Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Problem - prawdopodobnie rootkit/botnet

radioactive15

Przez radioactive15
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

radioactive15

radioactive15

Opublikowano
Opublikowano

Witam

Otóż od dwóch dni zauważyłem iż mój komputer po aktualizacji Java z 6 na 7 zaczął się zawieszać.

Dzisiaj postanowiłem zająć się diagnostyką.

I tak,od włączenia komputera zauważyłem połączenie procesu explorer.exe z ip należącego do Malezji. (firma hostingowa).

Domyśliłem się że może być to rootkit lub botnet należący do sieci zombie.

Zacząłem skanowanie od Dr.Web Cure it.Wykryło kilka moich programów (interesuje się bezpieczeństwem-amator),oraz Java.BitCoinMiner.1 czy coś w tym stylu,został usunięty.

Sprawdziłem czy nie mam infekcji ZeroAccess- czysty.

Później pojechałem Gmer'em i OTL.

Gmer nic nie wykrył,nie mam pojęcia co to może być.

Jak coś-proces "oxsb2g2h.exe" to Gmer :)

Poniżej zamieszczam logi.

 

Webroot AntiZeroAccess 0.8 Log File

Execution time: 19/06/2012 - 13:48

Host operation System: Windows Xp X86 version 5.1.2600 Dodatek Service Pack 3

13:48:05 - CheckSystem - Begin to check system...

13:48:05 - OpenRootDrive - Opening system root volume and physical drive....

13:48:05 - C Root Drive: Disk number: 0 Start sector: 0x00000800 Partition Size: 0x0BD74000 sectors.

13:48:05 - PrevX Main driver extracted in "C:\WINDOWS\system32\drivers\ZeroAccess.sys".

13:48:05 - InstallAndStartDriver - Main driver was installed and now is running.

13:48:05 - CheckSystem - Disk class driver state is OK.

13:48:06 - CheckFile - Unable to send FSCTL_GET_RETRIEVAL_POINTERS to file object. DeviceIoControl last error: 5

13:48:06 - CheckFile - Unable to send FSCTL_GET_RETRIEVAL_POINTERS to file object. DeviceIoControl last error: 5

13:48:06 - CheckFile - Unable to send FSCTL_GET_RETRIEVAL_POINTERS to file object. DeviceIoControl last error: 5

13:48:06 - CheckFile - Unable to send FSCTL_GET_RETRIEVAL_POINTERS to file object. DeviceIoControl last error: 5

13:48:06 - CheckFile - Unable to send FSCTL_GET_RETRIEVAL_POINTERS to file object. DeviceIoControl last error: 5

13:48:07 - CheckFile - Unable to read "sptd.sys" file. CreateFile last eror: 0x00000020.

13:48:07 - StopAndRemoveDriver - AntiZeroAccess Driver is stopped and removed.

13:48:07 - StopAndRemoveDriver - File "ZeroAccess.sys" was deleted!

13:48:07 - Execution Ended!

OTL.Txt

Extras.Txt

Gmer.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Jest tu czynna podejrzana usługa, która wygląda na podróbkę usługi IPv6:

 

SRV - [2008-04-14 22:51:50 | 000,116,224 | --S- | M] (Microsoft Corporation) [Auto | Running] -- C:\WINDOWS\system32\c6to4.dll -- (6to4)

 

Ta usługa w oryginale na XP wygląda następująco, skierowanie na całkiem inny plik:

 

SRV - [2010-02-12 06:34:58 | 000,100,864 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\WINDOWS\system32\6to4svc.dll -- (6to4)

 

Ponadto, są na dysku pewne foldery relatywne do infekcji oraz widać szczątki infekcji z dysków wymiennych. W autoryzacji zapory jest jeden wpis sugerujący, że tu był wirus Sality (infekujący wszystkie wykonywalne na wszystkich dyskach) + mapowanie MountPoints pokazuje historyczne podpięcia zainfekowanych nośników USB:

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"O:\wmpbpl.exe" = O:\wmpbpl.exe:*:Enabled:ipsec
 
O33 - MountPoints2\{2d1835a2-cfc2-11e0-9109-002618d43932}\Shell\AutoRun\command - "" = nhbivui.exe
O33 - MountPoints2\{2d1835a2-cfc2-11e0-9109-002618d43932}\Shell\explore\Command - "" = nhbivui.exe
O33 - MountPoints2\{2d1835a2-cfc2-11e0-9109-002618d43932}\Shell\open\Command - "" = nhbivui.exe
O33 - MountPoints2\{c390f92e-8abd-11e0-9038-002618d43932}\Shell\AutoRun\command - "" = O:\setup.exe
O33 - MountPoints2\{d68a8840-402b-11e1-925f-002618d43932}\Shell\AUtoplay\cOmManD - "" = O:\wmpbpl.exe
O33 - MountPoints2\{d68a8840-402b-11e1-925f-002618d43932}\Shell\AutoRun\command - "" = O:\wmpbpl.exe
O33 - MountPoints2\{d68a8840-402b-11e1-925f-002618d43932}\Shell\eXpLore\COMMand - "" = O:\wmpbpl.exe
O33 - MountPoints2\{d68a8840-402b-11e1-925f-002618d43932}\Shell\opEn\coMmANd - "" = O:\wmpbpl.exe

 

Niemniej reszta danych z OTL nie wskazuje, by tu była ta infekcja w stanie czynnym, to wygląda raczej na stare odpadki. Skanowałeś też Dr. Web, a ten nie powinien być ślepy na tę infekcję.

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
SRV - [2008-04-14 22:51:50 | 000,116,224 | --S- | M] (Microsoft Corporation) [Auto | Running] -- C:\WINDOWS\system32\c6to4.dll -- (6to4)
SRV - File not found [Disabled | Stopped] -- C:\Program Files\OpenVPN Technologies\OpenVPN Client\core\capiws.exe -- (OpenVPNAccessClient)
DRV - File not found [Kernel | Disabled | Stopped] -- System32\Drivers\usbVM31b.sys -- (ZSMC302)
DRV - File not found [Kernel | Disabled | Stopped] -- system32\DRIVERS\wanatw4.sys -- (wanatw)
DRV - File not found [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\Drivers\PROCEXP151.SYS -- (PROCEXP151)
DRV - File not found [Kernel | Disabled | Unknown] -- C:\WINDOWS\System32\drivers\dwshd.sys -- (dwshd)
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
"EnableLUA"=-
 
:Files
netsh firewall reset /C
C:\Documents and Settings\All Users\Dane aplikacji\kYkUJjRyDFrudCR8r4
C:\Documents and Settings\Maks i Michał\Dane aplikacji\dclogs
C:\Documents and Settings\Maks i Michał\Dane aplikacji\wyUpdate AU
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany, otrzymasz log z wynikami.

 

2. Wyczyść preferencje Firefox z adware pochodzącego z wtyczek vShare / LiveVDO. Zastosuj AdwCleaner z opcji Delete.

 

3. Wygeneruj nowy log z OTL z opcji Skanuj (już bez Extras). Dodaj logi automatycznie utwoprzone z usuweania w punktach 1+2.

 

 

I tak,od włączenia komputera zauważyłem połączenie procesu explorer.exe z ip należącego do Malezji. (firma hostingowa).

 

W jaki sposób to sprawdziłeś / czym?

 

 

Sprawdziłem czy nie mam infekcji ZeroAccess- czysty.

 

Tym narzędziem tego nie potwierdzisz. Ten specyficzny skaner adresuje starszy wariant infekcji. Aktualnie w obiegu są dwie nowe postaci trojana, które działają kompletnie inną techniką i żadne z narzędzi dedykowanych do usuwania ZeroAccess nie wykrywa tego.

 

 

Jak coś-proces "oxsb2g2h.exe" to Gmer

 

To jest dla nas oczywiste. Po pierwsze stały charakterystyczny rozmiar pliku, po drugie nagłówek loga z GMER ma precyzyjne dane z jakiego EXE startował GMER i jaką usługę tymczasową montował:

 

GMER 1.0.15.15641 - "http://www.gmer.net"
Rootkit scan 2012-06-19 21:02:48
Windows 5.1.2600 Dodatek Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-6 ST3500418AS rev.CC34
Running: oxsb2g2h.exe; Driver: C:\DOCUME~1\MAKSIM~1\USTAWI~1\Temp\axldipog.sys

 

 

Otóż od dwóch dni zauważyłem iż mój komputer po aktualizacji Java z 6 na 7 zaczął się zawieszać.

 

Dodatkowe uwagi, do wdrożenia już po czyszczeniu systemu:

 

1. W Dzienniku zdarzeń jest m.in. taki oto błąd sugerujący uszkodzenie struktury systemu plików:

 

Error - 2012-06-19 07:55:55 | Computer Name = STACJONARNY | Source = Ntfs | ID = 262199
Description = Struktura systemu plików na dysku jest uszkodzona i nie do użytku.
Uruchom narzędzie chkdsk na woluminie C:.

 

Dostosuj się do komunikatu i przeprowadź sprawdzanie dysku pod kątem błędów.

 

2. Podejrzewać też można i aktywność Kasperskiego.

 

3. Do deinstalacji zbędny Akamai NetSession Interface. Odśwież też kodeki K-Lite Codec Pack.

 

 

 

 

.

Odnośnik do komentarza
radioactive15

radioactive15

Opublikowano
  • Autor
Opublikowano

hmm tak miałem kilka razy infekcję Sality oraz z urządzeń przenośnych,ale zazwyczaj walczyłem z nimi sposobem-tryb awaryjny i dr web.

Nie wiem czy tak powinno być ale podczas wykonywania skryptu przy etapie "Trwa zamykanie systemu Windows..." komputer się zawiesił przez 10 minut i musiałem pojechać dolnym resetem.

Krok drugi wykonany.

Trzeci także.

IP sprawdziłem poprzez aktywność sieciową w Kaspersky.

Po wpisaniu adresu w google,wyskoczyło mi że pochodzi z firmy hostingowej.

124.217.231.213

AdwCleanerS1.txt

06202012_143340.txt

OTL.Txt

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Podstawowe usuwanie odbyło się. Skrypt OTL jednak nie wykonał komendy resetu reguł zapory, z niesprecyzowanego powodu. Zaś AdwCleaner o dziwo nie ruszył tego adware. Poprawki:

 

1. Start > Uruchom > cmd i wpisz komendę netsh firewall reset.

 

2. Zamknij Firefox. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
FF - prefs.js..browser.search.selectedEngine: "Web Search..."
FF - prefs.js..keyword.URL: "http://startsear.ch/?q="
[2011-09-10 21:15:40 | 000,001,565 | ---- | M] () -- C:\Documents and Settings\Maks i Michał\Dane aplikacji\Mozilla\Firefox\Profiles\tf4fcmtg.default\searchplugins\web-search.xml
SRV - File not found [Disabled | Stopped] -- C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe -- (Apple Mobile Device)

 

Klik w Wykonaj skrypt. Tym razem bez resetu.

 

3. Przeprowadź pełne skanowanie w Malwarebytes Anti-Malware.

 

4. Wystarczy, że podasz tylko log z wynikami usuwania OTL + raport z MBAM (o ile coś znajdzie) oraz wypowiesz się co się teraz dzieje w systemie, czy po usuwaniu jest jakaś poprawa.

 

 

 

.

Odnośnik do komentarza
radioactive15

radioactive15

Opublikowano
  • Autor
Opublikowano

1. Wykonany.

2. Wykonany.

3. Wykonane,wykryło 6 zagrożeń,logi poniżej.

4. Chyba coś się poprawiło,nie widać żadnych ścin.

 

EDIT: po usunięciu zagrożeń i uruchomieniu ponownie wywaliło cały explorer.exe.Nie chce się włączyć,jest tylko tapeta,nic więcej.

Na dodatek przy ekranie logowania zawsze w prawym górnym rogu był napis "Protected by Kaspersky".

Teraz nic się nie wyświetla (piszę z innego kompa).

06202012_154047.txt

mbam-log-2012-06-20 (15-42-38).txt

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Kończymy:

 

1. Porządki po narzędziach: w OTL uruchom Sprzątanie + w AdwCleaner Uninstall.

 

2. Wyczyść foldery Przywracania systemu: KLIK. Prawdopodobnie w pierwszym podejściu uzyskasz błąd nakazujący aktywację Przywracania, bo wg OTL jest niespójny stan usług Przywracania systemu (wyłączony sterownik, ale nie usługa).

 

3. Nadal aktualne wskazówki na temat sprawdzania dysku oraz aplikacji Akamai NetSession Interface.

 

4. Inne aktualizacje do nadrobienia: KLIK. Tu z Twojej listy zainstalowanych wykaz:

 

Internet Explorer (Version = 6.0.2900.5512)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216026FF}" = Java™ 6 Update 29
"{26A24AE4-039D-4CA4-87B4-2F83217005FF}" = Java™ 7 Update 5
"{AA59DDE4-B672-4621-A016-4C248204957A}" = Skype™ 5.5
"{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.1) - Polish
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player 11.6
"ENTERPRISE" = Microsoft Office Enterprise 2007
"Mozilla Firefox 12.0 (x86 pl)" = Mozilla Firefox 12.0 (x86 pl)

 

PS. A jeśli szukasz alternatyw dla GG10-potwora jedzącego zasoby, to przewertuj Darmowe komunikatory i opisy WTW / Miranda / Kadu / AQQ.

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano
EDIT: po usunięciu zagrożeń i uruchomieniu ponownie wywaliło cały explorer.exe.Nie chce się włączyć,jest tylko tapeta,nic więcej.

Na dodatek przy ekranie logowania zawsze w prawym górnym rogu był napis "Protected by Kaspersky".

Teraz nic się nie wyświetla (piszę z innego kompa).

 

Jakoś nie widzę związku z usuwaniem w MBAM, to nie ta skala obiektów. Czy w Trybie awaryjnym jest taki sam problem? I przeprowadź skanowanie dysku, pusta tapeta = CTRL+SHIFT+ESC i z poziomu menedżera zadań uruchom linię komend cmd, wklep polecenie chkdsk /f /r i restart systemu.

 

 

 

.

Odnośnik do komentarza
radioactive15

radioactive15

Opublikowano
  • Autor
Opublikowano

ok,po restarcie widzę że wszystko powróciło do normy,wykonałem polecenie sprawdzające które przyniosło rezultat "Dysk jest wolny od błędów".

 

Zabieram się więc za sprzątanie.

1. Wykonane.

2. Wykonane

3. Zrobione,nie jestem pewny co do odinstalowania tego ponieważ ten komponent należy do Need For Speed World,bez niego nie będzie chyba działać.

4. Zrobię na samym końcu.

 

Jak na razie jest wszystko dobrze,dziękuje ci serdecznie za pomoc :)

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...