Win32.ZAccess

[luke555]

Witam,

Jeden z userów mojego latopa dziś (nie wiem dokładnie w jaki sposób ) spowodował zainfekowanie rootkitem/wirusem wymienionym w temacie. Pierwsze co rzuciło mi się w oczy to fakt że w chwili otwarcia firefoxa zapora systemu zapytała czy nadal blokować ten program co wcześniej nie miało miejsca i wiem że to nie jest raczej normalne. Ściągnałem więc Malwarebytes Anti-Malware który w pełnym skanowaniu wykrył 2 zagrożenia które chyba nie stanowiły o problemie. Poza tym co rusz ochrona rzeczywista informowała o zablokowaniu niebezpiecznej strony (różne adresy IP) w momencie kiedy nawet na komputerze nie robiło się nic. Odpaliłem wobec tego eset online scanner który wykrył wirusa którego nazwy już nie pamiętam z tego co pamiętam w pliku netbt.sys, niby usunął ten plik, ale nic to nie dało bo za chwilę pojawiał się znowu. Następnie wybrałem narzędzie Kaspersky removal tool które wykryło ten wirus najprawdopodobniej w tym samym pliku tylko inaczej nazwało zagrożenie czyli win32.zaccess W między czasie usunąłem flash playera. Dopiero po 2 usunięciu wirus przestał być widzialny przez program, przestały sie pojawiać komunikaty o zablokowaniu danego ip ale za to non stop pojawiało się okienko z instalką flash playera. Poza tym zauwqażyłem że po zainfekowaniu po zamknięciu niektórych okien tak jakby komp na chwilę się przycinał i trzeba było odczekać żeby podjąc jakąś kolejną akcję, np. zamknąć kolkejne okno. Sytuacja na ten moment wygląda tak że po 1 restarcie od momentu kiedy wirus już nie jest wykrywany w antywirusie czy tdsskiller nie ma już tego efektu ale nie ma też internetu (karta się lączy bezprzewodowo z routerem ale nie pobiera adresu IP)... Najprawdopodobniej jest to związane z brakiem pliku netbt.sys w systemie. Narazie nie próbuje go odtwarzać tylko proszę o poradę odnośnie logów które zamieszczam poniżej.

Extras.Txt

gmer.txt

OTL.Txt

[Landuss]

Pliku netbt.sys usuwać w żadnym wypadku nie wolno bo to element systemu. Plik należy wymieniać czystą kopią. Ma związek z siecią i dlatego nie ma internetu, zaś OTL notuje jego brak:

 

DRV - File not found [Kernel | System | Stopped] -- system32\DRIVERS\netbt.sys -- (NetBT)

 

1. Pobierz czystą kopię pliku netbt.sys pod XP SP3: KLIK. Plik umieść bezpośrednio w folderze C:\Windows\system32\drivers

 

2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
O3 - HKU\S-1-5-21-114417037-3862488296-44768721-1006\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\S-1-5-21-114417037-3862488296-44768721-1006\..\Toolbar\WebBrowser: (no name) - {C4069E3A-68F1-403E-B40E-20066696354B} - No CLSID value found.
O4 - HKLM..\Run: []  File not found
 
:Files
netsh winsock reset /C
C:\Windows\system32\fsutil.exe reparsepoint delete C:\Windows\$NtUninstallKB45439$ /C
C:\Windows\$NtUninstallKB45439$
 
:Services
SYMIDSCO
INIDVD
 
:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
 
:Commands
[emptytemp]

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Powstanie log, który zachowaj.

 

3. Wykonujesz nowe logi z OTL + Gmer i pokazujesz log z usuwania z punktu 2.

[luke555]

Niestety jest problem z zabijaniem procesów co już zauważyłem wcześniej próbując użyć Temp File Cleaner. Podczas wykonywania skryptu program zawiesza się na Killing processes. Zastosować tryb awaryjny?

[Landuss]

Oczywiście spróbuj w trybie awaryjnym.

[luke555]

W trybie awaryjnym poszło bez problemu. Oczywiście internet jest, problemów które pojawiły się po zainfekowaniu nie widzę. Oto nowe logi, w tym z wykonania skryptu w trybie awaryjnym (reszta zrobiona podczas normalnej pracy windows):

Extras.Txt

gmer.txt

log z wykonanego skryptu.txt

OTL.Txt

[Landuss]

Jest prawie dobrze, ale nadal siedzi link symboliczny rootkita. Kolejne kroki:

 

1. Uruchom GrantPerms, w oknie wklej:

 

C:\Windows\$NtUninstallKB45439$

 

Klik w Unlock.

 

2. Wklej do OTL taki skrypt:

 

:Files

C:\Windows\system32\fsutil.exe reparsepoint delete C:\Windows\$NtUninstallKB45439$ /C
C:\Windows\$NtUninstallKB45439$
 
:Commands
[reboot]

 

3. Do wglądu pokazujesz nowy log z OTL ze skanu (bez ekstras) i z usuwania.

[luke555]

Zrobione. Oto nowe logi:

skrypt.txt

OTL_nowy.Txt

[Landuss]

Jest lepiej bo link został rozlinkowany i teraz jest to już zwykły folder ale nadal nie usunięty całkowicie. Z tym często są problemy. Teraz powinno przejść

 

1. Uruchom GrantPerms, w oknie wklej:

 

C:\Windows\$NtUninstallKB45439$

 

Klik w Unlock.

 

2. Wklej do OTL skrypt:

 

:Files

rd /s /q C:\Windows\$NtUninstallKB45439$ /C
 
:Commands
[reboot]

 

3. Do wglądu dajesz tylko log z usuwania.

[luke555]

Po uruchomieniu ponownym log mi się w ogóle nie pojawił. Natomiast folderu już nie ma w katalogu Windows a jedynie w OTL/moved files.

Aha mam po tym zabiegu widoczne ukryte pliki np. na pulpicie

[Landuss]

Natomiast folderu już nie ma w katalogu Windows a jedynie w OTL/moved files.

 

W takim razie zadanie pomyślnie wykonane.

 

Aha mam po tym zabiegu widoczne ukryte pliki np. na pulpicie

 

OTL przestawia opcje widoku więc nie ma problemu na ich ponowne przestawienie na takie jakie było poprzednio w panelu sterowania.

 

Przejdź do czynności końcowych:

 

1. Użyj opcji Sprzątanie z OTL.

 

2. Opróżnij folder przywracania systemu: KLIK

 

3. Zaktualizuj Jave i Acrobata do najnowszych wersji: KLIK

 

4. Zmień hasła logowania do serwisów w sieci, tak na wszelki wypadek.

 

To by było tyle z mojej strony.

[luke555]

OK, dzięki za pomoc

 

P.S. Przywracanie systemu mam wyłączone na stałe