Wirus adnow

[ziutekk6]

Witam, czytałem poprzednie wątki lecz kompletnie nie wiem o czym piszecie

Mógłby mi ktoś wytłumaczyć w łopatologiczny sposób jak pozbyć się tego syfu ?

[Landuss]

O narzędziu HijackThis jak najszybciej zapomnij i wyrzuć ten program z dysku. Jest przestarzały i nie nadaje się już na dzisiejsze czasy. Log z niego usuwam, a ty wykonaj od razu te zalecenia:

 

1. Użyj z trybu awaryjnego zgodnie z opisem ComboFix. Zachowaj raport z programu.

 

2. Gdy ComboFix ukończy pracę wklej z niego wynikowy log oraz logi z OTL + Gmer

 

 

BTW: Logi proszę wklejać jako załączniki, a nie do posta.

[ziutekk6]

Logi z OTL'a CoomboFix mnie chyba niestety przerasta ale jeszcze się z nim pomęczę. Pozdrawiam

Extras.Txt

OTL.Txt

[Landuss]

Logi z OTL miały być zrobione po ComboFix i nie bez przyczyny podałem taką kolejność. Obecne logi pokazują mi to czego się spodziewałem czyli infekcję ZeroAccess w stanie aktywnym. ComboFix ma za zadanie usunąć tą infekcję i dopiero wtedy pokarzesz mi nowo zrobione logi z OTL (po jego działaniu) żeby było wiadome co zostało usunięte a co nie.

[ziutekk6]

Problem w tym ze komputer nie chce przełączyć się na tryb awaryjny, gdy wciskam f8 pojawia sie okienko biosu bo bootowania czegoś

[Landuss]

W takim razie spróbuj w trybie normalnym.

[ziutekk6]

Na obydwu trybach zatrzymał się na tym od dobrej godziny i nie chce iść dalej, co robić?

[picasso]

W takim razie odpada ComboFix, będzie usuwanie ręczne. Jednakże potrzebne są dane z GMER. Wykonaj log i tu dostarcz.

[ziutekk6]

Proszę bardzo, dwa logi

 

Edit: przy wklejaniu loga wystepuje taki błąd

Błąd Nie masz uprawnień do wysyłania tego typu plików

 

 

Log1

---- System - GMER 1.0.15 ----

 

SSDT \SystemRoot\system32\DRIVERS\avgidsshimx.sys (IDS Application Activity Monitor Loader Driver./AVG Technologies CZ, s.r.o. ) ZwNotifyChangeKey [0x8FB66004]

SSDT \SystemRoot\system32\DRIVERS\avgidsshimx.sys (IDS Application Activity Monitor Loader Driver./AVG Technologies CZ, s.r.o. ) ZwNotifyChangeMultipleKeys [0x8FB660D4]

SSDT \SystemRoot\system32\DRIVERS\avgidsshimx.sys (IDS Application Activity Monitor Loader Driver./AVG Technologies CZ, s.r.o. ) ZwOpenProcess [0x8FB65D76]

SSDT \SystemRoot\system32\DRIVERS\avgidsshimx.sys (IDS Application Activity Monitor Loader Driver./AVG Technologies CZ, s.r.o. ) ZwTerminateProcess [0x8FB65E1E]

SSDT \SystemRoot\system32\DRIVERS\avgidsshimx.sys (IDS Application Activity Monitor Loader Driver./AVG Technologies CZ, s.r.o. ) ZwTerminateThread [0x8FB65EBA]

SSDT \SystemRoot\system32\DRIVERS\avgidsshimx.sys (IDS Application Activity Monitor Loader Driver./AVG Technologies CZ, s.r.o. ) ZwWriteVirtualMemory [0x8FB65F56]

 

---- Kernel code sections - GMER 1.0.15 ----

 

.text ntkrnlpa.exe!ZwSaveKey + 13C1 828763D9 1 Byte [06]

.text ntkrnlpa.exe!KiDispatchInterrupt + 5A2 828AFD52 19 Bytes [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}

.text ntkrnlpa.exe!KeRemoveQueueEx + 1357 828B704C 8 Bytes [04, 60, B6, 8F, D4, 60, B6, ...] {ADD AL, 0x60; MOV DH, 0x8f; AAM 0x60; MOV DH, 0x8f}

.text ntkrnlpa.exe!KeRemoveQueueEx + 139F 828B7094 4 Bytes [76, 5D, B6, 8F] {JBE 0x5f; MOV DH, 0x8f}

.text ntkrnlpa.exe!KeRemoveQueueEx + 166F 828B7364 8 Bytes [1E, 5E, B6, 8F, BA, 5E, B6, ...]

.text ntkrnlpa.exe!KeRemoveQueueEx + 16E3 828B73D8 4 Bytes [56, 5F, B6, 8F] {PUSH ESI; POP EDI; MOV DH, 0x8f}

.text C:\Windows\system32\DRIVERS\atikmdag.sys section is writeable [0x8EE03000, 0x267978, 0xE8000020]

 

---- Devices - GMER 1.0.15 ----

 

AttachedDevice \FileSystem\Ntfs \Ntfs avgidsfilterx.sys (IDS Application Activity Monitor Filter Driver./AVG Technologies CZ, s.r.o. )

AttachedDevice \Driver\tdx \Device\Tcp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)

 

Device \Driver\ACPI_HAL \Device\00000049 halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)

 

AttachedDevice \Driver\volmgr \Device\HarddiskVolume1 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)

AttachedDevice \Driver\volmgr \Device\HarddiskVolume1 rdyboost.sys (ReadyBoost Driver/Microsoft Corporation)

AttachedDevice \Driver\volmgr \Device\HarddiskVolume2 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)

AttachedDevice \Driver\volmgr \Device\HarddiskVolume2 rdyboost.sys (ReadyBoost Driver/Microsoft Corporation)

AttachedDevice \Driver\volmgr \Device\HarddiskVolume3 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)

AttachedDevice \Driver\volmgr \Device\HarddiskVolume3 rdyboost.sys (ReadyBoost Driver/Microsoft Corporation)

AttachedDevice \Driver\volmgr \Device\HarddiskVolume4 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)

AttachedDevice \Driver\volmgr \Device\HarddiskVolume4 rdyboost.sys (ReadyBoost Driver/Microsoft Corporation)

AttachedDevice \Driver\tdx \Device\Udp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)

AttachedDevice \Driver\tdx \Device\RawIp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)

AttachedDevice \FileSystem\fastfat \Fat fltmgr.sys (Menedżer filtrów systemu plików firmy Microsoft/Microsoft Corporation)

AttachedDevice \FileSystem\fastfat \Fat avgidsfilterx.sys (IDS Application Activity Monitor Filter Driver./AVG Technologies CZ, s.r.o. )

 

---- Files - GMER 1.0.15 ----

 

File C:\Windows\$NtUninstallKB40952$\1847201309 0 bytes

File C:\Windows\$NtUninstallKB40952$\1847201309\@ 2048 bytes

File C:\Windows\$NtUninstallKB40952$\1847201309\L 0 bytes

File C:\Windows\$NtUninstallKB40952$\1847201309\L\xadqgnnk 338944 bytes

File C:\Windows\$NtUninstallKB40952$\1847201309\loader.tlb 2632 bytes

File C:\Windows\$NtUninstallKB40952$\1847201309\U 0 bytes

File C:\Windows\$NtUninstallKB40952$\1847201309\U\@00000001 45968 bytes

File C:\Windows\$NtUninstallKB40952$\1847201309\U\@000000c0 2560 bytes

File C:\Windows\$NtUninstallKB40952$\1847201309\U\@000000cb 704 bytes

File C:\Windows\$NtUninstallKB40952$\1847201309\U\@000000cf 1536 bytes

File C:\Windows\$NtUninstallKB40952$\1847201309\U\@80000000 73728 bytes

File C:\Windows\$NtUninstallKB40952$\1847201309\U\@800000c0 43008 bytes

File C:\Windows\$NtUninstallKB40952$\1847201309\U\@800000cb 25600 bytes

File C:\Windows\$NtUninstallKB40952$\1847201309\U\@800000cf 31232 bytes

File C:\Windows\$NtUninstallKB40952$\3332952626 0 bytes

 

---- EOF - GMER 1.0.15 ----

 

 

 

 

 

 

 

log2

GMER 1.0.15.15641 - http://www.gmer.net

Rootkit quick scan 2012-03-29 10:39:37

Windows 6.1.7601 Service Pack 2 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-2 ST3808110AS rev.2AAA

Running: gmer.exe; Driver: C:\Users\Daniel\AppData\Local\Temp\pgddqpoc.sys

 

 

---- Devices - GMER 1.0.15 ----

 

AttachedDevice \FileSystem\fastfat \Fat fltmgr.sys (Menedżer filtrów systemu plików firmy Microsoft/Microsoft Corporation)

AttachedDevice \FileSystem\fastfat \Fat avgidsfilterx.sys (IDS Application Activity Monitor Filter Driver./AVG Technologies CZ, s.r.o. )

AttachedDevice \Driver\tdx \Device\Ip avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)

AttachedDevice \Driver\tdx \Device\Tcp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)

AttachedDevice \Driver\tdx \Device\Udp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)

AttachedDevice \Driver\tdx \Device\RawIp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)

 

---- EOF - GMER 1.0.15 ----

 

[Landuss]

Edit: przy wklejaniu loga wystepuje taki błąd

Błąd Nie masz uprawnień do wysyłania tego typu plików

 

Oczywiście bo wyraźnie jest napisane, że załączniki mają być w formie .TXT a nie .LOG i tylko rozszerzenie wystarczyło zmienić.

 

Patrząc jednak na logi z OTL infekcja nie wydaje się być tutaj w pełni aktywna więc może przez OTL uda się usunąć resztę składników ZeroAccess. Usuwam też resztki po Spybot oraz śmiecia v9.

 

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:Files
C:\Windows\system32\fsutil.exe reparsepoint delete C:\Windows\$NtUninstallKB40952$ /C
C:\Windows\$NtUninstallKB40952$
C:\Windows\System32\%APPDATA%
C:\Users\Daniel\AppData\Local\6e1a0e1d
C:\Windows\System32\dds_log_ad13.cmd
C:\Program Files\mozilla firefox\searchplugins\v9.xml
C:\ProgramData\Spybot - Search & Destroy
 
:Services
VGPU
mcproxy
EverestDriver
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Default_Page_URL"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_USERS\S-1-5-21-2861096368-1483153516-3102804274-1000\SOFTWARE\Microsoft\Internet Explorer\Main]
"Default_Page_URL"="about:blank"
[HKEY_USERS\S-1-5-21-2861096368-1483153516-3102804274-1000\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_USERS\S-1-5-21-2861096368-1483153516-3102804274-1000\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
 
:OTL
FF - prefs.js..browser.startup.homepage: "http://www.v9.com/v9tb/v9tb_1332938099_434680"
O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Users\Daniel\AppData\Roaming\Nowe Gadu-Gadu\_userdata\ggbho.1.dll File not found
O4 - HKLM..\Run: [TaskTray]  File not found
O4 - HKU\S-1-5-21-2861096368-1483153516-3102804274-1000..\Run: [Facebook Update] "C:\Users\Daniel\AppData\Local\Facebook\Update\FacebookUpdate.exe" /c /nocrashserver File not found
O4 - HKU\S-1-5-21-2861096368-1483153516-3102804274-1000..\Run: [LightScribe Control Panel] C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe -hidden File not found
 
:Commands
[emptytemp]

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Powstanie log, który zachowaj.

 

2. Reset Winsock: Start > w polu szukania wpisz Uruchom> cmd i wpisz komendę netsh winsock reset. Zresetuj system.

 

3. Logi pokazują ubytek w postaci braku pliku afd.sys.

Wykonaj komendę sfc /scannow i za pomocą kolejnej komendy przefiltruj log do wystąpień znaczników [sR]: KLIK. Zaprezentuj wynikowy log.

 

4. Dajesz nowe logi do oceny z wynikami przetwarzania skryptu z punktu 1, z Farbar Service Scanner (zaznacz wszystko do skanowania) oraz nowy z OTL na dodatkowym warunku. Uruchom OTL, w sekcji Własne opcje skanowania / skrypt wklej:

 

netsvcs

C:\Windows\*. /RP /s
C:\Windows\$NtUninstallKB40952$;true;true;false /FP
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command

 

Klik w Skanuj.

[ziutekk6]

Proszę, niestety 2 pozostałe logi moją po 10mb i nie wiem jak je wrzucić.

W każdym razie, zwycięstwo google działają normalnie

 

Sory za 2 post ale pewnie nikt by nie przeczytał

Wirus usunięty lecz zauwazyłem że komp zaczął strasznie mulić, otwieranie gier/aplikcacji zabiera przeważnie kilka minut Noi na strone główną wpakowało się jakieś V9 którego za nic nie moge usunąć

 

Pozdrawiam.

FSS.txt

OTL.Txt

03292012_144904.txt

[Landuss]

Tutaj jest jeszcze trochę do roboty. Między innymi skasowana usługa od zapory Windows i to też robota ZeroAccess.

 

1. Wklej do notatnika systemowego ten tekst:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command]
@="C:\\Program Files\\Mozilla Firefox\\firefox.exe"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command]
@="C:\\Program Files\\Internet Explorer\\iexplore.exe"

 

Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG >>> uruchom ten plik

 

2. Wejdź w ten temat: KLIK. Przejdź w sekcje "Rekonstrukcja kluczy usług" i napraw dwie pierwsze - Podstawowy aparat filtrowania (BFE) oraz Zapora systemu Windows (MpsSvc) importując podane wpisy rejestru. Następnie przejdź niżej do rekonstrukcji uprawnień kluczy i wykonaj też dla tych dwóch naprawę przez SetACL.

 

Następnie Start > w polu szukania wpisz services.msc > z prawokliku Uruchom jako Administrator > na liście wyszukaj usługę Zapora systemu Windows oraz Podstawowy aparat filtrowania, z dwukliku wejdź do właściwości i zastartuj przyciskiem.

 

3. Po wykonaniu wszystkiego zgłoś się z nowym logiem z FSS.

[ziutekk6]

Już biorę się do roboty, mianowicie przy grzebaniu w kompie natrafiłem na coś co tłumaczyło by tak wolne jego działanie.

 

. Następnie przejdź niżej do rekonstrukcji uprawnień kluczy i wykonaj też dla tych dwóch naprawę przez SetACL.

Niestety po wpisaniu komendy SetACL -on "HKLM\SYSTEM\CurrentControlSet\Services\BFE" -ot reg -actn restore -bckp C:\fix.txt

Pojawia się komunikat " Nazwa SetACL nie jest rozpoznawana jako polecenie wewnętrzne lub zewnętrzne, plik wykrywalny lub plik wsadowy"

[Landuss]

Wolnym działaniem zajmiemy sie na końcu, najpierw trzeba naprawić wszystkie szkody po infekcji.

 

A czy SetACL na pewno masz w katalogu C:\Windows ?

[ziutekk6]

Wolnym działaniem zajmiemy sie na końcu, najpierw trzeba naprawić wszystkie szkody po infekcji.

 

A czy SetACL na pewno masz w katalogu C:\Windows ?

Tak, na pewno

[Landuss]

W takim razie wykonaj sprawdzenie zmiennych środowiskowych:

 

Panel sterowania > System i zabezpieczenia > System > Zaawansowane ustawienia systemu > Zmienne środowiskowe > w sekcji Zmienne systemu sprawdź czy zmienna Path ma taki ciąg:

 

%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;%SYSTEMROOT%\System32\WindowsPowerShell\v1.0\

 

Jeśli ma inny ciąg, zedytuj do powyższej wartości a jeśli w ogóle jej nie ma utwórz ją z opcji Nowa.

[ziutekk6]

Zmieniłem, teraz znowu co innego..

[Landuss]

Teraz to jest już błąd od SetACL ale dlaczego to nie mam pojęcia. Może wykonaj wszystko od początku czyli pobierz narzędzie od nowa i fix.txt też wykonaj od nowa. Wyłącz wszelkie programy zabezpieczające na czas wykonywania.

[ziutekk6]

Zrobiłem wszystko od nowa i dalej to samo a komputer chodzi tak wolno że robić na nim cokolwiek to katusze Użycie procesora ciągle wynosi 100%

[picasso]

Ta część nie jest sprawdzona:

 

3. Logi pokazują ubytek w postaci braku pliku afd.sys.

Wykonaj komendę sfc /scannow i za pomocą kolejnej komendy przefiltruj log do wystąpień znaczników [sR]: KLIK. Zaprezentuj wynikowy log.

 

Mówiłeś:

 

Proszę, niestety 2 pozostałe logi moją po 10mb i nie wiem jak je wrzucić.

 

Czy na pewno mówimy o logu filtrowanym komendą:

 

findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt

 

 

Zrobiłem wszystko od nowa i dalej to samo a komputer chodzi tak wolno że robić na nim cokolwiek to katusze Użycie procesora ciągle wynosi 100%

 

Sprawdź czy nie wystąpiła degradacja szybkości transferu dysku z DMA do PIO (to się czasem dzieje podczas skanowania GMER na starszych dyskach). Start > w polu szukania wpisz devmgmt.msc > z prawokliku Uruchom jako Administrator. W menu Widok ustaw "Urządzenia wg połączeń". Rozwiń gałąź urządzeń tak, by wyszukać gdzie jest dysk twardy. Z prawokliku na kanał na którym jest dysk pobierz Właściwości > Ustawienia zaawansowane > co stoi jako "Bieżący tryb transferu"? Przedstaw zrzut ekranu z tego.

 

 

 

 

.

[ziutekk6]

A powiedz mi, widzisz gdzieś tu dysk twardy czy ja jestem juz stary i ślepy?

Uruchomiłem oczywiście jako administrator lecz nie mam zakładki Ustawienia zaawansowane

[picasso]

Proszę uważnie popatrz raz jeszcze na mój obrazek i instrukcje, które podałam. Przecież w ogóle nie rozwinąłeś gałęzi do końca. Po rozwinięciu "Komputer ...", rozwijasz "System zgodny ze standardem ..." i tak dalej w głąb, aż dojdziesz do dysku twardego ... A Właściwości masz pobrać dla kanału na którym dysk jest podpięty (porównaj z moim obrazkiem = ATA Channel X) a nie dla dysku jako takiego.

 

PS. I nadal nie dostarczyłeś raportu filtrowanego z polecenia sfc /scannow.

 

 

.

[ziutekk6]

Rozumiem że chodzi o to ?

[picasso]

1. Co do Menedżera urządzeń: to są napędy DVD a nie dysk twardy. Szukaj dysku twardego. Jest na innym kontrolerze podpięty.

 

2. To jest skan SFC uruchomiony teraz. Ja proszę o wyniki z tamtego uruchomienia, czyli w cmd uruchomionym jako Administrator wklej komendę:

 

findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt

 

To otworzy automatycznie filtrowany log. W Załącznikach wstaw ten plik.

 

 

.

[ziutekk6]

Teraz to musi być to

sfc.txt