ZeroAccess

[artas1994]

Witam

specyfikacja processora to AMD Phenom II X4 960T Quad Core AM3 czyli widac ze jest po prostu 4 rdzeniowy a u mnie taka niespodzianka

nie dosc ze jest ich 6 to prawie caly czas wszystkie chodza na 100%, pisalem o tym na forum.tweaks.pl i odeslali mnie do was wykryli mi tylko w logach wlasnie tego zeroaccesa wiec logi zalaczam tutaj i prosze o pomoc

otl.txt.txt

extras.txt.txt

[picasso]

Owszem, jest trojan ZeroAccess, ponadto ślady po Brontoku (zmodyfikowany plik HOSTS) oraz śmieci paskowe. W pierwszej kolejności podaj skan identyfikacyjny na punkty ładowania ZeroAccess. Uruchom SystemLook x64, w oknie wklej:

 

:reg
HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
 
:filefind
services.exe

 

Klik w Look. Podaj wynikowy raport.

 

 

.

[artas1994]

SystemLook 30.07.11 by jpshortstuff

Log created at 21:55 on 20/06/2012 by ArtiX

Administrator - Elevation successful

 

========== reg ==========

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

(No values found)

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32]

"ThreadingModel"="Both"

@="C:\Users\ArtiX\AppData\Local\{7997da2a-49ba-b1b1-be7f-ce98ce932f0d}\n."

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}]

@="Microsoft WBEM New Event Subsystem"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32]

@="\\.\globalroot\systemroot\Installer\{7997da2a-49ba-b1b1-be7f-ce98ce932f0d}\n."

"ThreadingModel"="Both"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

@="MruPidlList"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]

@="%SystemRoot%\system32\shell32.dll"

"ThreadingModel"="Apartment"

 

 

========== filefind ==========

 

Searching for "services.exe"

C:\Windows\System32\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB

C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB

 

-= EOF =-

[picasso]

Na czas wszystkich operacji wyłącz osłony rezydentne Avast + MBAM.

 

1. Otwórz Notatnik i wklej w nim:

 

reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f
reg add HKLM\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /ve /t REG_EXPAND_SZ /d %%systemroot%%\system32\wbem\wbemess.dll /f
reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v baphc /f
reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main" /v Default_Page_URL /f
reg delete "HKCU\Software\Microsoft\Internet Explorer\Main" /v Default_Page_URL /f
reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}" /f
reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}" /f
reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}" /f
reg add "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /t REG_SZ /d about:blank /f
reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main" /v "Start Page" /t REG_SZ /d about:blank /f
reg add "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f
reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f

 

Adnotacja dla innych czytających: batch unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT

 

Plik umieść wprost na C:\.

 

2. Uruchom BlitzBlank i w karcie Script wklej:

 

DeleteFolder:

C:\Windows\Installer\{7997da2a-49ba-b1b1-be7f-ce98ce932f0d}
C:\Users\ArtiX\AppData\Local\{7997da2a-49ba-b1b1-be7f-ce98ce932f0d}
C:\Users\ArtiX\AppData\Local\Temp
 
DeleteFile:
C:\Users\ArtiX\AppData\Local\Bron.tok.A12.em.bin
C:\Users\ArtiX\AppData\Local\jusched.exe
C:\Users\ArtiX\AppData\Local\Setup.dat
C:\Users\ArtiX\AppData\Local\data1.cab
 
Execute: 
C:\fix.bat

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Execute Now. Zatwierdź restart komputera. Przed ekranem z logo Windows powinien pojawić się ekran z działaniami BlitzBlank. Finalnie BlitzBlank wygeneruje na dysku C log.

 

3. Zresetuj Winsock: Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wpisz komendę netsh winsock reset > zatwierdź restart komputera.

 

4. Zresetuj plik HOSTS do postaci domyślnej za pomocą automatycznego narzędzia Fix-it z artykułu: KB972034.

 

5. Odinstaluj adware: Babylon toolbar on IE, BFlix, V9 HomeTool. Również Splashtop Connect IE + Splashtop Connect for Firefox (KLIK).

 

6. Wklej do posta log z wynikami BlitzBlank. Wygeneruj do oceny nowy log OTL z opcji Skanuj (już bez Extras), Farbar Service Scanner (wszystkie opcje zaznaczone) oraz SystemLook na warunki:

 

:reg

HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s

 

 

 

.

[artas1994]

prosze

 

a w blitzblanku przy execute wyskakuje mi blad

 

SystemLook 30.07.11 by jpshortstuff

Log created at 17:02 on 21/06/2012 by ArtiX

Administrator - Elevation successful

 

========== reg ==========

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

(No values found)

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32]

"ThreadingModel"="Both"

@="C:\Users\ArtiX\AppData\Local\{7997da2a-49ba-b1b1-be7f-ce98ce932f0d}\n."

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}]

@="Microsoft WBEM New Event Subsystem"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32]

@="\\.\globalroot\systemroot\Installer\{7997da2a-49ba-b1b1-be7f-ce98ce932f0d}\n."

"ThreadingModel"="Both"

 

 

-= EOF =-

FSS.txt

OTL.Txt

[picasso]

Jaki błąd? I log z BlitzBlank powinien być, ponieważ jednak część instrukcji się wykonała, tzn. nie widzę w logu z OTL folderów ZeroAccess ani plików wskazanych na usunięcie + duża część pliku BAT się wykonała. Pozostały jednak klucze infekcji w rejestrze. Poza tym, coś poszło nie tak przy resetowaniu pliku HOSTS, teraz w ogóle go nie ma:

 

Hosts file not found

 

 

1. Zrób nowy FIX.BAT o zawartości:

 

reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f
reg add HKLM\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /ve /t REG_EXPAND_SZ /d %%systemroot%%\system32\wbem\wbemess.dll /f
reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}" /f
reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}" /f
reg add "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f
reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}" /f
reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f

 

Adnotacja dla innych czytających: batch unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z prawokliku na plik FIX.BAT wybierz "Uruchom jako Administrator".

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files

C:\Users\ArtiX\AppData\Local\*Bron*
C:\Users\ArtiX\AppData\Roaming\Babylon
C:\Users\ArtiX\AppData\Local\Babylon
C:\ProgramData\Babylon
C:\Program Files (x86)\v9Soft
C:\Program Files (x86)\Splashtop
C:\Users\ArtiX\AppData\Roaming\Splashtop
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami.

 

3. Odbuduj ręcznie plik HOSTS. Włącz pokazywanie rozszerzeń: w Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok > odznacz Ukrywaj rozszerzenia znanych typów. Otwórz Notatnik i wklej w nim:

 

#	127.0.0.1       localhost

#	::1             localhost

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz pod nazwą hosts bez żadnego rozszerzenia

 

Plik wstaw do folderu C:\Windows\system32\drivers\etc.

 

4. Wygeneruj nowy log z OTL z opcji Skanuj oraz log z SystemLook na warunki:

 

:reg

HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s

 

Dołącz log z wynikami usuwania OTL z punktu 2.

 

 

 

.

[artas1994]

sorka nie mialem wczesniej czasu

 

SystemLook 30.07.11 by jpshortstuff

Log created at 20:32 on 25/06/2012 by ArtiX

Administrator - Elevation successful

 

========== reg ==========

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

(Unable to open key - key not found)

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}]

@="Microsoft WBEM New Event Subsystem"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32]

@="%systemroot%\system32\wbem\wbemess.dll"

"ThreadingModel"="Both"

 

 

-= EOF =-

OTL.Txt

06252012_201746.txt

[picasso]

1. O ile FIX.BAT + skrypt z OTL pomyślnie wykonane, to nadal brakuje pliku HOSTS:

 

Hosts file not found

 

Powtarzam: opcja Ukrywaj rozszerzenia znanych typów plików musi być odznaczona, a tworzony plik nie może mieć żadnego rozszerzenia, czyli nazwa hosts a nie hosts.txt.

 

2. Czas na naprawę szkód wyrządzonych przez trojana, czyli odbudowana skasowanych przezeń usług:

• Rekonstrukcja usług Zapory systemu Windows: KLIK.
  
• Rekonstrukcja usługi Centrum zabezpieczeń: KLIK.
  
• Rekonstrukcja usługi Windows Defender: KLIK.
  

Zresetuj system i zrób nowy log z Farbar Service Scanner.

 

 

 

.

Edytowane 27 Sierpnia 2012 przez picasso
27.08.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso