Przekierowanie na 'abnow.com' oraz fałszywy antywirus 'Internet Security'

[Uriziel01]

Witam.

 

Historia infekcji:

 

-Po wejściu na pewną stronę ze skryptami JS przeglądarka samoistnie się wyłączyła, uruchomiony został fałszywy antywirus 'Internet Security' który zabijał wszelkie otwarte aplikacje. Wszelkie wyniki wyszukiwania google były przekierowane na 'abnow.com'.

 

-Na własną rękę podjełem próbę naprawy systemu przez SUPERAntiSpyware oraz TDSSKiller jak zasugerowano mi na innym forum.

 

-Po tym kroku wirus nie został usunięty a jedynie po każdym starcie systemu i minięciu 1 minuty dostawałem BSOD (także w trybie awaryjnym)

 

-Ostatecznie wykonanie naprawy systemu (i skanowanie dysku systemowym narzędziem) naprawiło problem z crashami oraz pozornie usunęło infekcję.

 

-Zainstalowałem Microsoft Security Essentials i przeskanowałem nim dysk, znalazł kilkadziesiąt zarażonych plików infekcje zindectyfikowane jako: Sirefef. oraz Karagany.

 

Tak że w efekcie tego wszystkiego system wygląda na czysty ale aż ciężko jest mi w to uwierzyć, załączam wszystkie wymagane logi:

 

P.s-Niezmiernie zależy mi na usunięciu wszelkich infekcji gdyż jest to firmowy laptop zawierający istotne dane.

 

P.s2-Choć nie mam zielonego pojęcia o walce z malware to jestem jednak na codzień programistą i można do mnie pisać w telegraficzny sposób. (Z pominięciem 'Kliknij Plik->Zapisz Jako->....' etc.). Dziękuję.

 

EDIT:

Właśnie widzę że infekcja nie jest zażegnana gdyż antywirus (tutaj Security Essectials) krzyczy o pliku C:/ProgramData/isecurity.exe a jest to właśnie plik wykonywalny 'Internet Security'.

MS SE identyfikuje go jako Win32/FakeRean.

Może w czymś to pomoże, ale dołączam skan z aplikacji TDSSKiller który był wykonany zaraz po wykryciu infekcji.

OTL.Txt

Extras.Txt

TDSSKiller.2.7.18.0_03.03.2012_03.45.42_log.txt

[Landuss]

ZeroAccess tu na pewno był, ale wygląda on jakby w szczątkach a nie w pełnej aktywności.

 

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:Files
C:\ProgramData\isecurity.exe
C:\windows\SysNative\%APPDATA%
C:\windows\SysNative\dds_log_trash.cmd
C:\Users\Paweł Borecki\AppData\Local\2f9019f4
 
:OTL
FF - prefs.js..browser.startup.homepage: "chrome://speeddial/content/speeddial.xul"
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4:64bit: - HKLM..\Run: []  File not found
O20 - HKU\S-1-5-21-1619967832-464622753-3573894926-1000 Winlogon: Shell - (C:\Users\Paweł Borecki\AppData\Local\2f9019f4\X) -  File not found
 
:Commands
[emptytemp]

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

2. wykonaj komendę sfc /scannow i za pomocą kolejnej komendy przefiltruj log do wystąpień znaczników [sR]: KLIK. Zaprezentuj wynikowy log.

 

3. Następnie uruchamiasz OTL na dodatkowym warunku, w sekcji Własne opcje skanowania / skrypt wklej:

 

netsvcs

C:\Windows\*. /RP /s
C:\Windows|$NtUninstallKB5202$;true;true;false /FP

 

Klik w Skanuj. Pokazujesz nowy log z OTL oraz z Farbar Service Scanner (zaznacz wszystko do skanowania).

[Uriziel01]

OK wszystkie zalecenia wykonane, załączam LOG'i z:

-Wykonania skryptu w OTL (zmienione rozszerzenie z powodu limitacji załączników)

-Przefiltrowany log z 'sfc /scannow'

-Ponowne skany z OTL

-Farbar Service Scanner.

03042012_222259.txt

sfc.txt

OTL.Txt

Extras.Txt

FSS.txt

[picasso]

-Na własną rękę podjełem próbę naprawy systemu przez SUPERAntiSpyware (...)

-Zainstalowałem Microsoft Security Essentials i przeskanowałem nim dysk, znalazł kilkadziesiąt zarażonych plików infekcje zindectyfikowane jako: Sirefef. oraz Karagany.

 

Nie podałeś dokładnego raportu z tych narzędzi ze spisem ścieżek dostępu, by można było ocenić sprawę i nie powtarzać szukania na rzeczy już usunięte oraz nie głowić się co od czego pochodzi. Czy jest szansa na uzyskanie tych danych?

 

 

Może w czymś to pomoże, ale dołączam skan z aplikacji TDSSKiller który był wykonany zaraz po wykryciu infekcji.

 

TDSSKiller to nie w tym przypadku. ZeroAccess/Sirefef nie działa jak rootkit na systemie 64-bit.

 

 

---

Na temat ostatnich wyników, ta wartość, niby usuwana, powróciła:

 

O20 - HKU\S-1-5-21-1619967832-464622753-3573894926-1000 Winlogon: Shell - (c:\users\paweł borecki\appdata\local\2f9019f4\x) -  File not found

 

W wartości NetSvcs są wpisy, które mi nie pasują na Windows 7 x64:

 

NetSvcs:64bit: splitter - C:\windows\SysNative\splitter.x64.ax ()
NetSvcs:64bit: diskperf - C:\windows\SysNative\diskperf.exe (Microsoft Corporation)
NetSvcs:64bit: imapi - C:\windows\SysNative\imapi.dll (Microsoft Corporation)

 

Te dwa pliki oznaczone jako MS owszem są w systemie, ale takich usług i to w NetSvcs domyślnie nie ma ...

 

1. Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator.

 

---- W kluczu:

 

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

 

Skasuj wartość o nazwie Shell.

 

---- W kluczu:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost

 

Dwuklik na wartość o nazwie NetSvcs i na liście wymaż te trzy odnośniki (splitter / diskperf / imapi). Innych wpisów nie ruszaj.

 

2. Przez SHIFT+DEL skasuj z dysku katalog kwarantanny OTL C:\_OTL. Przeprowadź pełne skanowanie za pomocą Malwarebytes Anti-Malware i przedstaw wynikowy raport, o ile coś zostanie wykryte.

 

 

 

 

.

[Uriziel01]

-Jeżeli tylko powiesz mi czy i jak mogę wykonać zrzut historii z MS SE to oczywiście to załączę jednak nie widzę tam takiej opcji, Google także niczego oczywistego nie podpowiada, także przejrzenie katalogu aplikacji niczego nie przyniosło bo nie widzę aby gdzieś tam ten log był trzymany w jakiejś oczywistej formie niestety. Kontrolki użyte w oknie historii nie obsługują nawet CTRL+C więc musiałbym to wszystko ręcznie 'przeklepywać' co mogło by mi zając resztę dnia.

 

-Polecenia na rejestrze wykonane

 

-Katalog kwarantanny OTL'a usunięty

 

-Wynik skanu z MAM załączony zostanie jak tylko się skończy, dopnę go do tego posta który w tej chwili piszę aby uzyskać jakieś informacje na temat tego zrzutu z historii z MS SE.

 

-Nietypowe wpisy mogą wynikać z wielu podłoży, instalowałem oprogramowanie do wirtualizacji, aplikację emulującą dodatkowy DNS, liczne kompilatory i środowiska które potrafią zawierać naprawdę wiele nieznanych mi komponentów więc nie mam pojęcia cóż to za wpisy.

 

-W tak zwanym między czasie usuniętę zostało sporo starego i nieużywanego oprogramowania, niczego nowego nie dogrywałem aby nie rozwalić logiki czytania tych skanów przez waszą ekipę, jedynie informuje iż części wpisów może brakować z powodu ich zwyczajnego usunięcia.

 

EDIT:

Ok po sprawdzeniu MSDN'a jednak jest na to sposób, więc załączam log z MS SE. Swoją drogą jestem ciekaw co powodowało niemożność skopiowania części plików z tego folderu z logami efektem operacji kopiuj w eksploratorze było jego całkowite zawieszenie. Udało się dopiero przez Total Commander'a.

 

Nie wiem też czy dobrze zrobiłem wyłączając ochronę rezydentną w SE na czas skanu przez Malwarebytes Anti-Malware ale wydało mi się to dosyć logiczne posunięcie aby przypadkiem nie skolidować tych dwóch skanerów i nie wygenerować fałszywie pozytywnych wyników.

 

EDIT2:

Log z M A-M dołączony.

Z tej listy oczywiście nie przejmujemy się crackiem do Ultra ISO (Jedynie odrobina wstydu dla mnie.) no i WPEPro. Pozostałe wpisy zaznaczyłem do usunięcia.

Dodatkowo załączam też log z SUPERAntiSpyware choć po tylu zmianach nie jestem pewien czy jeszcze jego zawartość cokolwiek znaczy.

MPDetection-03042012-023713.txt

mbam-log-2012-03-05 (15-04-18).txt

SUPERAntiSpyware Scan Log - 03-03-2012 - 03-56-58.txt

[picasso]

Nie wiem też czy dobrze zrobiłem wyłączając ochronę rezydentną w SE na czas skanu przez Malwarebytes Anti-Malware ale wydało mi się to dosyć logiczne posunięcie aby przypadkiem nie skolidować tych dwóch skanerów i nie wygenerować fałszywie pozytywnych wyników.

 

OK.

 

 

Ok po sprawdzeniu MSDN'a jednak jest na to sposób, więc załączam log z MS SE. Swoją drogą jestem ciekaw co powodowało niemożność skopiowania części plików z tego folderu z logami efektem operacji kopiuj w eksploratorze było jego całkowite zawieszenie. Udało się dopiero przez Total Commander'a.

 

Noooo ... Ten raport z MSSE wyborny. Bardzo dużo się działo, ZeroAccess utworzył wiele replik sfałszowanych plików DLL. Teraz mam pełniejszy obraz sytuacji. Co do zawieszenia eksploratora podczas odwiedzin katalogu: skoro zewnętrzny TC nie miał problemu, to sugeruje wadę w obszarze rozszerzeń powłoki czy kodeków. Acz, spekulacje.

 

 

-Nietypowe wpisy mogą wynikać z wielu podłoży, instalowałem oprogramowanie do wirtualizacji, aplikację emulującą dodatkowy DNS, liczne kompilatory i środowiska które potrafią zawierać naprawdę wiele nieznanych mi komponentów więc nie mam pojęcia cóż to za wpisy.

 

Wątpię. Te wpisy nie mają takiego charakteru i ich nie powinno być w sekcji NetSvcs. One prędzej kojarzą się jednak z ZeroAccess (porównaj raport z MSSE = te pliki DLL są montowane jako usługi i dopisują się w NetSvcs). Rozpiszę Ci dlaczego te wpisy są podejrzane i się nie zgadzają. Przykładowy obiekt o nazwie splitter, w Twoim logu jako usługa (nie wygląda już na istniejącą bo w sekcji SRV nie ma takiego czegoś) wyasygnowana do grupy sieciowej NetSvcs i to jadąca na kodeku:

 

NetSvcs:64bit: splitter - C:\windows\SysNative\splitter.x64.ax ()

 

Są tu aż trzy sprzeczności: usługa nieistniejąca na Windows 7, dopisana do nieprawidłowej grupy i związana z kodekiem Haali Media Splitter. "Splitter" owszem może występować w systemie jako usługa, tylko bynajmniej nie jako usługa programowa (i dopisywana w NetSvcs) bazująca na DLL, tylko jako usługa sterownikowa kierująca do splitter.sys (Microsoft Kernel Audio Splitter), czyli kompletnie inny typ obiektu prezentowany na platformie XP w logu z OTL w stanie niefiltrowanym w taki oto sposób:

 

DRV - [2008-04-14 01:15:08 | 000,006,272 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\splitter.sys -- (splitter)

 

Taki miszmasz z nazwami podrabianymi robi właśnie ZeroAccess, bierze sobie na wyścigi nazwy znane i żongluje nimi, by zaciemnić fakt wprowadzenia podróbki. Trudno mi teraz połączyć usługi z plikami, bo oglądam już stan po czyszczeniu i tylko skan z MSSE, ZeroAccess zresztą robi "niespójne" połączenia i nazwa usługi nie musi się powtarzać w nazwie pliku DLL, ale np. ten wynik to pasuje do usługi o nazwie "imapi":

 

2012-03-04T19:18:40.657Z DETECTION Trojan:Win64/Sirefef.Q file:C:\windows\system32\imapiservice.dll

 

Uważam też za prawdopodobne, że log z OTL pokazuje złe pliki wyasygnowane do tych usług imapi / splitter / diskperf. Przypatrz się choćby na ten "splitter" = OTL jakoby widzi usługę opartą na splitterze medialnym, co jest niemożliwe z technicznego punktu widzenia, bo C:\Windows\system32\splitter.x64.ax nie instaluje się jako usługa. W rejestrze wartość NetSvcs nie ma pełnych ścieżek dostępu, jedynie nazwę systemową usługi (czyli jedyne dane w tej wartości to sama nazwa "splitter"), OTL szuka własnym sumptem dopasowania i jak sądzę, zwrócił pierwsze rzekomo pasujące do nazwy, ale nie te które były faktycznie związane. W przeciwnym wypadku tu się nic nie zgadza.

 

 

Log z M A-M dołączony.

 

W wynikach MBAM delikwentem z zakresu ZeroAccess to ten oczywisty C:\Windows\assembly\tmp\U. Widzę, że MSSE nie przetwarzał tego wcale, stąd też znalezisko.

 

Również, w żadnym ze skanów nie widzę, by były przetwarzane pliki desktop.ini z C:\Windows\assembly\GAC_64 + C:\Windows\assembly\GAC_32, a takowe powinny być utworzone przez ZeroAccess na systemie 64-bit. Dla porównania temat: KLIK. Podaj dodatkowy skan, uruchom OTL, wszystkie opcje ustaw na Brak + Żadne, zaś w sekcji Własne opcje skanowania / skrypt wklej:

 

C:\Windows\assembly\GAC_64\*.*
C:\Windows\assembly\GAC_32\*.*
C:\Windows\assembly\tmp\*.*

 

Klik w Skanuj.

 

 

EDIT: Na wszelki wypadek jeszcze pokaż root C:\Windows\assembly\tmp, bo ZeroAccess tworzy tam też pliki loader.tlb + {numerki}. Dopisałam do skanu powyżej.

 

 

.

[Uriziel01]

Widzimy te rzeczone pliki w \tmp. Załączam skan.

 

P.s-Ślicznie dziękuję za dokładny opis natury tych wpisów, nie sądzę aby jakiś inny serwis wykazał się tak pełnym profesjonalizmem, gratuluje. Widzę że choć w IT siedzę od 12 lat to jeszcze daleka droga przede mną do poziomu który ty reprezentujesz. Ale jednak fakt faktem działamy w zupełnie różnych dziedzinach.

OTL.Txt

[picasso]

O ile GAC_64 i GAC_32 wydają się być ok

 

Wręcz przeciwnie, są wszystkie elementy na które dawałam skan, utworzone tego samego dnia 3 marca. Te pliki desktop.ini nie są naturalnym składnikiem w GAC:

 

[2012-03-03 16:08:39 | 000,047,616 | -HS- | M] () -- C:\Windows\assembly\GAC_64\Desktop.ini

 

[2012-03-03 16:08:39 | 000,035,840 | -HS- | M] () -- C:\Windows\assembly\GAC_32\Desktop.ini

 

[2012-03-03 16:08:44 | 000,002,632 | -HS- | M] () -- C:\Windows\assembly\tmp\loader.tlb

[2012-03-03 01:23:29 | 000,002,048 | ---- | M] () -- C:\Windows\assembly\tmp\{1B372133-BFFA-4dba-9CCF-5474BED6A9F6}

 

Usuwanie, w OTL w sekcji Własne opcje skanowania / skrypt wklej:

 

 

:Files
C:\Windows\assembly\GAC_64\Desktop.ini
C:\Windows\assembly\GAC_32\Desktop.ini
C:\Windows\assembly\tmp\loader.tlb
C:\Windows\assembly\tmp\{1B372133-BFFA-4dba-9CCF-5474BED6A9F6}

 

Klik w Wykonaj skrypt. Zaprezentuj log z wynikami. On krótki, do posta wprost go ładuj.

 

 

.

[Uriziel01]

Jeżeli chodzi o LOG z wykonania OTL:

========== FILES ==========

C:\Windows\assembly\GAC_64\Desktop.ini moved successfully.

C:\Windows\assembly\GAC_32\Desktop.ini moved successfully.

C:\Windows\assembly\tmp\loader.tlb moved successfully.

C:\Windows\assembly\tmp\{1B372133-BFFA-4dba-9CCF-5474BED6A9F6} moved successfully.

 

OTL by OldTimer - Version 3.2.35.1 log created on 03062012_075550

 

Oczywiście w tej samej chwili MS SE zaczął krzyczeć o tych plikach.

 

EDIT:

Wręcz przeciwnie, są wszystkie elementy na które dawałam skan,

Wybacz ale sam zobaczyłem po chwili że jestem w błędzie i zedytowałem post, niestety już wcześniej zdążyłaś go przeczytać i zacytować, przepraszam za kłopot.

 

Teraz SE wykrył kolejne zarażone pliki tym razem jest to Conedex.

2012-03-06T07:00:47.446Z DETECTION Trojan:Win32/Conedex.B file:C:\Windows\assembly\tmp\U\000000c0.@

 

Po wyczyszczeniu SE nie zgłasza już danych infekcji w '\assembly\'.

[picasso]

MSSE się obudził, gdyż został stworzony bezpośredni dostęp do plików procedurą OTL. Wygląda na to, że mamy ukończone czyszczenie po ZeroAccess. Czyli kroki finałowe:

 

1. Albo przez SHIFT+DEL kasujesz C:\_OTL, albo w programie opcja Sprzątanie. Różnica: opcja robi więcej niż tylko usuwanie kwarantanny i programu, również rekonfiguruje opcje widoku na domyślne (ukryte rozszerzenia i obiekty ukryte), co nie na wszystkich konfigach może być na rękę.

 

2. Czyszczenie folderów Przywracania systemu: KLIK.

 

3. Drobnostka aktualizacyjna: na Twojej liście zainstalowanych widzę 32-bitową pozycję "Adobe Flash Player 10 ActiveX", czyli należy zaktualizować 32-bitowy Adobe Flash w wersji Internet Explorer (pobierany z poziomu strony otworzonej w 32-bitowym domyślnym IE).

 

4. Prewencyjnie pozmieniaj hasła logowania w serwisach, bo tu trudno dać gwarancje. Better safe than sorry.

 

 

 

EDIT

 

Nie widziałam edycji. Hmmm:

 

Teraz SE wykrył kolejne zarażone pliki tym razem jest to Conedex.

 

2012-03-06T07:00:47.446Z DETECTION Trojan:Win32/Conedex.B file:C:\Windows\assembly\tmp\U\000000c0.@

 

Przecież wykrył już to MBAM na wcześniejszym etapie:

 

Wykrytych plików:
C:\Windows\assembly\tmp\U\00000001.@ (Rootkit.0Access) -> Nie wykonano akcji.
C:\Windows\assembly\tmp\U\000000cb.@ (Trojan.Agent) -> Nie wykonano akcji.
C:\Windows\assembly\tmp\U\000000cf.@ (Trojan.Agent) -> Nie wykonano akcji.
C:\Windows\assembly\tmp\U\800000c0.@ (Rootkit.0Access) -> Nie wykonano akcji.
C:\Windows\assembly\tmp\U\800000cb.@ (Rootkit.0Access) -> Nie wykonano akcji.
C:\Windows\assembly\tmp\U\800000cf.@ (Rootkit.0Access) -> Nie wykonano akcji.

 

I podobno to usuwałeś: "Z tej listy oczywiście nie przejmujemy się (...) Pozostałe wpisy zaznaczyłem do usunięcia.". Jeżeli na pewno usunięte zostało wtedy, to niepokojący jest powrót... Lepiej, by się okazało, że jednak wtedy w MBAM nie dokończyłeś akcji przez pomyłkę, aniżeli, że to rekonstrukcja.

 

 

 

.

[Uriziel01]

Tak więc jako finał tej sprawy:

-Wszystkie pliki po naprawie usunięte

-Punkty przywracania usunięte

-Flash Player zaktualizowany

-Zmiana haseł w toku

 

I podobno to usuwałeś:

Tak, na pewno wskazałem do usunięcia te pliki, miejmy nadzieje że to nie oznacza powrotu infekcji. Na wszelki wypadek właśnie robię skan.

 

Dziękuję ci serdecznie Picasso i mogę zdecydowanie powiedzieć że jesteś jeszcze większa profesjonalistką niż za czasów SE, podejście do sprawy kapitalne (Support kilku dużych korporacji mógł by się wiele od twojej metodyki nauczyć). Życzę ci powodzenia w prowadzeniu tego serwisu i w walce z infekcjami.

 

Pozdrawiam, Paweł.

 

EDIT:

Skan całkowicie czysty, (poza WPE) tak że uczciwie uznaje że gdzieś tam popełniłem błąd, w razie jakichkolwiek zmian na pewno poinformuje o rozwoju wydarzeń.

[picasso]

Dzięki za komplementy.

 

 

Skan całkowicie czysty, (poza WPE) tak że uczciwie uznaje że gdzieś tam popełniłem błąd, w razie jakichkolwiek zmian na pewno poinformuje o rozwoju wydarzeń.

 

W takim układzie temat zamykam. Jakby się coś działo, poproś o otworzenie na PW.

 

 

 

.