spdt specjalnie, bo przeczytałem o tych wirtualnych napędach, by usunąć przed generacją logów - i ten plik nadal jest na kompie. sumując, odinstalować się go dzisiaj nie dało za pomocą spdtinst, jak wspomniałem wyżej.

 

sorry, trochę chaotycznie, ale nie rozumiem tego zdania:

"GMER pokazuje zablokowany przez uprawnienia reparse point rootkita:"

 

czy to ma jakiś związek z plikami deinstalacyjnymi aktualizacji windowsa?

bo jeśli tak, to przyznaję od razu, że korzystam z ccleaner i usuwam deinstalatory hotfiix

Odnośnik do komentarza
komp na teraz jest bezpieczny, ale coś pozostało po starych infekcjach, w sensie trzeba posprzątać śmieci?

 

To właśnie mówię: infekcji czynnej nie ma, ale są po niej odpadki / szkody, które adresuję w instrukcjach podanych wyżej.

 

 

alcohol 52% już od dawna nie mam, a po uruchomieniu tego sptdinst nie widać go, tzn mogę zainstalować, a przycisk uninstall jest nieaktywny - to już sprawdziłem zanim napisałem pierwszy post.

 

Czyli narzędzie nie widzi tego martwego sterownika, on jest (i tworzy błędy w systemie):

 

DRV - [2011-10-03 10:12:44 | 000,428,088 | ---- | M] (Duplex Secure Ltd.) [Kernel | Boot | Stopped] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd)

 

Wymagana ręczna interwencja wg kroków:

 

1. Uruchom program MiniRegTool. W oknie wklej:

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\cfg
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd

 

Zaznacz opcję Delete Keys/Values including Locked/Null embedded i klik w Go.

 

2. Na koniec skasuj z dysku plik C:\WINDOWS\System32\Drivers\sptd.sys.

 

 

 

.

Odnośnik do komentarza
sorry, trochę chaotycznie, ale nie rozumiem tego zdania:

"GMER pokazuje zablokowany przez uprawnienia reparse point rootkita:"

 

czy to ma jakiś związek z plikami deinstalacyjnymi aktualizacji windowsa?

bo jeśli tak, to przyznaję od razu, że korzystam z ccleaner i usuwam deinstalatory hotfiix

 

Jasno powiedziałam: to jest reparse point rootkita (reparse point = łącze symboliczne NTFS). Przyjrzyj się uważnie na to co GMER pokazuje jako zawartość. Nie ma ten obiekt żadnego związku z aktualizacjami. Nazwa symuluje te dolarowe foldery od hotfixów, ale to nie jest obiekt od aktualizacji (!). Pokazuje się w GMER, bo jest zablokowany na bazie uprawnień. By to usunąć, są wymagane aż trzy akcje: odblokowanie uprawnień (GrantPerms), zdjęcie łącza przemieniające to coś w tradycyjny folder (komenda fsutil w skrypcie) i finalna kasacja folderu.

 

 

a czyszczenie za pomocą TFC zrobić na końcu, czy kiedykolwiek?

 

Przecież mówiłam:

 

Ale owszem możesz to opuścić, zrobię to zbiorczo, bo tu mamy co czyścić:

 

I popatrz uważnie na skrypt do OTL ... Komenda [emptytemp] robi dokładnie to samo co TFC. Autorem obu programów jest ten sam człowiek.

 

 

 

.

Odnośnik do komentarza

Zrobiłem w kolejności:

- użyłem grantperms

- użyłem OTL by wykonać skrypt

- użyłem miniregtool

- usunąłem spdt.sys

- uzyłem OTL i GMER do raportów

 

zauważyłem:

w OTL jest zaptaszkowana domyślnie opcja: pomiń znane dobre pliki - tak zostawiłem

spdt.sys usunięte, ale znalazłem coś takiego: SPTDINST-V180-X86.EXE-28AAEF60.pf w \Prefetch

 

jak będzie OK w raportach, mogę usunąć wszystkie narzędzia, które używałem i wypakowywałem na Pulpit - ręcznie?

OTL.Txt

Extras.Txt

gmer.txt

Odnośnik do komentarza

Nie podałeś loga z usuwania. Ale już go nie potrzebuję, odczyty z raportów końcowych wskazują na pomyślne wykonanie zadania (w OTL zniknął odczyt z naruszonym Winsock i pewne autoryzacje w zaporze, w GMER już nie pokazuje się łącze symboliczne).

 

 

spdt.sys usunięte, ale znalazłem coś takiego: SPTDINST-V180-X86.EXE-28AAEF60.pf w \Prefetch

 

Bez związku. W Prefetch to jest skrót związany z optymalizacją defragmentacyjną i to skrót od deinstalatora SPTDinst. Możesz ten plik usunąć z kosmetycznego punktu widzenia, ale to nie przyniesie żadnych benefitów.

 

 

jak będzie OK w raportach, mogę usunąć wszystkie narzędzia, które używałem i wypakowywałem na Pulpit - ręcznie?

 

W OTL użyj Sprzątanie (to likwiduje z dysku OTL wraz z jego kwarantanną, choć tu akurat kwarantanna praktycznie zerowa, bo główne akcje za pomocą komend cmd). Resztę narzędzi możesz usunąć ręcznie. Na koniec wyczyść foldery Przywracania systemu (KLIK) i wykonaj drobne aktualizacje (KLIK).

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F83216013FF}" = Java™ 6 Update 22

"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX

"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin

 

Masz starą Java i wtyczkę Adobe Flash w IE.

 

 

 

.

Odnośnik do komentarza

Chyba ostatnia sprawa - wlączyłem aktualizacje automatyczne, usługa włączona [sprawdziłem] - ale windows nic nie pobiera, dziwne, bo na drugim kompie pobrał mi jedną poprawkę po włączeniu aktualizacji. Mam zwyczaj włączać co jakiś czas aktualizacje, ale normalnie je wyłączam, włącznie z usługą - robię tak na obu kompach. Zrozumiałem, że wykryłaś brak jakiś aktualizacji dla windowsa, nie licząć java, abobe flash player dla IE.

Odnośnik do komentarza
Chyba ostatnia sprawa - wlączyłem aktualizacje automatyczne, usługa włączona [sprawdziłem] - ale windows nic nie pobiera, dziwne, bo na drugim kompie pobrał mi jedną poprawkę po włączeniu aktualizacji.

 

Czy po wejściu bezpośrednio na stronę Windows Update wykrywa ona jakieś nowe aktualizacje pod ten system?

 

 

Zrozumiałem, że wykryłaś brak jakiś aktualizacji dla windowsa, nie licząć java, abobe flash player dla IE.

 

Jakim sposobem miałabym to wykryć? OTL nie jest specjalizowany pod kątem szczegółów aktualizacyjnych z precyzją "do ostatniej łaty", mogę jedynie stwierdzić, czy jest SP3 i IE8, a co potem to już nie. Punktowałam tylko to co jest jawnie widoczne, czyli aplikacje.

 

 

.

Odnośnik do komentarza
Czy po wejściu bezpośrednio na stronę Windows Update wykrywa ona jakieś nowe aktualizacje pod ten system?

Tak, wykrywa, ale tylko opcjonalne, a nie krytyczne, więc się wyjaśniło.

 

 

Jakim sposobem miałabym to wykryć? OTL nie jest specjalizowany pod kątem szczegółów aktualizacyjnych z precyzją "do ostatniej łaty", mogę jedynie stwierdzić, czy jest SP3 i IE8, a co potem to już nie. Punktowałam tylko to co jest jawnie widoczne, czyli aplikacje

Żle zrozumiałem w takim razie twoje:

"Na koniec wyczyść foldery Przywracania systemu i wykonaj drobne aktualizacje."

Myślalem, że chodzi o aktualizacje windowsa.

Myślę, że to wszystko. Bardzo Ci dziękuję za pomoc i czas.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...