Skocz do zawartości

Rootkit.Zeroaccess, proszę o pomoc w usunięciu


Rekomendowane odpowiedzi

Witam

 

Zostałem skierowany tutaj po założeniu tematu:

http://forum.idg.pl/...tl-t211860.html

 

objawy

- przekierowania na abnow .com

- blokowane skrzynki, bukmacherzy

- alerty zabezpieczeń windows przy odpalaniu programów

- avast zawiesza się przy pełnym skanowaniu

 

Proszę o sprawdzenie loga i wskazówki jak naprawić system

mbam-log-2012-02-23 (15-04-10).txt

OTL.Txt

Extras.Txt

GMER.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Rootkit niewątpliwie czynny. Wg GMER aktualnie jest zainfekowany sterownik systemowy serial.sys. Ponadto standardowe składniki ZeroAccess widoczne, takie jak zablokowany link symboliczny C:\WINDOWS\$NtUninstallKB11225$, przekierowanie w Winsock, wpis w Shell, usługi pomocnicze.

 

Na tego rootkita mocniejsza artyleria wstępna. Pobierz ComboFix, wejdź w Tryb awaryjny Windows i uruchom narzędzie zgodnie z wytycznymi w opisie. Przedstaw raport z jego pracy oraz zrobione już po nowe logi z GMER i OTL.

 

 

.

Odnośnik do komentarza
  • 2 tygodnie później...

Po użyciu combofix większość objawów ustąpiło.

 

Google przy wyszukiwaniu zaczął natomiast wysyłać komunikaty jak poniżej, więc najprawdopodobniej nie wszystko zostało usunięte.

 

Nasze systemy wykryły nietypowy ruch pochodzący z Twojej sieci komputerowej. Ta strona ma na celu sprawdzenie, czy to rzeczywiście Ty wysyłasz żądania, a nie robot. Dlaczego tak się stało?

Adres IP: 66.199.XXX.XX

Godzina: 2012-03-06T19:41:22Z

 

Efektów ubocznych pracy combofix na razie nie stwierdziłem.

 

Poniżej logi i proszę o wskazówki dalszego postępowania.

 

/ p.s. Blisko 2 tyg zwłoki w podjęciu naprawy systemu wynikło z konieczności dokończenia projektu, istniało ryzyko uszkodzenia systemu w czasie naprawy a termin gonił /

ComboFix.txt

GMER.txt

OTL.Txt

Extras.Txt

Odnośnik do komentarza

Wygląda na to, że przeciągając naprawę w międzyczasie nabawiłeś się kolejnego rootkita Rloader, co sugeruje GMER w tych zapiskach (patch atapi nie był poprzednio widzialny):

 

---- Kernel code sections - GMER 1.0.15 ----

 

.text atapi.sys B7F10852 1 Byte [CC] {INT 3 }

 

---- Threads - GMER 1.0.15 ----

 

Thread System [4:124] 89D2839F

Thread System [4:708] 8917B0F4

 

Zaś usuwanie rootkita ZeroAccess niekompletne, ComboFix wykrył zainfekowany przez rootkita sterownik i brak kopii do zamiany:

 

c:\windows\system32\drivers\afd.sys . . . jest zainfekowany!! . . . Failed to find a valid replacement.

 

Ponadto, wartość NetSvcs naruszona przez rootkita wymaga naprawy.

 

 

1. Uruchom Kaspersky TDSSKiller i dla wyniku Virus.Win32.Rloader.a na zainfekowanym acpi.sys wybierz opcję Cure. Zresetuj system.

 

2. Zamiana pliku afd.sys oraz wyczyszczenie NetSvcs. Pobierz kopię afd.sys zgodną z XP SP3: KLIK. Plik rozpakuj do umownego katalogu C:\TMP utworzonego ręcznie. Otwórz Notatnik i wklej w nim:

 

FCopy::
C:\TMP\afd.sys|C:\windows\system32\drivers\afd.sys
C:\TMP\afd.sys|C:\windows\system32\dllcache\afd.sys
 
NetSvc::
MSSQL$MSSMLBIZ
asp.net_1.1.4322
dirms_defragmentation
mindretrieve
aracpi
MSICPL
AsIO
JiaoCap
vmodem
WmaCVideo32
sandrathesrv
streamloadservice
botcbs
 
Driver::
MSSQL$MSSMLBIZ
asp.net_1.1.4322
dirms_defragmentation
mindretrieve
aracpi
MSICPL
JiaoCap
vmodem
WmaCVideo32
sandrathesrv
streamloadservice
botcbs

 

Plik zapisz pod nazwą CFScript.txt. Przeciągnij go i upuść na ikonę ComboFixa.

 

cfscript.gif

 

3. Wyczyszczenie odpadków Babylon Toolbar. Uruchom AdwCleaner z opcji Delete.

 

4. Przedstaw: log z pracy ComboFix, log z pracy AdwCleaner, nowy log z GMER oraz OTL z opcji Skanuj (bez Extras).

 

 

 

 

.

Odnośnik do komentarza

Istotnie, wszystko zrobione.

 

1. Kosmetyczne poprawki. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL 
SRV - File not found [Auto | Stopped] --  -- (Nero BackItUp Scheduler 4.0)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (catchme)
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
:Files
rd /s /q C:\TDSSKiller_Quarantine /C
rd /s /q C:\WINDOWS\ERDNT /C
rd /s /q C:\TMP /C
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt.

 

2. Odinstaluj AdwCleaner pożytkując w nim opcję Uninstall.

 

3. Odinstaluj ComboFix, co też wyczyści foldery Przywracania systemu. W Start > Uruchom > wklej:

 

"C:\Documents and Settings\Piotr\Pulpit\ComboFix.exe" /uninstall

 

Gdy proces się ukończy, możesz użyć Sprzątanie w OTL.

 

3. Wykonaj pełne skanowanie systemu za pomocą aplikacji: Kaspersky Virus Removal Tool + Malwarebytes Anti-Malware. Przedstaw raporty z wykrytymi zagrożeniami, o ile takowego będą.

 

 

 

.

Odnośnik do komentarza

Niepokojąco to brzmi, nawrót sugeruje usuwanie pozorowane. Czy na tym drugim dysku, którego czepia się namolnie Kaspersky, jest jakiś inny system operacyjny? Rozpisz mi jak układ partycji widzialny w OTL:

 

Drive C: | 107,42 Gb Total Space | 9,38 Gb Free Space | 8,73% Space Free | Partition Type: NTFS

Drive E: | 273,44 Gb Total Space | 1,99 Gb Free Space | 0,73% Space Free | Partition Type: NTFS

Drive F: | 273,44 Gb Total Space | 4,40 Gb Free Space | 1,61% Space Free | Partition Type: NTFS

Drive G: | 277,21 Gb Total Space | 35,26 Gb Free Space | 12,72% Space Free | Partition Type: NTFS

Drive H: | 34,18 Gb Total Space | 10,84 Gb Free Space | 31,70% Space Free | Partition Type: NTFS

Drive I: | 117,19 Gb Total Space | 14,12 Gb Free Space | 12,05% Space Free | Partition Type: NTFS

Drive J: | 107,43 Gb Total Space | 4,04 Gb Free Space | 3,76% Space Free | Partition Type: NTFS

Drive K: | 113,81 Gb Total Space | 4,78 Gb Free Space | 4,20% Space Free | Partition Type: NTFS

 

... ma się do układu dysków fizycznych, możesz się posłużyć narzędziem MBRCheck do produkcji raportu, który mi przedstawi konstrukcję.

 

 

 

.

Odnośnik do komentarza

hmm, jeśli dobrze interpretuje loga to problem jest z:

 

PhysicalDrive1 Model Number: SAMSUNGHD403LJ, Rev: CT100-11

H: --> \\.\PhysicalDrive1 at offset 0x00000000`00007e00 (NTFS)

I: --> \\.\PhysicalDrive1 at offset 0x00000008`8b905a00 (NTFS)

J: --> \\.\PhysicalDrive1 at offset 0x00000025`d7a2de00 (NTFS)

K: --> \\.\PhysicalDrive1 at offset 0x00000040`b31c6e00 (NTFS)

 

O ile pamiętam dysk został przepięty z danymi ze starego pc jakieś 2-3 lata temu,bez formatowania, ale na wszystkich partycjach są tam same pliki typu avi,mp3,pdf,doc itp

Jedyna rzecz która się rzuca w oczy to K:\MSOCache pewnie po starym office

 

Natomiast z innych partycji znalazłem katalog :

G:\Nowy folder\instalki po formacie\zlob

a w katalogu

killbox.exe

HJTInstall.exe

SmitfraudFix.exe

SmitfraudFix.exe

Silent Runners.vbs

SDFix

smitRem

 

Ale to tak na marginesie bo pewnie nie ma związku z problemem

MBRCheck_03.08.12_10.59.05.txt

Odnośnik do komentarza

Czyli mamy dwa dyski:

 

      Size  Device Name          MBR Status

--------------------------------------------

931 GB \\.\PhysicalDrive0 Windows XP MBR code detected

SHA1: 858845D53EA37CAD905BAB010542C912FBC33C8C

372 GB \\.\PhysicalDrive1 Unknown MBR code

SHA1: D762452FB02F5A02BD722AC5AEA558562E64242E

 

Na drugim wedle Twoich słów nie ma dodatkowego systemu. Wbijamy więc nową sygnaturę w MBR tegoż dysku:

 

1. Pobierz MBRWizard CLI Freeware. Umieść w katalogu C:\Windows.

 

2. Start > Uruchom > cmd > wpisz komendę:

 

Mbrwiz /Disk=1 /Repair=xp

 

3. Zresetuj system. Wykonaj skany Kaspersky, czy nadal coś tu widzi zdrożnego.

 

 

Natomiast z innych partycji znalazłem katalog :

G:\Nowy folder\instalki po formacie\zlob

a w katalogu

killbox.exe

HJTInstall.exe

SmitfraudFix.exe

SmitfraudFix.exe

Silent Runners.vbs

SDFix

smitRem

 

Ale to tak na marginesie bo pewnie nie ma związku z problemem

 

Przecież to są (przestarzałe) narzędzia do tworzenia logów (HijackThis + Silent Runners) + usuwania zablokowanych plików (KillBox) + usuwania określonych infekcji (reszta) ... Wszystkiego się pozbądź, to archaiczne i dziś już nieprzydatne narzędzia.

 

 

 

.

Odnośnik do komentarza

Tak, meta w rozumieniu usunięcia infekcji. Ale są tu jeszcze akcje do wykonania. Na początek: ten "dysk przepięty z danymi ze starego pc jakieś 2-3 lata temu, bez formatowania" budzi pewne podejrzenia, czy tam nie ma jakiejś innej niespodzianki, skoro uchował się rootkit w MBR. Z raportu Kaspersky Virus Removal wynika, że robiłeś ekspresowy skan na ustawieniach domyślnych. Wejdź do konfiguracji skanera i ustaw skanowanie wszystkiego, bo ten dysk należy prześwidrować na wylot. Skan potrwa długo.

 

 

.

Odnośnik do komentarza

Te wyniki wyglądają na prawdziwe, pliki muzyczne mogą mieć zmanipulowane nagłówki, tak by ich odtwarzanie wykonywało łączenie na określony URL z malware. Usunięte = OK. Kasperskiego możesz już odinstalować, co nastąpi poprzez zamknięcie jego okna. Podobnie: skasuj sobie MBRWizard wstawiony do katalogu systemowego. Na zakończenie:

 

1. Prewencyjnie dla bezpieczeństwa zmień hasła logowania w serwisach.

 

2. Wykonaj aktualizacje oprogramowania: KLIK. Na Twojej liście taką kwalifikację mają następujące pozycje:

 

Internet Explorer (Version = 6.0.2900.5512)

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java™ 6 Update 27

"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.6 - Polish

"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX

"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin

"Adobe Shockwave Player" = Adobe Shockwave Player 11.6

"FileZilla Client" = FileZilla Client 3.3.5.1

"Gadu-Gadu" = Gadu-Gadu 6.1

"Mozilla Firefox (3.6.25)" = Mozilla Firefox (3.6.25)

 

A GG6 = toż to dramat. Sprawdź sobie takie nowoczesne pozycje jak WTW czy Miranda: Darmowe komunikatory.

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...