bpm Opublikowano 2 Marca 2012 Zgłoś Udostępnij Opublikowano 2 Marca 2012 Witam, trafił mi się komputer z bardzo zainfekowanym systemem Windows XP. Do tego jest bardzo zaśmiecony ale nie wnikam, bo nie ja jestem użytkownikiem. Przy uruchamianiu od razu wyświetla się info: Nieprawidłowy plik BOOT.INI Rozruch z C:\windows\ System zainstalowany jest na partycji H:\ Po zalogowaniu uruchamia się syf w postaci niby skanera "Internet Security" oraz wyświetla się informacja: spoolsv.exe - Błąd aplikacji Instrukcja spod "0x00fe0374" odwołuje się do pamięci pod adresem "0x00b16000" Pamięć nie może być read Próba przeskanowania go czymkolwiek (Gmer, OTL, Malwarebytes, Dr.Web Cureit, TDSSKiller) w trybie normalnej pracy jest blokowana właśnie przez "Internet Security". W "Trybie awaryjnym" uruchomiły się tylko OTL i Gmer. Z czego raporty wklejam. Wklejam też raport z OTL po przeskanowaniu go jakby z poziomu niestartującego Windows. Dziękuję za wszelkie uwagi. GMER Log.txt OTL.Txt Extras.Txt OTL2.txt Odnośnik do komentarza
Landuss Opublikowano 2 Marca 2012 Zgłoś Udostępnij Opublikowano 2 Marca 2012 Na początek należy się tutaj zająć rootkitem ZeroAccess. Usuwanie spod działającego systemu obecnego wariantu tej infekcji właściwie graniczy z cudem i nie ma sensu dlatego trzeba użyć środowiska zewnętrznego. Na dowolnym dostępnym komputerze pobierz i wypal płytę OTLPE. Z poziomu tej płyty zrób log z OTL na warunkach dostosowanych, tzn. w sekcji Custom Scans/Fixes wklej: netsvcs C:\Windows\*. /RP /s C:\Windows\system32\drivers\*.* /md5 Klik w Scan. Przedstaw log. Odnośnik do komentarza
bpm Opublikowano 2 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 2 Marca 2012 Ten drugi log OTL2.txt zrobiony był właśnie w ten sposób, bo nie wiedziałem czy z awaryjnego będą prawidłowe Zrobione, nowy log wrzucony tutaj: http://wklej.org/id/700338/ Odnośnik do komentarza
Landuss Opublikowano 2 Marca 2012 Zgłoś Udostępnij Opublikowano 2 Marca 2012 Rzeczywiście, wcześniej nie zauważyłem tego. Tyle, że OTLPE widzi tu system jako na partycji C a nie na H Tak czy inaczej OTLPE pokazuje naruszony sterownik Windows przez infekcje: DRV - [2008/04/13 14:21:00 | 000,162,816 | ---- | M] () [Kernel | System] -- C:\WINDOWS\system32\drivers\netbt.sys -- (NetBT) Plik będzie trzeba wymienić. 1. Pobierz zdrowy plik netbt.sys: KLIK + przygotuj w Notatniku plik tekstowy z treścią skryptu: :Files C:\Windows\system32\fsutil.exe reparsepoint delete C:\Windows\$NtUninstallKB15912$ /C C:\Windows\$NtUninstallKB15912$ C:\Documents and Settings\All Users\Dane aplikacji\isecurity.exe :Reg [HKEY_USERS\S-1-5-21-436374069-1177238915-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Run] "Internet Security"=- :OTL SRV - [2008/04/14 12:21:43 | 000,005,632 | ---- | M] (Oak Technology Inc.) [Auto] -- C:\WINDOWS\system32\http.dll -- (itmrtsvc) NetSvcs: itmrtsvc - C:\WINDOWS\system32\http.dll (Oak Technology Inc.) [2012/03/02 07:34:01 | 000,000,000 | -HS- | M] () -- C:\windows\System32\dds_trash_log.cmd :Commands [emptytemp] Plik netbt.sys + plik skryptu należy umieścić na pendrive, który będzie obecny w trakcie startu z płyty OTLPE. 2. Start z OTLPE i do wykonania następujące akcje: - uruchamiasz "My computer" i ręcznie przekopiowujesz z pendrive plik netbt.sys do lokalizacji C:\WINDOWS\system32\drivers - uruchamiasz OTL, do okna Custom Scans/Fixes przeklejasz treść skryptu zapisaną w Notatniku na pendrive i klik w Run Fix. Z tego działania powstanie log, który będziesz prezentować. Restart do Windows. 3. Reset Winsock: Start > Uruchom > cmd i wpisz komendę netsh winsock reset. Zresetuj system. 4. Już z poziomu normalnie uruchomionego systemu dajesz logi do oceny z GMER + log z wynikami przetwarzania skryptu z punktu 2 oraz nowy z OTL na dodatkowym warunku. Uruchom OTL, w sekcji Własne opcje skanowania / skrypt wklej: netsvcs H:\Windows\*. /RP /s H:\Windows|$NtUninstallKB15912$;true;true;false /FP Klik w Skanuj. Odnośnik do komentarza
bpm Opublikowano 2 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 2 Marca 2012 Ok dzięki bardzo. Zrobię to dopiero jutro jak będę miał dostęp do kompa i wrzucę nowe logi. Gotowe. Proszę bardzo oto logi: http://wklej.org/id/700602/ http://wklej.org/id/700603/ http://wklej.org/id/700604/ Logu z GMERa nie ma ponieważ po uruchomieniu program wyświetla BSOD BAD_POOL_HEADER STOP: 0x00000019. Próba naprawy tego zgodnie z instrukcją Microsoft (poprawka KB927436) również nic nie dała. Odnośnik do komentarza
Landuss Opublikowano 3 Marca 2012 Zgłoś Udostępnij Opublikowano 3 Marca 2012 Wyglądało by na to, że infekcja rootkit ustała. Na wszelki wypadek uruchom tutaj teraz spod działającego systemu ComboFix i wklej log. Odnośnik do komentarza
bpm Opublikowano 3 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 3 Marca 2012 Uruchomiłem ComboFix i na wstępie wyświetlił info, że w systemie siedzi rootkit a dokładnie to ZeroAccess. Po czym, przez pół godziny nic się nie działo. Niestety zmuszony byłem wyłączyć. Jutro ponowię próbę. I w dalszym ciągu to samo. Uruchomiłem ComboFix, pokazał że siedzi ZeroAccess i tak sobie wisi 45 min już. Może spróbować w awaryjnym? Odnośnik do komentarza
picasso Opublikowano 4 Marca 2012 Zgłoś Udostępnij Opublikowano 4 Marca 2012 Logu z GMERa nie ma ponieważ po uruchomieniu program wyświetla BSOD BAD_POOL_HEADER STOP: 0x00000019. (...) I w dalszym ciągu to samo. Uruchomiłem ComboFix, pokazał że siedzi ZeroAccess i tak sobie wisi 45 min już. Może spróbować w awaryjnym? Po pierwsze: nie usunąłeś emulatorów napędów wirtualnych, co jest podstawą do prawidłowego działania GMER + ComboFix, działają sterowniki strasznie sfatygowanej wersji DAEMON Tools i to musi zostać usunięte przed uruchamianiem narzędzi: DRV - [2004-08-22 16:31:48 | 000,005,248 | ---- | M] ( ) [Kernel | Boot | Running] -- H:\windows\System32\Drivers\d347prt.sys -- (d347prt)DRV - [2004-08-22 16:31:10 | 000,155,136 | ---- | M] ( ) [Kernel | Boot | Running] -- H:\windows\system32\DRIVERS\d347bus.sys -- (d347bus) Po drugie: po wykonaniu powyższego próbuj w Trybie awaryjnym. PS. Uprzednio to się nie usunęło: Folder move failed. C:\Windows\$NtUninstallKB15912$ scheduled to be moved on reboot. Powód: uprawnienia (działają nawet na poziomie środowiska zewnętrznego). A skan OTL nie wykazał tego folderu, bo jest omyłkowo podana niepasująca nazwa (H:\Windows|$NtUninstallKB53455$;true;true;false /FP). . Odnośnik do komentarza
bpm Opublikowano 4 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 4 Marca 2012 Po pierwsze: nie usunąłeś emulatorów napędów wirtualnych, co jest podstawą do prawidłowego działania GMER + ComboFix Tak racja mój błąd, pamiętałem o tym, ale w Panelu Sterowania ani w Starcie go nie było więc faktycznie myślałem, że nic nie ma i do Program Files już nie zaglądałem. Usunięty, próbujemy jeszcze raz uruchomić ComboFix w awaryjnym. EDIT: W dalszym ciagu to samo, tym razem zostawiłem ComboFix dłużej i po dwóch godzinach nic się nie dzieje. Tymczasem dziekuję, do tematu powrócę jutro z samego rana i przeskanuję go GMERem w awaryjnym, bo w normalnym trybie w dalszym ciągu BSOD. EDIT2: Przepraszam, że dopiero dziś. Udało się zrobić skan GMERem w awaryjnym, z czego wklejam log. ComboFix nadal "wisi". GMER.txt Odnośnik do komentarza
Landuss Opublikowano 6 Marca 2012 Zgłoś Udostępnij Opublikowano 6 Marca 2012 Log z Gmer nie wykazuje nic związanego z infekcją. Zrób teraz nowe logi z OTL i zaprezentuj bo tu poza infekcją będzie i tak jeszcze troche do zrobienia. OTL na dodatkowym warunku: netsvcs H:\Windows|$NtUninstallKB15912$;true;true;false /FP Odnośnik do komentarza
bpm Opublikowano 7 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 7 Marca 2012 Bardzo proszę, gotowe: http://wklej.org/id/703873/ http://wklej.org/id/703875/ Odnośnik do komentarza
Landuss Opublikowano 7 Marca 2012 Zgłoś Udostępnij Opublikowano 7 Marca 2012 Według logów rootkit został tu zdjęty i można się teraz zająć innymi rzeczami. 1. Przejdź w panel usuwania programów i odinstaluj następujące sponsoringi - MediaBar / Facemoods Toolbar / My Global Search Bar / Winamp Toolbar for Internet Explorer / Winamp Toolbar for Firefox / Zelda Forever Toolbar Usuwanie popraw używając AdwCleaner z opcji Delete. 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files H:\WINDOWS\$NtUninstallKB15912$ H:\Program Files\mozilla firefox\plugins\NPMyGlSh.dll H:\Program Files\mozilla firefox\searchplugins\fcmdSrch.xml H:\Program Files\mozilla firefox\searchplugins\BearShareWebSearch.xml H:\Documents and Settings\OEM\Dane aplikacji\Mozilla\Firefox\Profiles\qz8dsllc.default\extensions\ffxtlbr@Facemoods.com H:\Documents and Settings\OEM\Dane aplikacji\Mozilla\Firefox\Profiles\qz8dsllc.default\searchplugins\BearShareWebSearch.xml H:\Documents and Settings\OEM\Dane aplikacji\Mozilla\Firefox\Profiles\qz8dsllc.default\extensions\{E84D42CA-64EB-11DE-A65F-8C3656D89593} :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search] "SearchAssistant"=- [HKEY_LOCALPMACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}] [-HKEY_USERS\S-1-5-21-436374069-1177238915-725345543-1004\Software\Microsoft\Internet Explorer\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}] [-HKEY_USERS\S-1-5-21-436374069-1177238915-725345543-1004\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}] :OTL FF - prefs.js..browser.search.defaultenginename: "Facemoods Search" FF - prefs.js..browser.search.order.1: "BearShare Web Search" FF - prefs.js..browser.startup.homepage: "http://start.facemoods.com/?a=dpgppc" FF - prefs.js..extensions.enabledItems: ffxtlbr@Facemoods.com:1.4.1 FF - prefs.js..keyword.URL: "http://search.bearshare.com/web?src=ffb&q=" O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found. O4 - HKLM..\Run: [cdgrcbcokh] H:\WINDOWS\System32\regsvr32.exe /s "H:\WINDOWS\system32\wxkuectqiau.dll" File not found O4 - HKLM..\Run: [PC Doc Pro - 4.2] H:\Program Files\PC Doc Pro\pcdocpro.exe /m File not found O4 - HKU\S-1-5-21-436374069-1177238915-725345543-1004..\Run: [AutoStartNPSAgent] H:\Program Files\Samsung\Samsung New PC Studio\NPSAgent.exe File not found O4 - HKU\S-1-5-21-436374069-1177238915-725345543-1004..\Run: [EA Core] "H:\Program Files\Electronic Arts\EADM\Core.exe" -silent File not found O4 - HKU\S-1-5-21-436374069-1177238915-725345543-1004..\Run: [internet Security] H:\Documents and Settings\All Users\Dane aplikacji\isecurity.exe File not found O20 - Winlogon\Notify\e46385de649: DllName - (H:\WINDOWS\System32\iashlpr32.dll) - File not found :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Powstanie log, który zachowasz. 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL ze skanowania, log powstały z punktu 2 oraz z AdwCleaner z opcji Search. Odnośnik do komentarza
bpm Opublikowano 8 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 8 Marca 2012 Gotowe, oto nowe logi: http://wklej.org/id/704686/ http://wklej.org/id/704687/ http://wklej.org/id/704688/ http://wklej.org/id/704689/ Odnośnik do komentarza
Landuss Opublikowano 8 Marca 2012 Zgłoś Udostępnij Opublikowano 8 Marca 2012 To teraz zasadnicze pytanie - czy jest tu jeszcze jakiś widoczny problem na systemie? Jeśli nie to przechodzimy do czynności finalnych. Odnośnik do komentarza
bpm Opublikowano 8 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 8 Marca 2012 Nic szczególnego nie zauważyłem poza tym, że jest "zasyfiony" przez samych użytkowników. Netu zerwało ani razu, nie wyświetlają się żadne komunikaty. Jedyne co to Gmer nadal powoduje BSOD w normalnym trybie oraz nie wiedzieć czemu, nie można uruchomić np Dr. Web Cureit. Proces pokazuje się na moment w Menedżerze zadań i znika. Nie wiem jak z innymi programami, bo nie testowałem. Nie wiem również czy ComboFix wyświetla czy ZeroAccess jeszcze jest, bo nie uruchamiałem go już po zastosowaniu czynności jakie napisałeś wczoraj aby wykonać. Odnośnik do komentarza
Landuss Opublikowano 8 Marca 2012 Zgłoś Udostępnij Opublikowano 8 Marca 2012 Gmer na wielu systemach powoduje BSOD więc to nie jest problem a rzecz normalna. Infekcji ZeroAccess już tutaj nie ma więc nie musisz się obawiać i nie ma co męczyć tego tematu. Można przejść do czynności finalnych. 1. Wklej do OTL drobny skrypt poprawkowy: :OTL O3 - HKU\S-1-5-21-436374069-1177238915-725345543-1004\..\Toolbar\WebBrowser: (no name) - {8A784E73-8794-4B0B-817D-671CDDD1D230} - No CLSID value found. O3 - HKU\S-1-5-21-436374069-1177238915-725345543-1004\..\Toolbar\WebBrowser: (no name) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - No CLSID value found. O33 - MountPoints2\{aa50f6d6-f9b5-11dd-90e5-4d6564696130}\Shell\AutoRun\command - "" = 2u.com O33 - MountPoints2\{aa50f6d6-f9b5-11dd-90e5-4d6564696130}\Shell\explore\Command - "" = 2u.com O33 - MountPoints2\{aa50f6d6-f9b5-11dd-90e5-4d6564696130}\Shell\open\Command - "" = 2u.com Kliknij w Wykonaj skrypt. Restartu nie będzie. Logów żadnych nie pokazujesz. 2. Użyj opcji Sprzątanie z OTL oraz opcji Uninstall z ADwCleaner co spowoduje usunięcie programów i ich raportów. 3. Jedna z usług systemowych wymaga naprawy (skutek uboczny stosowania ComboFix na systemach które są na innej partycji niż C) Start > Uruchom > regedit i w kluczu: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters Dwuklik na wartość ServiceDll i zamień aktualnie tam widoczną ścieżkę na H:\Windows\System32\wuauserv.dll 4. Zaktualizuj wymienione niżej oprogramowanie do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216011FF}" = Java 6 Update 23 "Adobe Acrobat 5.0" = Adobe Acrobat 5.0 "Mozilla Firefox (3.6.20)" = Mozilla Firefox (3.6.20) Szczegóły aktualizacyjne: KLIK 5. Opróżnij folder przywracania systemu: KLIK 6. Warto zmienić w systemie hasła logowania do serwisów bowiem tego typu infekcja lubi wykradać hasła. Odnośnik do komentarza
bpm Opublikowano 9 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 9 Marca 2012 Zrobione. Ślicznie dziękuję za pomoc. Jeśli nie ma dalszych uwag, temat jest do zamknięcia. Dzięki jeszcze raz. Odnośnik do komentarza
Rekomendowane odpowiedzi