Rootkit ZeroAccess

[karol995]

Witam. Zostałem tu odesłany z forum.idg.pl. Otóż wkleiłem tam loga do sprawdzenia, ponieważ komputer wolno chodził, a także nie chciał połączyć się z internetem. Tu wklejam loga: http://wklej.to/556Yu . Wie ktoś co na to poradzić?

[picasso]

karol995 ten log nie wystarczy. Zestaw logów wymaganych tutaj: KLIK. Log z OTL niepełny, nie ma Extras (opcja "Rejestr - skan dodatkowy" nie została ustawiona na "Użyj filtrowania"). Nie ma obowiązkowego raportu pod kątem rootkitów, czyli GMER. I podaj temat na IDG, gdzie zaczęto wątek.

[karol995]

dobrze. zaraz się tym zajmę, wybacz, jestem nowy na tym forum

 

http://forum.idg.pl/prosba-o-sprawdzenie-loga-brak-internetu-t213017.html/page__p__1636669#entry1636669 to jest temat na IDG.

OTL.txt : http://wklej.org/id/717671/

Extras.txt : http://wklej.org/id/717674/

GMER: http://wklej.org/id/717675/

 

Mam nadzieje, że wkleiłem wszystko co potrzebne.

[picasso]

Teraz mam jasny obraz sytuacji. Nie, tu nie ma czynnego rootkita ZeroAccess, tylko ślady po nim oraz uszkodzenia usług Windows. Na razie jest dla mnie widzialna ta usterka, w postaci usuniętego pliku sieciowego MRxSmb:

 

DRV - File not found [File_System | System | Stopped] -- system32\DRIVERS\mrxsmb.sys -- (MRxSmb)

 

... oraz naruszony Winsock w części NameSpace:

 

O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Program Files\Bonjour\mdnsNSP.dll File not found

 

Masz również szczątki Avast oraz zdekompletowaną Avirę, która wygląda jakby nie była zainstalowana mimo obecności plików na dysku ... Co tu się działo z Avirą? Nawiasem mówiąc, "Skrót do ComboFix.exe"? Nawet o tym nie myśl. Narzędzie nie jest przeznaczone do domowego użytku na zasadzie regularnego skanera (KLIK). I wygasa.

 

 

---

1. Posprzątaj szczątki po Avast posiłkując się narzędziem firmowym Avast Uninstall Utility uruchomionym z poziomu Trybu awaryjnego Windows. Na razie Avirę zostawiam w spokoju.

 

2. Uzupełnij brakujący plik sieciowy. Paczka ZIP do pobrania: KLIK. Rozpakowany plik wstaw do katalogu C:\Windows\system32\drivers.

 

3. Odbudowana Winsock NameSpace do postaci fabrycznej XP. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5]
"Num_Catalog_Entries"=dword:00000003
"Serial_Access_Num"=dword:00000004
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000001]
"LibraryPath"="%SystemRoot%\\System32\\mswsock.dll"
"DisplayString"="TCP/IP"
"ProviderId"=hex:40,9d,05,22,9e,7e,cf,11,ae,5a,00,aa,00,a7,11,2b
"SupportedNameSpace"=dword:0000000c
"Enabled"=dword:00000001
"Version"=dword:00000000
"StoresServiceClassInfo"=dword:00000000
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000002]
"LibraryPath"="%SystemRoot%\\System32\\winrnr.dll"
"DisplayString"="NTDS"
"ProviderId"=hex:ee,37,26,3b,80,e5,cf,11,a5,55,00,c0,4f,d8,d4,ac
"SupportedNameSpace"=dword:00000020
"Enabled"=dword:00000001
"Version"=dword:00000000
"StoresServiceClassInfo"=dword:00000000
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000003]
"LibraryPath"="%SystemRoot%\\System32\\mswsock.dll"
"DisplayString"="Obszar nazw rozpoznawania lokalizacji w sieci (NLA)"
"ProviderId"=hex:3a,24,42,66,a8,3b,a6,4a,ba,a5,2e,0b,d7,1f,dd,83
"SupportedNameSpace"=dword:0000000f
"Enabled"=dword:00000001
"Version"=dword:00000000
"StoresServiceClassInfo"=dword:00000000

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik

 

4. Usunięcie szczątków. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files

C:\Documents and Settings\Marta\Ustawienia lokalne\Dane aplikacji\a2b6947b
C:\Documents and Settings\All Users\Dane aplikacji\3b10
C:\Documents and Settings\All Users\Dane aplikacji\658171
C:\Documents and Settings\Marta\Dane aplikacji\Search Settings
C:\Program Files\Common Files\AutoCompleteInstaller-VD.exe
del "\\?\C:\Documents and Settings\Marta\Pulpit\CAZIWJZL. " /C
 
:OTL
FF - prefs.js..extensions.enabledItems: {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A}:2.0.0.66311
IE - HKU\S-1-5-21-746137067-484061587-839522115-1003\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = "http://search.bearshare.com/webResults.html?src=ieb&q={searchTerms}"
IE - HKU\S-1-5-21-746137067-484061587-839522115-1003\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2612669"
IE - HKU\S-1-5-21-746137067-484061587-839522115-1003\..\URLSearchHook: {472734EA-242A-422b-ADF8-83D1E48CC825} - No CLSID value found
O2 - BHO: (Adobe PDF Reader Link Helper) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll File not found
O2 - BHO: (no name) - {0FB6A909-6086-458F-BD92-1F8EE10042A0} - No CLSID value found.
O2 - BHO: (no name) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - No CLSID value found.
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - No CLSID value found.
O2 - BHO: (no name) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - No CLSID value found.
O3 - HKU\S-1-5-21-746137067-484061587-839522115-1003\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\S-1-5-21-746137067-484061587-839522115-1003\..\Toolbar\WebBrowser: (no name) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - No CLSID value found.
O3 - HKU\S-1-5-21-746137067-484061587-839522115-1003\..\Toolbar\WebBrowser: (no name) - {E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F} - No CLSID value found.
O9 - Extra Button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\Marta\Menu Start\Programy\IMVU\Run IMVU.lnk File not found
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab" (Reg Error: Key error.)
SRV - File not found [On_Demand | Stopped] -- C:\Program Files\McAfee Security Scan\2.0.181\McCHSvc.exe -- (McComponentHostService)
 
:Reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{D0C73318-7B4A-4D16-A0C4-3B83F075EA88}]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Program Files\SopCast\adv\SopAdver.exe"=-
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami usuwania.

 

5. Otwórz Google Chrome i menedżerze rozszerzeń wymontuj adware AutocompletePro.

 

6. Wygeneruj do oceny nowy log z OTL z opcji Skanuj bez Extras lecz na warunku dostosowanym (patrz niżej) + AdwCleaner z opcji Search + Farbar Service Scanner (wszystkie opcje zaznaczone). Dołącz też log z usuwania otrzymany w punkcie 4.

 

Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

dir /s /a C:\WINDOWS\assembly /C

 

Klik w Skanuj (a nie Wykonaj skrypt!).

 

 

 

.

[karol995]

skopiowałem to co napisałeś i zapisałem jako wszystkie pliki, nazwa FIX.REG, uruchamiam, klikam tak i wyskakuje błąd: Nie można zaimportować "ścieżka do pliku": Określony plik nie jest skryptem rejestru. Można importować tylko binarne pliki rejestru z wewnątrz Edytora rejestru . Apropo 5 punktu, to w panelu sterowania nie ma zainstalowanego Google Chrome.

[picasso]

skopiowałem to co napisałeś i zapisałem jako wszystkie pliki, nazwa FIX.REG, uruchamiam, klikam tak i wyskakuje błąd: Nie można zaimportować "ścieżka do pliku": Określony plik nie jest skryptem rejestru. Można importować tylko binarne pliki rejestru z wewnątrz Edytora rejestru .

 

A dzieje się tak, bo nie wkleiłeś wszystkiego, pominąłeś niezbędny nagłówek pliku Windows Registry Editor Version 5.00 definiujący format.

 

PS. napisałam.

 

 

Apropo 5 punktu, to w panelu sterowania nie ma zainstalowanego Google Chrome.

 

Log z OTL wychwytuje ustawienia tej przeglądarki:

 

 

 

========== Chrome ==========

 

CHR - default_search_provider: Google (Enabled)

CHR - default_search_provider: search_url = {google:baseURL}search?{google:RLZ}{google:acceptedSuggestion}{google:originalQueryForSuggestion}sourceid=chrome&ie={inputEncoding}&q={searchTerms}

CHR - default_search_provider: suggest_url = {google:baseSuggestURL}search?client=chrome&hl={language}&q={searchTerms}

CHR - plugin: Chrome PDF Viewer (Enabled) = C:\Documents and Settings\Marta\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\9.0.597.84\pdf.dll

CHR - plugin: Google Gears 0.5.33.0 (Enabled) = C:\Documents and Settings\Marta\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\9.0.597.84\gears.dll

CHR - plugin: Shockwave Flash (Enabled) = C:\Documents and Settings\Marta\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\9.0.597.84\gcswf32.dll

CHR - plugin: Adobe Acrobat (Enabled) = C:\Program Files\Adobe\Reader 8.0\Reader\Browser\nppdf32.dll

CHR - plugin: Java Deployment Toolkit 6.0.200.2 (Enabled) = C:\Program Files\Java\jre6\bin\new_plugin\npdeployJava1.dll

CHR - plugin: Java™ Platform SE 6 U20 (Enabled) = C:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll

CHR - plugin: Ganymede Plugin (Enabled) = C:\Program Files\Mozilla Firefox\plugins\NPBOARDS.dll

CHR - plugin: GanymedeNet.Detector (Enabled) = C:\Program Files\Mozilla Firefox\plugins\npganymedenet.dll

CHR - plugin: Ganymede Plugin (Enabled) = C:\Program Files\Mozilla Firefox\plugins\NPMAKAOV2.dll

CHR - plugin: Ganymede Plugin (Enabled) = C:\Program Files\Mozilla Firefox\plugins\NPSOLITAIRE.dll

CHR - plugin: QuickTime Plug-in 7.5.5 (Enabled) = C:\Program Files\QuickTime\plugins\npqtplugin.dll

CHR - plugin: QuickTime Plug-in 7.5.5 (Enabled) = C:\Program Files\QuickTime\plugins\npqtplugin2.dll

CHR - plugin: QuickTime Plug-in 7.5.5 (Enabled) = C:\Program Files\QuickTime\plugins\npqtplugin3.dll

CHR - plugin: QuickTime Plug-in 7.5.5 (Enabled) = C:\Program Files\QuickTime\plugins\npqtplugin4.dll

CHR - plugin: QuickTime Plug-in 7.5.5 (Enabled) = C:\Program Files\QuickTime\plugins\npqtplugin5.dll

CHR - plugin: QuickTime Plug-in 7.5.5 (Enabled) = C:\Program Files\QuickTime\plugins\npqtplugin6.dll

CHR - plugin: QuickTime Plug-in 7.5.5 (Enabled) = C:\Program Files\QuickTime\plugins\npqtplugin7.dll

CHR - plugin: Microsoft\u00AE DRM (Enabled) = C:\Program Files\Windows Media Player\npdrmv2.dll

CHR - plugin: Windows Media Player Plug-in Dynamic Link Library (Enabled) = C:\Program Files\Windows Media Player\npdsplay.dll

CHR - plugin: Microsoft\u00AE DRM (Enabled) = C:\Program Files\Windows Media Player\npwmsdrm.dll

CHR - plugin: Google Update (Enabled) = C:\Documents and Settings\Marta\Ustawienia lokalne\Dane aplikacji\Google\Update\1.2.183.39\npGoogleOneClick8.dll

CHR - plugin: Picasa (Enabled) = C:\Program Files\Google\Picasa3\npPicasa3.dll

CHR - plugin: iTunes Application Detector (Enabled) = C:\Program Files\iTunes\Mozilla Plugins\npitunes.dll

CHR - plugin: Shockwave Flash (Enabled) = C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll

CHR - plugin: Default Plug-in (Enabled) = default_plugin

CHR - Extension: AutocompletePro plugin for chrome = C:\Documents and Settings\Marta\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\defdhglnppeioeflggkmglipcecffkhk\1.0_0\

 

 

Skoro Google Chrome nie wygląda na zainstalowane, skasuj z dysku cały folder. W pasku adresów Windows Explorer wklej C:\Documents and Settings\Marta\Ustawienia lokalne\Dane aplikacji i ENTER. Ze środka przez SHIFT+DEL usuń folder Google.

 

 

 

 

.

[karol995]

Dobra, już sobie poradziłem, tylko nie moge znaleźć Google Chrome

[picasso]

Przecież napisałam powyżej jak postąpić z Google Chrome ...

[karol995]

log z OTL: http://wklej.to/fHQEM

AdwCleaner: http://wklej.to/DyR5s

FSS: http://wklej.to/fXdWk

 

Loga po 4 punkcie niestety nie zapisałem, ponieważ nie doczytałem do końca instrukcji, którą mi NAPISAŁAŚ .. Pozostałe punkty wykonałem

 

+ zapomniałem napisać, ze komputer nie moze się połączyć z internetem, zarówno bezprzewodowo, jak i kablem

[picasso]

karol995, do uzupełniania wypowiedzi służy opcja Edytuj. Nie twórz postów w serii jeden pod drugim, jeśli nikt jeszcze nie odpisał. Posty łączę. Nie wypowiedziałeś się na temat tego co tu się działo z Avirą, którą - jak mówiłam - widzę w stanie niepełnym (tylko pliki na dysku, brak usług):

 

[2012-03-24 15:04:52 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Marta\Dane aplikacji\Avira
[2012-03-24 14:59:29 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Menu Start\Programy\Avira
[2012-03-24 14:59:17 | 000,028,520 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\ssmdrv.sys
[2012-03-24 14:59:15 | 000,137,416 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avipbb.sys
[2012-03-24 14:59:15 | 000,074,640 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntflt.sys
[2012-03-24 14:59:15 | 000,036,000 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avkmgr.sys
[2012-03-24 14:59:14 | 000,000,000 | ---D | C] -- C:\Program Files\Avira
[2012-03-24 14:59:14 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\Avira

 

Na temat wykonanych zadań: prawie. Do przeprowadzenia:

 

1. AdwCleaner widzi drobne szczątki adware. Zastosuj w nim opcję Delete.

 

2. Jest na Pulpicie plik o wadliwej nazwie i tradycyjnie nie da się go usunąć:

 

File not found -- C:\Documents and Settings\Marta\Pulpit\CAZIWJZL.

 

Plik usuniesz za pomocą narzędzia Delete FXP Files.

 

 

+ zapomniałem napisać, ze komputer nie moze się połączyć z internetem, zarówno bezprzewodowo, jak i kablem

 

Co do padniętej sieci, Farbar Service Scanner nie notuje określonych ubytków. Przeprowadź następującą procedurę ręcznego przeładowania TCP/IP: KLIK.

 

 

.

[karol995]

Wykonałem to co napisałaś. A co do Aviry, do pobrałem instalke z drugiego komputera, zainstalowałem, ale nie mogłem jej zaktualizować, może dlatego nie widać usług. Co do internetu to dalej nie łączy z siecią bezprzewodową,a za pomocą kabla następujący komunikat : "Ograniczenie lub brak łączności. Możesz nie meć dostępu do internetu lub niektórych zasobów sieciowych. Ten problem wystąpił, ponieważ sieć nie przypisała adresu sieciowego do tego komputera."

[picasso]

A co do Aviry, do pobrałem instalke z drugiego komputera, zainstalowałem, ale nie mogłem jej zaktualizować, może dlatego nie widać usług.

 

Avira wygląda tu na nie zainstalowaną w pełni a nie tylko brak aktualizacji baz. Tu trzeba będzie ją nadpisać ponownie. Ale na razie ten wątek zostawiam.

 

 

Co do internetu to dalej nie łączy z siecią bezprzewodową,a za pomocą kabla następujący komunikat : "Ograniczenie lub brak łączności. Możesz nie meć dostępu do internetu lub niektórych zasobów sieciowych. Ten problem wystąpił, ponieważ sieć nie przypisała adresu sieciowego do tego komputera."

 

Start > Uruchom > devmgmt.msc, w menu Widok włącz pokazywanie ukrytych urządzeń. Odinstaluj wszystko co ma oznaczenie wykrzyknika / pytajnika (o ile coś takiego będzie) oraz wszystkie interfejsy sieciowe. Zresetuj system. Przy restarcie system przebuduje obiekty. Podaj czy nastąpiła jakaś zmiana.

 

 

 

.

[karol995]

Nie było żadnych wykrzykników/pytajników. A wszystkie interfejsy sieciowe odinstalowałem, lecz nic to nie dało.

[picasso]

Dostarcz pełne dzienniki zdarzeń do oceny. Start > Uruchom > eventvwr.msc, z prawokliku na gałąź SYSTEM + Aplikacje zapisz je do nowy plików EVT. Pliki te zapakuj do ZIP, shostuj gdzieś i podaj tu link do paczki.

[karol995]

Proszę bardzo: http://speedy.sh/Yjq2R/Dziennikzdarzen.zip

[picasso]

W dzienniku są takie błędy:

 

Identyfikator 1006, Dhcp
Komputer nie może automatycznie skonfigurować parametrów IP dla karty sieciowej o adresie 000E35F4FE97.
Wystąpił błąd podczas konfigurowania: Użyto adresu niezgodnego z żądanym protokołem.
 
Identyfikator 7023, Service Control Manager
Usługa Usługi IPSEC zakończyła działanie; wystąpił następujący błąd: 
Użyto adresu niezgodnego z żądanym protokołem. 
 
Identyfikator 7023, Service Control Manager
Usługa Zapora systemu Windows/Udostępnianie połączenia internetowego zakończyła działanie; wystąpił następujący błąd: 
Użyto adresu niezgodnego z żądanym protokołem.

 

To spróbuj teraz zresetować ustawienia sieci w normalny sposób:

 

Start > Uruchom > cmd i wpisz po kolei komendy:

 

netsh winsock reset

netsh int ip reset resetlog.txt

 

Zresetuj system.

 

 

 

.

[karol995]

Niestety nic to nie dało .

[picasso]

Tu już chyba zostaje tylko reinstalacja Windows, skoro nie pomogło nawet przeładowanie stosu TCP/IP. Mam pytanie: co się działo podczas przeprowadzania reinstalacji TCP/IP podaną wcześniej metodą? Czy były jakieś błędy podczas tego procesu?

Edytowane 7 Maja 2012 przez picasso
7.05.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso