Skocz do zawartości

Backdoor.Win32.ZAccess.aug


Rekomendowane odpowiedzi

Witam, najprawdopodobniej to siedzi na moim kompie właśnie ściągam OTL'a poniżej daję Logi Aviry, przy następnej edycji pojawi się log z OTL'a.

 

 

  Pokaż ukrytą zawartość

 

 

beztytuupoev.png

 

Tutaj jest link do tematu na innym forum, to forum właśnie tutaj mnie skierowało, być może jest tam więcej informacji na temat tego co u mnie siedzi.

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Istotnie, mamy tu ZeroAccess:

 

SRV:64bit: - [2009-07-14 02:39:46 | 000,006,656 | ---- | M] (Oak Technology Inc.) [Auto | Running] -- C:\Windows\SysNative\klif.dll -- (mindretrieve)

 

MOD - [2009-07-14 02:15:51 | 000,232,448 | ---- | M] () -- \\?\globalroot\systemroot\syswow64\mswsock.DLL

MOD - [2009-07-14 02:15:51 | 000,232,448 | ---- | M] () -- \\.\globalroot\systemroot\syswow64\mswsock.dll

 

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000001 - mmswsock.dll File not found

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000002 - mmswsock.dll File not found

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000003 - mmswsock.dll File not found

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000004 - mmswsock.dll File not found

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000005 - mmswsock.dll File not found

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000006 - mmswsock.dll File not found

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000007 - mmswsock.dll File not found

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000008 - mmswsock.dll File not found

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000009 - mmswsock.dll File not found

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000010 - mmswsock.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - %SystemRoot%\system32\pnrpnsp.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - %SystemRoot%\system32\pnrpnsp.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - %SystemRoot%\system32\pnrpnsp.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - %SystemRoot%\system32\pnrpnsp.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - %SystemRoot%\system32\pnrpnsp.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000006 - %SystemRoot%\system32\pnrpnsp.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000007 - %SystemRoot%\system32\pnrpnsp.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000008 - %SystemRoot%\system32\pnrpnsp.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000009 - %SystemRoot%\system32\pnrpnsp.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000010 - %SystemRoot%\system32\pnrpnsp.dll File not found

 

[2012-02-21 19:19:34 | 000,000,000 | ---D | C] -- C:\Windows\system64

[2012-02-21 21:28:48 | 000,000,000 | -HS- | C] () -- C:\Windows\SysNative\dds_trash_log.cmd

 

Prócz tego uszkodzone usługi systemowe.

 

 

1. Pobierz narzędzie FRST x64 i umieść je na pendrive.

 

2. Przygotuj plik naprawczy. Otwórz Notatnik i wklej w nim:

 

SubSystems: [Windows] ==> ZeroAccess
NETSVC: mindretrieve
2 mindretrieve; C:\Windows\System32\klif.dll [6656 2009-07-14] (Oak Technology Inc.)
C:\Windows\System32\klif.dll
C:\Windows\System32\consrv.dll
C:\Windows\System32\dds_trash_log.cmd
C:\Windows\assembly\tmp\U
C:\Windows\assembly\GAC_64\desktop.ini
C:\Windows\assembly\GAC_32\desktop.ini
CMD: C:\Windows\system32\fsutil.exe reparsepoint delete C:\Windows\system64

 

Plik zapisz pod nazwą fixlist.txt. Wstaw na pendrive obok narzędzia FRST.

 

3. F8 przy starcie komputera > "Napraw komputer" > w linii komend uruchom zgodnie z opisem narzędzie FRST i wybierz w nim opcję Fix. Skrypt umieszczony na pendrive zostanie przetworzony i powstanie plik fixlog.txt.

 

4. Restartujesz do Windows. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wpisz komendę netsh winsock reset.

 

5. Zrób nowe logi z OTL opcją Skanuj + Farbar Service Scanner (zaznacz wszystko do skanowania). Dostarcz też Fixlog.txt.

 

 

 

.

Odnośnik do komentarza

1. O ile skrypt wykonany pomyślnie i 99% składników ZeroAccess poszło w siną dal, nadal widać naruszony Winsock:

 

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000001 - mmswsock.dll File not found

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000002 - mmswsock.dll File not found

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000003 - mmswsock.dll File not found

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000004 - mmswsock.dll File not found

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000005 - mmswsock.dll File not found

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000006 - mmswsock.dll File not found

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000007 - mmswsock.dll File not found

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000008 - mmswsock.dll File not found

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000009 - mmswsock.dll File not found

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000010 - mmswsock.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - %SystemRoot%\system32\pnrpnsp.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - %SystemRoot%\system32\pnrpnsp.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - %SystemRoot%\system32\pnrpnsp.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - %SystemRoot%\system32\pnrpnsp.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - %SystemRoot%\system32\pnrpnsp.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000006 - %SystemRoot%\system32\pnrpnsp.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000007 - %SystemRoot%\system32\pnrpnsp.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000008 - %SystemRoot%\system32\pnrpnsp.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000009 - %SystemRoot%\system32\pnrpnsp.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000010 - %SystemRoot%\system32\pnrpnsp.dll File not found

 

Podałam do wykonania:

 

  picasso napisał(a):
4. Restartujesz do Windows. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wpisz komendę netsh winsock reset.

 

Czy komendę wykonałeś, czy na pewno cmd startowałeś przez opcję "Uruchom jako Administrator", a jeżeli komenda wykonana to czy na pewno zastosowałeś się do zaleceń w oknie i zresetowałeś komputer?

 

2. Druga sprawa: sprecyzowałam w skrypcie likwidację łącza symbolicznego C:\Windows\system64, by przemienić go na zwyczajny folder gotowy do kasacji. Komenda fsutil jakoby wykonała się poprawnie. Sprawdź czy C:\Windows\system64 ma ikonę normalnego folderu a nie ikonę ze strzałką. Jeżeli będzie widnieć normalna ikona, przez SHIFT+DEL skasuj folder z dysku. Jeżeli jednak będzie ikona ze strzałką, stop.

 

 

.

Odnośnik do komentarza

Reset Winsock pomyślnie wykonany, zniknęły wszystkie odczyty "not found".

 

 

  Cytat
Ad2. Jest to folder ale z kłódką, tak to miało wyglądać ??

 

Kłódka oznacza określone uprawnienia. Uruchom GrantPerms x64 jako Administrator, w oknie wklej co podane poniżej i klik w Unlock.

 

C:\Windows\system64

 

Po tej akcji sprawdź jak wygląda ikona, czy zniknęła kłódka i czy to jest normalna ikona folderu a nie ze strzałką.

 

 

.

Odnośnik do komentarza

Tak, infekcja ZeroAccess jest przyczyną dla szaleństw ping. ZeroAccess został usunięty, ale jesteśmy w połowie zadania. Należy zreperować szkody, które zrobił trojan. Masz skasowany cały układ Zapory systemu Windows (usługi BFE + MpsSvc), usługę Centrum Zabezpieczeń i usługę Windows Defender. Do wykonania:

 

1. Odtworzenie usług Windows:

  • Rekonstrukcja usług firewalla: KLIK. Odtwarzasz dwie usługi (BFE i MpsSvc) a nie trzy i omijasz sfc /scannow.
  • Rekonstrukcja usługi Centrum zabezpieczeń: KLIK.
  • Rekonstrukcja usługi Windows Defender: KLIK.

2. Po odtworzeniu wszystkich usług restartujesz system i tworzysz nowy log z Farbar Service Scanner.

 

 

 

.

Odnośnik do komentarza

Wygląda na to, że usługi zostały zrekonstruowane. Przechodzimy do kolejnej partii:

 

1. Porządki po używanych narzędziach: przez SHIFT+DEL skasuj katalog C:\FRST, możesz oczywiście usunąć wszystkie pobrane w trakcie napraw narzędzia.

 

2. Skoryguj sytuację w antywirusach, bo aktualnie jest Kaspersky PURE oraz doinstalowana w trakcie diagnostyki Avira. Niedobry układ, Avirę odinstaluj, by nie obciążać systemu.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Wykonaj pełny skan potwierdzający czystość systemu, za pomocą posiadanych Kasperskiego + MBAM na najnowszych bazach. Przedstaw wyniki, o ile coś zostanie wykryte.

 

 

  Cytat
@edit. Jeśli gdybyś mogła polecić mi najlepszy twoim zdaniem program antywirusowy, byłbym ci bardzo wdzięczny.

 

Mitologia współczesna. Nie istnieje twór "najlepszy", dlatego ja nie mam zdania na ten temat :P. Piastuję przekonanie: wszystko dobre co pochodzi z wiodącej marki o ustalonej reputacji, zaś sam antywirus to ledwie cząstka zabezpieczeń, nie ma antidotum dla określonych działań użytkownika i jego myślenia. Rozumiem, że Kaspersky PURE tu był podstawowym antywirusem czy został doinstalowany na czas leczenia?

 

 

 

.

Odnośnik do komentarza
  Cytat
rozważam też opcję usunięcia Kasperskiego (Avira już niema) i ponowna jego instalacja

 

Wprawdzie ja w raportach nie notuję, by Kaspersky był w widzialny sposób zdefektowany i potwierdzasz, że zdaje się działać poprawnie, ale też log z OTL to jest bardzo ograniczona analiza w tym kontekście. Reinstalacja całego silnika nie wydaje się taka głupia, tak na wszelki wypadek.

 

 

 

.

Odnośnik do komentarza

Oceniając to co jest w owym starym skanie, w skrypcie uwzględniałam już ścieżki w Assembly i FRST je przetwarzał:

 

Fix result of Farbar Recovery Scan Tool (FRST written by farbar) Version: 21-02-2012

Ran by SYSTEM at 2012-02-23 14:41:23 R:1

Running from E:\

 

==============================================

 

C:\Windows\assembly\tmp\U not found.

C:\Windows\assembly\GAC_64\desktop.ini moved successfully.

C:\Windows\assembly\GAC_32\desktop.ini moved successfully.

 

Wyniki z desktop.ini zostały więc załatwione już dawno. Log jednak wyjaśnia dlaczego skrypt nie znalazł C:\Windows\assembly\temp\U, PURE go załatwił o dziesiątej rano. Co dziwne jednak, PURE go wykrył ponownie o siódmej wieczorem, czyli daleko po przetwarzaniu skryptu ...

 

Czy na pewno skany tandemu Kaspersky + MBAM w momencie bieżącym już nic nie wykrywają?

 

 

.

Odnośnik do komentarza

Przepraszam że tak późno piszę ale miałem problemy z dostępem do internetu (lokalny dostawca coś spierniczył), przez ten czas właściwie bawiłem się Pure no i nie właściwymi patchami itp. Teraz próbuję go odratować ale co z tego wyjdzie.

 

Ps. Pure Trial podobno ma właściwości wykrywające ale właściwości bojowe u niego są ograniczone, jest to prawda ?

 

@edit. teraz najprawdopodobniej mam coś na kompie ponieważ często sama przeglądarka przechodzi na strony typu "nagrody-internetowe.pl/apple/products/ipad2/adv"

Odnośnik do komentarza
  Cytat
Ps. Pure Trial podobno ma właściwości wykrywające ale właściwości bojowe u niego są ograniczone, jest to prawda ?

 

Triale Kasperskiego powinny mieć pełne możliwości w zakresie czasu ustawionym w trial. Nie przypominam sobie, by były jakieś blokady, ale głowy nie dam... Zresztą widzę, że grzecznie Avasta wsadziłeś. Dobrze jest.

 

 

  Cytat
@edit. teraz najprawdopodobniej mam coś na kompie ponieważ często sama przeglądarka przechodzi na strony typu "nagrody-internetowe.pl/apple/products/ipad2/adv"

 

W logu z OTL nie widzę żadnych oznak infekcji czynnej. Aczkolwiek jest tu zmodyfikowany i ukryty plik HOSTS:

 

O1 HOSTS File: ([2012-02-22 18:39:30 | 000,001,398 | RHS- | M]) - C:\Windows\SysNative\drivers\etc\hosts

O1 - Hosts: 127.0.0.1 localhost

O1 - Hosts: ::1 localhost

O1 - Hosts: 108.163.215.51 www.google-analytics.com.

O1 - Hosts: 108.163.215.51 ad-emea.doubleclick.net.

O1 - Hosts: 108.163.215.51 www.statcounter.com.

O1 - Hosts: 67.215.245.19 www.google-analytics.com.

O1 - Hosts: 67.215.245.19 ad-emea.doubleclick.net.

O1 - Hosts: 67.215.245.19 www.statcounter.com.

 

Wykonaj reset pliku HOSTS do postaci domyślnej za pomocą narzędzia automatycznego Fix-it z KB972034.

 

 

  Cytat
Dodaję tylko plik logu OTL bo EXTRAX mi nie utworzyło.

 

Na ślepo przyjęte, że OTL ma identyczną konfigurację. :P OTL uruchomiony więcej niż raz przestawia opcję "Rejestr - skan dodatkowy" na "Brak", a należy ustawić to na "Użyj filtrowania", by pozyskać log Extras.

 

 

 

.

 

 

Odnośnik do komentarza

To da się coś z tym zrobić bo Avast nic nie widzi. Gdzie ustawić OTL'a tak aby tworzył też plik Extrax?

 

Mam problem z znalezieniem pliku Hosts ponieważ kiedy wpisuję "%systemroot% \system32\drivers\etc" to wszystko się pokazuje lecz niema go tam, spróbuję go utworzyć i zobaczę co się stanie.

 

@edit. Nawet jeśli wpiszę "%systemroot% \system32\drivers\etc\hosts" przechodzę do folderu tak jakby etc, nie przechodzę do HOSTS.

 

@edit2. Znalazłem następny problem a mianowicie coś mi "odcina" dostęp do neta np Jestem na GG nie używam go ale jest w Trialu i coś mi odcina jego dostęp do neta sprawdzam czy to przypadkiem nie Avast (usunięty), usunąłem go kilka chwil wcześniej i jak na razie cały czas jestem na Dostępnym przypuszczam że on miał ustawione coś w stylu "priorytetowego" dostępu do sieci a jakoż ze mam internet mobilny to mogą się cyrki dziać.

Odnośnik do komentarza

Nie czytasz uważnie co mówię.

 

 

  Cytat
Gdzie ustawić OTL'a tak aby tworzył też plik Extrax?

 

Powiedziałam: "OTL uruchomiony więcej niż raz przestawia opcję "Rejestr - skan dodatkowy" na "Brak", a należy ustawić to na "Użyj filtrowania", by pozyskać log Extras." Jedna opcja do przestawienia ...

 

 

  Cytat
To da się coś z tym zrobić bo Avast nic nie widzi.

 

Przecież wskazuję: w logach nie ma widocznej infekcji poza zmodyfikowanym plikiem HOSTS, który nakazałam zresetować. Zresetowałeś? Nie.

 

 

  Cytat
Mam problem z znalezieniem pliku Hosts ponieważ kiedy wpisuję "%systemroot% \system32\drivers\etc" to wszystko się pokazuje lecz niema go tam, spróbuję go utworzyć i zobaczę co się stanie.

 

@edit. Nawet jeśli wpiszę "%systemroot% \system32\drivers\etc\hosts" przechodzę do folderu tak jakby etc, nie przechodzę do HOSTS.

 

Po pierwsze: plik jest tylko go nie widzisz, bo jest ukryty (atrybuty HS), a Ty nie masz skonfigurowanych wszystkich opcji widoku, tzn. w Opcjach folderów "zapomniałeś" odfajkować "Ukryj chronione pliki systemu operacyjnego". Po drugie: nie kazałam nic robić ręcznie, cytuję: "Wykonaj reset pliku HOSTS do postaci domyślnej za pomocą narzędzia automatycznego Fix-it"". W artykule jest do pobrania automat ...

 

 

  Cytat
@edit2. Znalazłem następny problem a mianowicie coś mi "odcina" dostęp do neta np Jestem na GG nie używam go ale jest w Trialu i coś mi odcina jego dostęp do neta sprawdzam czy to przypadkiem nie Avast (usunięty), usunąłem go kilka chwil wcześniej i jak na razie cały czas jestem na Dostępnym przypuszczam że on miał ustawione coś w stylu "priorytetowego" dostępu do sieci a jakoż ze mam internet mobilny to mogą się cyrki dziać.

 

To jaka jest bieżąca sytuacja, bo na finale wygląda, że problem ustąpił? O co tu pytasz konkretnie?

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...