Rootkit zeroaccess i brak dostepu do sieci

[patt2]

Witam,

 

Problem dotyczy Win7 32bit. System działał bez żadnej ochrony antywirusowej, po skanie mbmem zlokalizowałem kilka zagrożeń (log) - nie działa dhcp i dns. Przy pomocy manula przywróciłem funkcjonalność zapory windows, wstały aktualizacje ale próba instalacji sp1 nie powiodła się. Próbowałem przeinstalować tcpip ale nie do końca przyniosło to porządany skutek.. Po uzyskaniu połączenia mbam blokuje C:\windows\System32\nssvcmgr.dll, sf.dll oraz vsmon.dll //rootkit0acces - co mówi mi, że to cholerstwo jeszcze siedzi w kompie.

 

Próśba o pomoc gdyż średnio sobie radzę.

 

Pozdrawiam

Extras.Txt

OTL.Txt

gm.txt

mbam-log-2012-02-07 (17-43-51).txt

[picasso]

GMER sugeruje czynnego rootkita, są: podejrzane wątki, sterownik TrendMicro tmlwf.sys ze statusem "suspicious PE modification" i reparse point w postaci symulowanego folderu $NtUninstallKB31023$. Na tę infekcję dobieram cięższą artylerię. Pobierz i uruchom zgodnie ze wskazówkami ComboFix. Przedstaw wynikowy raport.

 

 

 

.

[patt2]

Gotowe.

 

Czy wg Ciebie TrendMicro będzie jeszcze spełniał swoją rolę - czy lepiej zastąpić go czymś darmowym?

combolog.txt

[picasso]

ComboFix usunął łącze symboliczne rootkita oraz dodane przez niego pliki, ale nie ma tu żadnego odniesienia do sterownika TrendMicro, który w GMER prezentował się podejrzanie, jako przypuszczalnie zainfekowany. Nie mam żadnego zaufania do aplikacji w tym momencie, w rozumieniu, że może być nośnikiem infekcji jako takiej.

 

1. Odinstaluj ten TrendMicro, najlepiej byłoby to zrobić z poziomu Trybu awaryjnego Windows, ale nie jestem pewna czy to będzie możliwe. Jeżeli TrendMicro chodzi na Instalatorze Windows, to ten domyślnie nie jest czynny w awaryjnym.

 

2. Napraw wartość NetSvcs. Otwórz Notatnik i wklej w nim domyślną postać z Windows 7:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost]
"netsvcs"=hex(7):41,00,65,00,4c,00,6f,00,6f,00,6b,00,75,00,70,00,53,00,76,00,\
  63,00,00,00,43,00,65,00,72,00,74,00,50,00,72,00,6f,00,70,00,53,00,76,00,63,\
  00,00,00,53,00,43,00,50,00,6f,00,6c,00,69,00,63,00,79,00,53,00,76,00,63,00,\
  00,00,6c,00,61,00,6e,00,6d,00,61,00,6e,00,73,00,65,00,72,00,76,00,65,00,72,\
  00,00,00,67,00,70,00,73,00,76,00,63,00,00,00,49,00,4b,00,45,00,45,00,58,00,\
  54,00,00,00,41,00,75,00,64,00,69,00,6f,00,53,00,72,00,76,00,00,00,46,00,61,\
  00,73,00,74,00,55,00,73,00,65,00,72,00,53,00,77,00,69,00,74,00,63,00,68,00,\
  69,00,6e,00,67,00,43,00,6f,00,6d,00,70,00,61,00,74,00,69,00,62,00,69,00,6c,\
  00,69,00,74,00,79,00,00,00,49,00,61,00,73,00,00,00,49,00,72,00,6d,00,6f,00,\
  6e,00,00,00,4e,00,6c,00,61,00,00,00,4e,00,74,00,6d,00,73,00,73,00,76,00,63,\
  00,00,00,4e,00,57,00,43,00,57,00,6f,00,72,00,6b,00,73,00,74,00,61,00,74,00,\
  69,00,6f,00,6e,00,00,00,4e,00,77,00,73,00,61,00,70,00,61,00,67,00,65,00,6e,\
  00,74,00,00,00,52,00,61,00,73,00,61,00,75,00,74,00,6f,00,00,00,52,00,61,00,\
  73,00,6d,00,61,00,6e,00,00,00,52,00,65,00,6d,00,6f,00,74,00,65,00,61,00,63,\
  00,63,00,65,00,73,00,73,00,00,00,53,00,45,00,4e,00,53,00,00,00,53,00,68,00,\
  61,00,72,00,65,00,64,00,61,00,63,00,63,00,65,00,73,00,73,00,00,00,53,00,52,\
  00,53,00,65,00,72,00,76,00,69,00,63,00,65,00,00,00,54,00,61,00,70,00,69,00,\
  73,00,72,00,76,00,00,00,57,00,6d,00,69,00,00,00,57,00,6d,00,64,00,6d,00,50,\
  00,6d,00,53,00,70,00,00,00,54,00,65,00,72,00,6d,00,53,00,65,00,72,00,76,00,\
  69,00,63,00,65,00,00,00,77,00,75,00,61,00,75,00,73,00,65,00,72,00,76,00,00,\
  00,42,00,49,00,54,00,53,00,00,00,53,00,68,00,65,00,6c,00,6c,00,48,00,57,00,\
  44,00,65,00,74,00,65,00,63,00,74,00,69,00,6f,00,6e,00,00,00,4c,00,6f,00,67,\
  00,6f,00,6e,00,48,00,6f,00,75,00,72,00,73,00,00,00,50,00,43,00,41,00,75,00,\
  64,00,69,00,74,00,00,00,68,00,65,00,6c,00,70,00,73,00,76,00,63,00,00,00,75,\
  00,70,00,6c,00,6f,00,61,00,64,00,6d,00,67,00,72,00,00,00,69,00,70,00,68,00,\
  6c,00,70,00,73,00,76,00,63,00,00,00,73,00,65,00,63,00,6c,00,6f,00,67,00,6f,\
  00,6e,00,00,00,41,00,70,00,70,00,49,00,6e,00,66,00,6f,00,00,00,6d,00,73,00,\
  69,00,73,00,63,00,73,00,69,00,00,00,4d,00,4d,00,43,00,53,00,53,00,00,00,77,\
  00,65,00,72,00,63,00,70,00,6c,00,73,00,75,00,70,00,70,00,6f,00,72,00,74,00,\
  00,00,45,00,61,00,70,00,48,00,6f,00,73,00,74,00,00,00,50,00,72,00,6f,00,66,\
  00,53,00,76,00,63,00,00,00,73,00,63,00,68,00,65,00,64,00,75,00,6c,00,65,00,\
  00,00,68,00,6b,00,6d,00,73,00,76,00,63,00,00,00,53,00,65,00,73,00,73,00,69,\
  00,6f,00,6e,00,45,00,6e,00,76,00,00,00,77,00,69,00,6e,00,6d,00,67,00,6d,00,\
  74,00,00,00,62,00,72,00,6f,00,77,00,73,00,65,00,72,00,00,00,54,00,68,00,65,\
  00,6d,00,65,00,73,00,00,00,42,00,44,00,45,00,53,00,56,00,43,00,00,00,41,00,\
  70,00,70,00,4d,00,67,00,6d,00,74,00,00,00,00,00

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku opcja Scal

 

3. Uruchom ponownie ComboFix.

 

4. Zaprezentuj raport z pracy ComboFix oraz nowy log z GMER.

 

 

 

.

[patt2]

Ok, usunąłem Trend Micro, zastsowałem fix'a oraz w międzyczasie zainstalowałem sp1

 

logi:

 

Baaaaardzo dziękuję za dzisiejszą pomoc. Wznawiam walkę od jutra,

Pozdrawiam.

combolog2.txt

gmer2.txt

Edytowane 7 Lutego 2012 przez patt2

[picasso]

W GMER ustąpiły poprzednio widzialne czynności. W ComboFix również lepsze widoki po naprawie NetSvcs, dokasuj ręcznie te dwa:

 

2012-01-16 19:31 . 2012-01-16 19:31	--------	d-sh--w-	c:\windows\system32\%APPDATA%
2012-01-16 19:12 . 2012-02-07 19:59	0	--sha-w-	c:\windows\system32\dds_log_trash.cmd

 

Usuwanie TrendMicro zdaje się mieć subtelne smugi za sobą, w GMER widzę bowiem podpięty sterownik tmtdi.sys (możliwe jednak, że po restarcie już null), a także ComboFix pokazuje ciągle rejestrację aplikacji w Centrum Akcji i to ma kwalifikację do: KLIK. Typy kwerend i identyfikatory na tacy:

 

AV: Trend Micro Client/Server Security Agent *Disabled/Updated* {68F968AC-2AA0-091D-848C-803E83E35902}
FW: Trend Micro Personal Firewall *Disabled* {70A91CD9-303D-A217-A80E-6DEE136EDB2B}
SP: Anti-spyware de Trend Micro Client/Server Security Agent *Disabled/Updated* {D3988948-0C9A-0693-BE3C-BB4CF86413BF}

 

Nakładałeś szczęśliwie pakiet SP1, ale nie widzę żadnych adnotacji o stanie sieci. Ustosunkuj się konkretnie do tego co jeszcze zdaje się nie działać prawidłowo.

 

 

 

.

[patt2]

Niestety w chwili obecnej mam jedynie mobilny dostęp do sieci. Z racji tego, że nie mam oprogramowania antywirusowego, nie chcę się niepotrzebnie narażać.

Po pracy zmontuję dhcp do celów testeowych, zainstaluję av, oraz zaaplikuję rozwiązania.

 

Dziekuję.

[picasso]

Nie jestem pewna czy dobrze rozumiem. Czy nadal w tym systemie występują szkody po rootkicie? A gdy ukończysz zadania podane jako ostatnie, zadam jeszcze końcowe porządki.

 

 

.

[patt2]

Nie jestem pewna czy dobrze rozumiem. Czy nadal w tym systemie występują szkody po rootkicie? A gdy ukończysz zadania podane jako ostatnie, zadam jeszcze końcowe porządki. .

 

Ok, usunąłem wpisy Trend Micro zgodnie z instrukcją.

Jest dużo lepiej - tzn mogę nawiązywać połączenia z siecią przeglądać strony ale nie działają aktualizacje wu oraz mse, które to zainstalowałem przed połączeniem z internetem. Mam wrażenie, że coś blokuje część ruchu - może mbam, lub jakieś pozostałości po 0access ?

[picasso]

1. Odinstaluj w prawidłowy sposób ComboFix, co także czyści foldery Przywracania systemu, klawisz z flagą Windows + R i w Uruchom wklej:

 

E:\ComboFix.exe /uninstall

 

2. Przeskanuj system za pomocą Kaspersky Virus Removal Tool. Zaznacz wszystkie obszary do skanu. Przedstaw fragment raportu z wykrytymi zagrożeniami, o ile będą.

 

 

ale nie działają aktualizacje wu oraz mse, które to zainstalowałem przed połączeniem z internetem. Mam wrażenie, że coś blokuje część ruchu - może mbam, lub jakieś pozostałości po 0access ?

 

Ale jak to się objawia, jaki błąd? Tylko mi nie mów, że to kod 80096001 (KLIK), bo to będzie problem ... Tylko raz udało mi się to zwalczyć po ZeroAccess, i do dziś nie wiem która z operacji była za to odpowiedzialna, gdyż w dwóch pozostałych przypadkach te same kroki nie działają...

 

 

.

[patt2]

 

Ale jak to się objawia, jaki błąd? Tylko mi nie mów, że to kod 80096001 (KLIK), bo to będzie problem ... Tylko raz udało mi się to zwalczyć po ZeroAccess, i do dziś nie wiem która z operacji była za to odpowiedzialna, gdyż w dwóch pozostałych przypadkach te same kroki nie działają...

 

 

Hmm.. Mam nadzieję, że aż tak źle nie będzie. W moim przypadku jest błąd 80200010, który wskazuje na nieaktywną usługe transferu bits. Sprawdziłem to jako pierwszy punkt przy problemie z wu, bo przypadłość męczyła mnie w przeszłości na win xp - service oczywiście działa, jest do niego dostęp, zresetowałem nadal bz. Na wszelki wypadek pozbyłem się msse ale to też nie wiele dało niestety.

 

Ściągam kasperskiego - dam znać jak się sprawy mają.

[picasso]

Już się spociłam.

 

W moim przypadku jest błąd 80200010, który wskazuje na nieaktywną usługe transferu bits.

 

Widziałam relatywne błędy na początku w Dzienniku zdarzeń:

 

Error - 2012-02-05 19:05:23 | Computer Name = user-PC | Source = Microsoft-Windows-Bits-Client | ID = 16392
Description = Uruchomienie usługi BITS nie powiodło się. Błąd 2147952450.
 
Error - 2012-02-05 19:05:23 | Computer Name = user-PC | Source = Service Control Manager | ID = 7024
Description = Usługa Usługa inteligentnego transferu w tle zakończyła działanie;
 wystąpił specyficzny dla niej błąd %%-2147014846.

 

Z tego co mówisz usługa działa w services.msc, czyli ma stan "Uruchomiono"? Czy na pewno? Błędy z Dziennika zdarzeń to wykluczają, no chyba, że nastąpiły tu zmiany w międzyczasie.

 

1. Wypróbuj narzędzia Fix-it Microsoftu do resetu Windows Update: KLIK.

 

2. Wykonaj weryfikację plików systemowych komendą sfc /scannow, za pomocą kolejnej komendy zrób log filtrowany do znaczników [sR] i przedstaw wynikowy log: KLIK.

 

 

 

.

[patt2]

Tak sprawdzałem stan usług w konsoli services.msc, bits miał/ma status uruchomiony.

Logi, które prezentujesz też "mówią prawdę" - tzn do skanu combo fixem bodajże, wu nie działał. Po pierwszym skanie combo fixem, aktualizacje ruszyły i udało mi się zainstalować sp1, ie9 etc. Później nie sprawdzałem, gdyż bez ochrony antywirusowej nie chciałem łączyc się z siecią. Wcześniej naprawiłem niedziałającą zaporę i wykonałem sfc scan (btw xp potrzebował do tego płytki z systemem - skąd w7 w takim razie bierze oryginalne pliki systemowe?). Grzebałem też przy protokole tcpip, muszę na spokojnie przejrzeć czy gdzieś nie przedobrzyłem.

 

Kasperski skanuje a działam dalej.

 

 

********EDIT*********

 

No niestety. Kaspersky znalazł jedynie vulenrabity w javie a sfc nie naprawiło żadnego pliku. Naprawa Windows Update proponowanym narzędziem też bez powodzenia.

Edytowane 8 Lutego 2012 przez patt2

[picasso]

"sfc nie naprawiło żadnego pliku" = ale jakie były wyniki tej komendy, brak wykrytych uszkodzeń? Zapakuj pełne Dzienniki zdarzeń (cały katalog Logs) do analizy: KLIK.

 

 

 

.

[patt2]

Tak, dokładnie sfc /scannow zwrócił "brak wykrytych uszkodzeń"

 

logi:

http://www.sendspace.com/file/ttxpzi

[picasso]

patt2, ale to nie ten katalog Logs .... Dostarczyłeś C:\Windows\Logs, a Dzienniki zdarzeń to katalog C:\WINDOWS\system32\winevt\Logs.

[patt2]

Ups.. teraz powinno być dobrze http://www.sendspace.com/file/beai2w

[picasso]

Hmmm, w Dzienniku nie widzę z wczoraj/dziś błędów BITS ... Jak to definiowałeś? Widzę za to takie błędy:

 

 

Zdarzenie 31, WindowsUpdateClient
Rozszerzenie Windows Update nie może pobrać aktualizacji.

 

Zdarzenie 2001, Microsoft Antimalware
Do zdarzenia dołączono następujące informacje:
(...)
0x80072ee7
Nie można określić nazwy serwera lub adresu.

 

Zdarzenie 2001, Microsoft Antimalware
Do zdarzenia dołączono następujące informacje:
(...)
0x8024402c
Podczas sprawdzania aktualizacji wystąpił nieoczekiwany problem. Aby uzyskać informacje na temat instalowania aktualizacji i rozwiązywania problemów z nimi, patrz Pomoc i obsługa techniczna.

 

Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator. Wpisz komendę wuauclt /detectnow. Sprawdź czy rozszerzenie Windows Update nadal zwraca błąd.

 

 

Zdarzenie 7001, Service Control Manager
Usługa Dostawca grupy domowej zależy od usługi Publikacja zasobów odnajdowania funkcji, której nie można uruchomić z powodu następującego błędu: 
%%-2147014874
 
Zdarzenie 7023, Service Control Manager
Usługa Publikacja zasobów odnajdowania funkcji zakończyła działanie; wystąpił następujący błąd: 
%%-2147014874

 

W services.msc zastartowanym jako Administrator wyszukaj usługę "Publikacja zasobów odnajdowania funkcji", uruchom i przekonfiguruj Typ uruchomienia na "Automatyczny".

 

 

Zdarzenie 7023, Service Control Manager
Usługa Dphost zakończyła działanie; wystąpił następujący błąd: 
Nie można odnaleźć określonego modułu.

 

To usługa niesystemowa, DigitalPersona. Nie widziałam takiej w logu z OTL. Sprawdź czy widać w services.msc cokolwiek od DigitalPersona. Jeżeli to okaże się jakaś resztówka, to usuniemy wprost z rejestru.

 

 

.

[patt2]

Hmmm, w Dzienniku nie widzę z wczoraj/dziś błędów BITS ... Jak to definiowałeś?

 

Poprzednio po nieudanej probie pobrania aktualizacji wu zwracał błąd 80200010, który wskazuje na nieaktywną usługe transferu w tle. BITS był / jest włączony w usługach.

 

Wykonałem dwa pierwsze pkty. Przy próbie włączenia Publikacji zasobów odnajdywania funkcji w trybie adm, otzrymuje "błąd 0x80072726 Został dostarczony nieprawidłowy argument"

 

Digital persona.. W laptopie nie ma czytnika linii papilarnych, w service.msc nie widzę żadnego wpisu - instalowałem noda może jest z tym jakoś powiązany?

[picasso]

Poprzednio po nieudanej probie pobrania aktualizacji wu zwracał błąd 80200010, który wskazuje na nieaktywną usługe transferu w tle. BITS był / jest włączony w usługach.

 

To już wiem, pytam jak (poza ogólnym kodem błędu) doczepiłeś BITS w bieżącej sytuacji. Czy polecenie wuauclt /detectnow miało jakiś skutek? Dodatkowo wykonaj zbiorczy reset elementów sieciowych. Do Notatnika wklej:

 

reg delete HKLM\SYSTEM\CurrentControlSet\Control\Network /v Config /f
ipconfig /flushdns
netsh winhttp reset proxy
netsh advfirewall reset
netsh winsock reset
netsh int ipv4 reset
netsh int ipv6 reset
pause

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT > z prawokliku Uruchom jako Administrator

 

Zresetuj system. Podaj wyniki, czy Windows Update nadal ma problemy.

 

 

Digital persona.. W laptopie nie ma czytnika linii papilarnych, w service.msc nie widzę żadnego wpisu - instalowałem noda może jest z tym jakoś powiązany?

 

Usługa Dphost = Digital persona. Jak niby miałby być tu NOD powiązany? Uruchom regedit i sprawdź czy jest klucz:

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dphost

 

Jeśli jest, wyeksportuj go do wglądu.

 

 

 

.

 

[patt2]

Czy polecenie wuauclt /detectnow miało jakiś skutek?

 

Żadnego. Polecenie po prostu wykonuje się przechodząc do nowej lini, nic nie zwraca.

 

Reset się wykonał - niestety aktualizacje nie ruszyły.

 

W rejestrze nie znalazłem w/w klucza.

 

 

Powoli tracę cierpliwość do tego dziadostwa..

[picasso]

Żadnego. Polecenie po prostu wykonuje się przechodząc do nowej lini, nic nie zwraca.

 

To tak ma wyglądać z poziomu cmd.

 

 

Reset się wykonał - niestety aktualizacje nie ruszyły.

 

Panel sterowania > Sieć i internet > Centrum udostępniania > Zmień ustawienia karty sieciowej > pobierz Właściwości używanego połączenia i sprawdź w karcie Ogólne jakie składniki są używane przez połączenie. Przedstaw obrazek.

 

 

.

[patt2]

Screen:

[picasso]

Zrób skan dostosowany w OTL, wszystkie opcje ustaw na Brak+Żadne, z wyjątkiem Usługi + Sterowniki ustawionych na Wszystko.

[patt2]

Log:

OTL.Txt