Rootkit ZeroAccess jak pozbyć się złośliwego wirusa

[sivvy]

Próbowałem używać różnych antywirusów ale niestety żaden nie podołał usunięcia. Tutaj mam aktualne logi http://www.wklej.org/id/745571/ i http://www.wklej.org/id/745572/ natomiast nie wiem jak się pozbyć tego rookita mam nadzieję że wie ktoś i podzieli się ze mną. Z góry wielkie dzięki

[Landuss]

Infekcja ZeroAccess jest aktywna, poz tym są inne śmieci ale najpierw zajmiemy się ZeroAccess. Usuwanie przeprowadzisz z zewnątrz (WinRe).

 

1. Przygotuj w Notatniku następujący skrypt:

 

SubSystems: [Windows] ==> ZeroAccess
CMD: C:\Windows\system32\fsutil.exe reparsepoint delete C:\Windows\system64
NETSVC: mod7700
2 mod7700; C:\Windows\System32\vsmon.dll [6656 2009-07-14] (Oak Technology Inc.)
C:\Windows\System32\vsmon.dll
C:\Windows\System32\consrv.dll
C:\Windows\System32\dds_trash_log.cmd
C:\Windows\assembly\GAC_64\desktop.ini
C:\Windows\assembly\GAC_32\desktop.ini
C:\Windows\assembly\tmp\U
C:\Windows\assembly\tmp\loader.tlb
C:\Windows\assembly\tmp\{1B372133-BFFA-4dba-9CCF-5474BED6A9F6}

 

Plik zapisz pod nazwą fixlist.txt

 

3. Pobierz narzędzie FRST x64. Umieść go na pendrive razem z plikiem fixlist.txt. Przy starcie komputera F8 i wybierz opcję "Napraw komputer", z poziomu linii komend uruchom FRST i klik w Fix. Na pendrive powstanie plik fixlog.txt.

 

4. Restartujesz do Windows.

 

5. Uruchom GrantPerms x64, w oknie wklej:

 

C:\Windows\system64

 

Klik w Unlock.

 

6. Reset Winsock: Start > Uruchom > cmd i wpisz komendę netsh winsock reset. Zresetuj system.

 

7. Do oceny dajesz log z działania w punkcie 3, nowy log z OTL ze skanu oraz z Farbar Service Scanner (zaznacz wszystko do skanowania).

[sivvy]

Hmm, próbowałem ale jak wchodzę w "naprawm komputer" to nie wiem gdzie tam uruchomić to frst ponieważ mam tylko przywracanie systemu inne jekis i wiersz polecenia

[Landuss]

Napisałem ci wyżej:

 

z poziomu linii komend uruchom FRST i klik w Fix. Na pendrive powstanie plik fixlog.txt.

 

Przecież masz wszystko opisane ze screenami tu: https://www.fixitpc.pl/topic/4414-diagnostyka-infekcji-na-niestartujacych-windows/

[sivvy]

http://www.wklej.org/id/745765/ tutaj jest to co mi zapisało na pendraivie po zakończonym procesie tak jak w intrukcji

[Landuss]

To nie jest ten log, o który mi chodziło, zobacz uważnie. To jest log ze skanowania FRST a nie log z wykonania skryptu i według tego co ten log pokazuje skrypt nie został tu wykonany. Dałeś w programie opcję Scan zamiast Fix. Wykonaj to jak należy i zgłoś się z właściwym logiem i z pozostałymi też.

[sivvy]

http://wklej.org/id/745776/ to otrzymalem po kliknieciu fix zamiast scan

 

Nie rozumiem już tam pisze tylko o tym logi z fixa i scanu oby dwa dałem nie widzę nci tam więcej.

[Landuss]

Ciężko to nam idzie strasznie. Czytasz co ja pisałem wyżej? Zobacz na punkt 7. Gdzie są nowe logi z OTL i gdzie log z Farbar Sevice Scanner?

[sivvy]

Log z otl : http://wklej.org/id/745846/ log z fss : http://wklej.org/id/745838/

mam nadzieję że tym razem zrobiłem to co trzeba

[Landuss]

Nie wykonałeś punktu 6, który podałem wcześniej o resecie Winsock więc go wykonaj. Teraz weźmiesz się za naprawę skasowanych usług systemowych.

 

1. Pobierz sobie na dysk tego fixa ode mnie: KLIK. Uruchom go przez dwuklik. Powinna się pojawić informacja o prawidłowym imporcie do rejestru. Ewentualne błędy zignoruj.

 

2. WAŻNE: Zrestartuj system.

 

3. Przejdź do tego tematu: KLIK. Popatrz na sekcję "Rekonstrukcja uprawnień kluczy" i napraw dwie pierwsze - Podstawowy aparat filtrowania (BFE) oraz Zapora systemu Windows (MpsSvc) za pomocą SetACL. Ewentualne błędy zignoruj.

 

4. Zaprezentuj nowy log z FSS.

[sivvy]

zrobiłem tak jak tam było wszystko na tej stronie http://wklej.org/id/745871/

Edytowane 4 Maja 2012 przez sivvy

[Landuss]

Jest prawie dobrze. Tyle jeszcze usługa Windows Defender kieruje na niewłaściwy plik. Zaraz to zostanie naprawione. Można przejść do dalszych czynności.

 

1. Wklej do notatnika systemowego ten tekst:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend]
"DisplayName"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-103"
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,73,00,65,00,63,00,73,00,76,00,63,00,73,00,00,00
"Start"=dword:00000002
"Type"=dword:00000020
"Description"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-1176"
"DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00
"ObjectName"="LocalSystem"
"ServiceSidType"=dword:00000001
"RequiredPrivileges"=hex(7):53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,\
  00,6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,\
  65,00,00,00,53,00,65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,\
  00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,\
  74,00,6f,00,72,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\
  00,00,00,53,00,65,00,44,00,65,00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,\
  69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,68,00,61,00,6e,00,67,\
  00,65,00,4e,00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,\
  6c,00,65,00,67,00,65,00,00,00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,\
  00,74,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\
  53,00,65,00,53,00,68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,50,00,72,00,69,\
  00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6e,00,63,00,\
  72,00,65,00,61,00,73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,72,00,69,\
  00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,41,00,73,00,73,00,\
  69,00,67,00,6e,00,50,00,72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,\
  00,65,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\
  00,00
"DelayedAutoStart"=dword:00000001
"FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\
  00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Parameters]
"ServiceDllUnloadOnStop"=dword:00000001
"ServiceDll"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,69,\
  00,6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,\
  20,00,44,00,65,00,66,00,65,00,6e,00,64,00,65,00,72,00,5c,00,6d,00,70,00,73,\
  00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Security]
"Security"=hex:01,00,14,80,dc,00,00,00,e8,00,00,00,14,00,00,00,30,00,00,00,02,\
  00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
  00,00,02,00,ac,00,06,00,00,00,00,00,28,00,ff,01,0f,00,01,06,00,00,00,00,00,\
  05,50,00,00,00,b5,89,fb,38,19,84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,\
  00,0b,28,00,00,00,00,10,01,06,00,00,00,00,00,05,50,00,00,00,b5,89,fb,38,19,\
  84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,00,00,14,00,fd,01,02,00,01,01,\
  00,00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,\
  05,20,00,00,00,20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,\
  04,00,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,01,\
  01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo\0]
"Type"=dword:00000005
"Action"=dword:00000001
"GUID"=hex:e6,ca,9f,65,db,5b,a9,4d,b1,ff,ca,2a,17,8d,46,e0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender]
"DisableAntiSpyware"=dword:00000000

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku opcja Scal

 

2. Wejdź w panel usuwania programów i odinstaluj pozycję - Complitly / RelevantKnowledge / V9 HomeTool

 

3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL

HKU\S-1-5-21-1064364419-2111931061-2561255621-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1330183526_872031
IE - HKU\S-1-5-21-1064364419-2111931061-2561255621-1000\..\URLSearchHook: {1392b8d2-5c05-419f-a8f6-b9f15a596612} - No CLSID value found
IE - HKU\S-1-5-21-1064364419-2111931061-2561255621-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http: //search.babylon.com/?q={searchTerms}&AF=110000&babsrc=SP_ss&mntrId=f270b2d600000000000060d81924d225
FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)"
FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"
FF - prefs.js..browser.startup.homepage: "http://pl.v9.com/?utm_source=b&utm_medium=idg&from=idg"
[2012-02-25 17:58:39 | 000,000,000 | ---D | M] (Complitly - Speed up your search with your personal search suggestions tool) -- C:\Users\Sivvy\AppData\Roaming\mozilla\Firefox\Profiles\vomarfz4.default\extensions\{33e0daa6-3af3-d8b5-6752-10e949c61516}
[2012-02-25 17:59:01 | 000,000,943 | ---- | M] () -- C:\Users\Sivvy\AppData\Roaming\Mozilla\Firefox\Profiles\vomarfz4.default\searchplugins\conduit.xml
[2012-03-04 22:24:00 | 000,002,310 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml
[2012-02-25 17:25:26 | 000,002,415 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\v9.xml
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKU\S-1-5-21-1064364419-2111931061-2561255621-1000\..\Toolbar\WebBrowser: (no name) - {1392B8D2-5C05-419F-A8F6-B9F15A596612} - No CLSID value found.
O4 - HKLM..\Run: [Freecorder FLV Service] "C:\Program Files (x86)\Freecorder\FLVSrvc.exe" /run File not found
 
:Files
netsh winsock reset /C
C:\Windows\Temp\dblqkv
C:\Windows\system64
C:\Windows\assembly\temp\u
 
:Services
AMService
 
:Reg
[HKEY_USERS\S-1-5-21-1064364419-2111931061-2561255621-1000\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}"
 
:Commands
[emptytemp]

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

4. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL i FSS

[sivvy]

To pierwsze zrobiłem ale nie mogę scalić wyskakuje bląd nie wszystkie dane zostaly zapisane pomyslnie w rejestrze niektore klucze sa otwarte przez system lub inne procesy

[Landuss]

Ten błąd jest do zignorowania. On zawsze występuje przy tej operacji. Tak naprawdę wszystko wykonuje się poprawnie. Wykonuj dalsze punkty.

[sivvy]

fss: http://wklej.org/id/745902/ otl: http://wklej.org/id/745906/

[Landuss]

Jest prawie w porządku. Można przejść do czynności finalnych.

 

1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wpisz komendę netsh winsock reset

 

2. Na tym systemie brakuje pliku hosts i musisz go utworzyć ręcznie. Upewnij się, że masz włączone pokazywanie rozszerzeń (Mój komputer > Organizuj > Opcje folderów i wyszukiwania > Widok > odznacz Ukrywaj rozszerzenia znanych typów). Otwórz Notatnik i wklej w nim:

 

#	127.0.0.1	   localhost
#	::1		   localhost

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz pod nazwą hosts bez żadnego rozszerzenia

 

Plik zapisz na wszelki wypadek na pulpit a potem wstaw do folderu C:\Windows\system32\drivers\etc.

 

3. Użyj opcji Sprzątanie z OTL.

 

4. Opróżnij folder przywracania systemu: KLIK

 

5. Przeskanuj się jeszcze na koniec za pomocą Malwarebytes Anti-Malware

 

6. Zmień hasła logowania do serwisów w sieci - tak na wszelki wypadek.

[sivvy]

jak zaznaczam na wszystkie pliki i nie daje rozszerzenia to zapisuje mi i tak jako txt

[Landuss]

Zależy co masz na myśli. Plik ogólnie jest plikiem tekstowym, chodzi tylko aby nie miał żadnego rozszerzenia. Jeśli zapisujesz go bez rozszerzenia to nie ma prawa być inaczej. Sprawdziłem teraz u siebie i wszystko wykonuje się prawidłowo.

[sivvy]

Nie wiem no zrobiłem tak a ten nadal w txt. Zrobiłem to przez notepad i teraz normalnie zapisało.

Edytowane 4 Maja 2012 przez sivvy

[picasso]

Jeżeli na pewno masz odznaczoną opcję "Ukrywaj rozszerzenia znanych typów", to żaden problem, po prostu zmień ręcznie nazwę tego pliku usuwając rozszerzenie (.txt) i zatwierdzając komunikat ostrzeżeniowy Windows.

[sivvy]

To wszystko tak? Program wykrył y zagrożeń ale to chyba juz nie te rookity tutaj załączam screena : http://tinypic.com/r/2aigabd/6

Jeśli to wszystko to bardzo serdecznie dziękuję za pomoc i za poświęcony mi czas. Jeszcze mam pytanko czy znacie może jakiegoś dobrego i skutecznego antywirusa (moze być płatyne) ponieważ planuje zakup a nie jestem zdecydowany słyszałem wiele opini.

[Landuss]

Te wykrycia to nic szczególnego, możesz pousuwać.

 

Jeszcze mam pytanko czy znacie może jakiegoś dobrego i skutecznego antywirusa (moze być płatyne) ponieważ planuje zakup a nie jestem zdecydowany słyszałem wiele opini.

 

Z darmowych może być Avast, Avira lub Microsoft Security Essentials, z płatnych Kaspersky.

 

Temat jako rozwiązany zamykam.