Win32:ZAccess-PB i inne

[jezzaile]

Witam, mam problem z zainfekowanym PC.
Objawy zainfekowania:
Co kilkanaście minut dostaję serie wykryć trojanów przez Avasta.
trojany wyglądają bardzo podobnie tak:
nazwa - 80000064.$
katalog - c/windows/assembly/temp/u/80000064.S
opis - Win32:ZAccess-PB [Trj]

Do tego Avast wykrył innego wirusa:
consv.dll
C:\Windows\system32
Win64:Sirefef-C[Drp]
Uznał go za coś w rodzaju downloadera czy cos w tym stylu
Wykonywane działania:
Przeskanowalem Avastem folder windowsa i wykrył mi 2 zagrozenia:
c:\Windows\assembly\GAC_32\Desktop.ini Win32:Sirefef-FQ [Drp]odmowa przeniesienia do kwarantanny
c:\Windows\assembly\GAC_64\Desktop.ini Win64:Sirefef-C [Drp]odmowa przeniesienia do kwarantanny
Jak nie dało się naprawić/dać do kwarantanny, to usunąłem, udało się. Przynajmniej Avast tak twierdzi.
Logi:
Zamieszczam logi z OTL

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

Co do RSIT to widziałem na forum że można pobrać i przeskanować, ale nei ma oddzielnego tematu z informacją jak ustawić, tak jak to było w przypadku OTL, więc narazie nei ruszałem tego. Jak będę musiał przeskanować to tak zrobię.

Po tym jak to napisałem dostałem spam z 4 allertow od Avasta ;/
Pomocy


Przeskanowałem folder windowsa Malwarebytes Anti-Malware i nic nie wykrył/

Po wyłączeniu komputera nie chce sie uruchomić. Ładuje się system i nie pokazuje wyboru użytkownika tylko od razu resetuje.
Miałem parę dni temu taką sytuację, próbowałem uruchomić w trybie awaryjnym, niestety też się resetował. Chciałem przywrócić z przed paru dni konfiguracje. To dostałem info na koniec że się nie udało przywrocić, jednak po restarcie kolejny raz udało mi się dostać do systemu i było napisane że przywracanie powiodło się. Jak pisałem było to pare dni temu i później nie było problemów, do dzisiaj. Najpierw alerty wirusowe a teraz znowu nei moge odpalić systemu.

[tachion]

Hmm a wiec tak na pewno jest infekcja zeroaccessa sugerują o tym te wpisy,że wszyscy dostawcy w Winsock są not found

Kod:

O10:[b]64bit:[/b] - Protocol_Catalog9\Catalog_Entries64\000000000001 - mmswsock.dll File not found
O10:[b]64bit:[/b] - Protocol_Catalog9\Catalog_Entries64\000000000002 - mmswsock.dll File not found
O10:[b]64bit:[/b] - Protocol_Catalog9\Catalog_Entries64\000000000003 - mmswsock.dll File not found
O10:[b]64bit:[/b] - Protocol_Catalog9\Catalog_Entries64\000000000004 - mmswsock.dll File not found
O10:[b]64bit:[/b] - Protocol_Catalog9\Catalog_Entries64\000000000005 - mmswsock.dll File not found
O10:[b]64bit:[/b] - Protocol_Catalog9\Catalog_Entries64\000000000006 - mmswsock.dll File not found
O10:[b]64bit:[/b] - Protocol_Catalog9\Catalog_Entries64\000000000007 - mmswsock.dll File not found
O10:[b]64bit:[/b] - Protocol_Catalog9\Catalog_Entries64\000000000008 - mmswsock.dll File not found
O10:[b]64bit:[/b] - Protocol_Catalog9\Catalog_Entries64\000000000009 - mmswsock.dll File not found
O10:[b]64bit:[/b] - Protocol_Catalog9\Catalog_Entries64\000000000010 - mmswsock.dll File not found
O10 - NameSpace_Catalog5\Catalog_Entries\000000000007 [] - C:\Program Files (x86)\Bonjour\mdnsNSP.dll (Apple Inc.)
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000006 - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000007 - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000008 - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000009 - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000010 - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL File not found

Nic innego w przypadku infekcji na system 64 bitowy nie pozostaje jak zapoznanie się z instrukcja combofixa

[Aby zobaczyć linki, zarejestruj się tutaj]

i wykonanie nim działań.
Jak to wykonasz zapodaj nowe logi z OTLoraz EXTRAS

[jezzaile]

Przed użyciem combofixa miałem problemy z włączeniem PC ale się udało. A Avast dał na starcie do kwarantanny Svhost i parę innych ;/

Wykonałem skan combofixem. trwał 10 min plus kolejne 10 tworzenie loga.
Potem włączyłem z powrotem Avasta i wykonałem skan OTL, obawiałem się że jak wirus nadal siedzi to będzie miał drogę wolną bez antywirusa.
Ale o dziwo nie spamuje alertami

Podaje logi z OTL i EXTRAS.

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

Dodatkowo dam z combofixa.

[Aby zobaczyć linki, zarejestruj się tutaj]

W Avascie w kwarantannie mam sporo wirusów mogę je usunąć bez przeszkód?
Daję zdjęcie z kwarantanny bez pierwszych linijek (wirusy różnią się tylko jedną literą w nazwie, zresztą później widać ile takich samych)

[Aby zobaczyć linki, zarejestruj się tutaj]

[tachion]

Tak z kwarantanny to wywal wszystko.

Ściągnij

[Aby zobaczyć linki, zarejestruj się tutaj]

,i wklej w nim komendę na warunek:

Kod:

:filefind
services.exe

:reg
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects /s

+log z

[Aby zobaczyć linki, zarejestruj się tutaj]

W polu szukania wpisz cmdz prawokliku uruchom jako administrator i wklej komendę:

Kod:

netsh winsock reset

I zresetuj system w celu naprawy łańcucha sieciowego

[jezzaile]

Odpaliłem SystemLook, wkleiłem wszystko i kliknąłem LOOK.
Utworzyło mi log w notatniku

[Aby zobaczyć linki, zarejestruj się tutaj]

+log z Farbar Service Scanner
W polu szukania wpisz cmd z prawokliku uruchom jako administrator i wklej komendę:
netsh winsock reset
I zresetuj system w celu naprawy łańcucha sieciowego

Odpaliłem Farbar Service Scanner i mam tylko Internet Services zaznaczone reszta czysta. Na dole mam to Search i tam wpisuję cmd.
Ale nie wiem o co ci chodziło, co mam odpalić prawoklikiem i jako administrator.
Wolę nie robić nic pochopnie i nie wiem co zrobić po wpisaniu cmd mam 3 opcje: Scan, Search files, Export services.
Zapewne później mam użyć prawokliku jak znajdzie plik. Proszę cie napisz łopatologicznie

[tachion]

[Aby zobaczyć linki, zarejestruj się tutaj]

Ściągnij jeszcze raz systemlook na system 64 bitowy i wklej skrypt

[Aby zobaczyć linki, zarejestruj się tutaj]

W Farbar Service Scanner zaznacz wszystko i kliknij w skan podaj wynik

[jezzaile]

Logi z Systemlook x64

[Aby zobaczyć linki, zarejestruj się tutaj]

Farbar Service Scanner

[Aby zobaczyć linki, zarejestruj się tutaj]

Na koniec włączyłem cmd wpisałem komendę
Dostałem komunikat: Pomyślnie zresetowano Winsock Catalog zresetuj aby...
Po uruchomieniu ponownym żadnego komunikatu.

[tachion]

Coś źle robisz,zrób to tak jak jest pokazane

[Aby zobaczyć linki, zarejestruj się tutaj]

i musisz mieć taki wynik

[Aby zobaczyć linki, zarejestruj się tutaj]

[jezzaile]

Systemlook

[Aby zobaczyć linki, zarejestruj się tutaj]

[tachion]

servicesjest ok



W trybie awaryjnym w własne opcje skanowania skrypt wklej i wykonaj:

Kod:

:OTL
IE - HKLM\..\SearchScopes\{C3C24F9B-D7E5-4542-BC94-0FE080AE48C4}: "URL" = http://www.tangosearch.com/?q={searchTerms}&a=SEARCH
IE - HKU\S-1-5-21-742265878-2840232377-132598623-1003\..\SearchScopes\{B8546BCC-7044-43A7-AF53-65D435BB12DF}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=FF&o=14594&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=FV&apn_dtid=YYYYYYYYPL&apn_uid=1db811f3-16cb-4a23-91f9-e966de373838&apn_sauid=C3110D88-C832-4EBB-A020-B7B42E30DFAC&
IE - HKU\S-1-5-21-742265878-2840232377-132598623-1003\..\SearchScopes\{C3C24F9B-D7E5-4542-BC94-0FE080AE48C4}: "URL" = http://www.tangosearch.com/?q={searchTerms}&a=SEARCH
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "Ask.com"
FF - prefs.js..browser.search.order.1: "Ask.com"
FF - prefs.js..browser.search.useDBForOrder: "false"
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=:File not found
FF - HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin: C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll File not found
[2011-09-23 18:58:50 | 000,002,399 | ---- | M] () -- C:\Users\Olo\AppData\Roaming\mozilla\firefox\profiles\1v5d7hxa.default\searchplugins\askcom.xml
O2 - BHO: (Groove GFS Browser Helper) - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~2\MICROS~1\Office12\GR469A~1.DLL (Microsoft Corporation)
O3 - HKU\S-1-5-21-742265878-2840232377-132598623-1003\..\Toolbar\WebBrowser: (Tango) - {35424EAC-0C75-4B23-B670-10496ACF469D} - Reg Error: Value error. File not found
O8:[b]64bit:[/b] - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000 File not found
O8:[b]64bit:[/b] - Extra context menu item: Ściągaj z Mipony - C:\Program Files (x86)\MiPony\Browser\IEContext.htm ()
O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000 File not found
O8 - Extra context menu item: Ściągaj z Mipony - C:\Program Files (x86)\MiPony\Browser\IEContext.htm ()
O15 - HKU\.DEFAULT\..Trusted Domains: clonewarsadventures.com ([]* in Trusted sites)
O15 - HKU\.DEFAULT\..Trusted Domains: freerealms.com ([]* in Trusted sites)
O15 - HKU\.DEFAULT\..Trusted Domains: soe.com ([]* in Trusted sites)
O15 - HKU\.DEFAULT\..Trusted Domains: sony.com ([]* in Trusted sites)
O15 - HKU\S-1-5-18\..Trusted Domains: clonewarsadventures.com ([]* in Trusted sites)
O15 - HKU\S-1-5-18\..Trusted Domains: freerealms.com ([]* in Trusted sites)
O15 - HKU\S-1-5-18\..Trusted Domains: soe.com ([]* in Trusted sites)
O15 - HKU\S-1-5-18\..Trusted Domains: sony.com ([]* in Trusted sites)
O15 - HKU\S-1-5-19\..Trusted Domains: clonewarsadventures.com ([]* in )
O15 - HKU\S-1-5-19\..Trusted Domains: freerealms.com ([]* in )
O15 - HKU\S-1-5-19\..Trusted Domains: soe.com ([]* in )
O15 - HKU\S-1-5-19\..Trusted Domains: sony.com ([]* in )
O15 - HKU\S-1-5-20\..Trusted Domains: clonewarsadventures.com ([]* in )
O15 - HKU\S-1-5-20\..Trusted Domains: freerealms.com ([]* in )
O15 - HKU\S-1-5-20\..Trusted Domains: soe.com ([]* in )
O15 - HKU\S-1-5-20\..Trusted Domains: sony.com ([]* in )
O15 - HKU\S-1-5-21-742265878-2840232377-132598623-1003\..Trusted Domains: clonewarsadventures.com ([]* in Trusted sites)
O15 - HKU\S-1-5-21-742265878-2840232377-132598623-1003\..Trusted Domains: freerealms.com ([]* in Trusted sites)
O15 - HKU\S-1-5-21-742265878-2840232377-132598623-1003\..Trusted Domains: soe.com ([]* in Trusted sites)
O15 - HKU\S-1-5-21-742265878-2840232377-132598623-1003\..Trusted Domains: sony.com ([]* in Trusted sites)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_35-windows-i586.cab (Java Plug-in 1.6.0_35)
O16 - DPF: {CAFEEFAC-0016-0000-0035-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_35-windows-i586.cab (Java Plug-in 1.6.0_35)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_35-windows-i586.cab (Java Plug-in 1.6.0_35)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} http://fpdownload2.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O18:[b]64bit:[/b] - Protocol\Handler\grooveLocalGWS - No CLSID value found
O18:[b]64bit:[/b] - Protocol\Handler\ms-help - No CLSID value found
@Alternate Data Stream - 144 bytes -> C:\ProgramData\TEMP:D1B5B4F1
@Alternate Data Stream - 138 bytes -> C:\ProgramData\TEMP:05EE1EEF
@Alternate Data Stream - 1150 bytes -> C:\Users\Olo\Desktop\Delock HDMI - mini HDMI 5m - Ceneo.pl.website:TASKICON_4agd-1560767352
@Alternate Data Stream - 1150 bytes -> C:\Users\Olo\Desktop\Delock HDMI - mini HDMI 5m - Ceneo.pl.website:TASKICON_3photo1317591265
@Alternate Data Stream - 1150 bytes -> C:\Users\Olo\Desktop\Delock HDMI - mini HDMI 5m - Ceneo.pl.website:TASKICON_2telefony-1898070086
@Alternate Data Stream - 1150 bytes -> C:\Users\Olo\Desktop\Delock HDMI - mini HDMI 5m - Ceneo.pl.website:TASKICON_1laptopy-1851068549
@Alternate Data Stream - 1150 bytes -> C:\Users\Olo\Desktop\Delock HDMI - mini HDMI 5m - Ceneo.pl.website:TASKICON_0rtv-1389636111

:Files
C:\Windows\assembly\GAC_32\Desktop.ini
C:\Windows\assembly\GAC_64\Desktop.ini

:Commands
[EMPTYTEMP]
[clearallrestorepoints]

Ściągnij program

[Aby zobaczyć linki, zarejestruj się tutaj]

i uruchom AdwCleanerz opcji Delete .

Zainstaluj

[Aby zobaczyć linki, zarejestruj się tutaj]

do najnowszej wersji,lub ją odinstaluj jeśli nie używasz.

Następnie uruchom OTLponownie i kliknij Skanuj. Przedstaw nowy log OTLoraz raport z Adwcleaner .

[jezzaile]

W trybie awaryjnym przeskanowałem skryptem załączam logi

[Aby zobaczyć linki, zarejestruj się tutaj]

Po restarcie już w normalnym trybie windowsa przeskanowałem AdwCleanerem opcją delete podaje logi

[Aby zobaczyć linki, zarejestruj się tutaj]

Java zainstalowana najnowsza.
Na koniec przeskanowałem OTL

[Aby zobaczyć linki, zarejestruj się tutaj]

Coś nie utworzyło mi pliku Extras.

[tachion]

Program za drugim razem nie tworzy extras,ale i tak nie był potrzebny.
Wygląda że już jest ok,można przejść do sprzątania w OTL

[jezzaile]

Sprzątnąłem w OTL.

Mam jeszcze pytania na koniec.
Wiem skąd był ten wirus. Ściągnąłem plik ISO z programem i tam siedział wirus. W trakcie usuwania infekcji z PC, usunąłem ręcznie cały plik ISO. Jak rozumiem PC wyczyściliśmy i nie ma już wirusów nawet tam gdzie jest zainstalowany ten program.
Po użyciu Combofixa podłączony został do komputera zewnętrzny dysk, czy jest potrzeba skanowania go? Mogło się coś dostać na niego? Czy po Combofixie już nic nie miało prawa?

[tachion]

Z tych logów co teraz dałeś nic już więcej nie wynika tak więc nie ma się czym przejmować.
A przed infekcjami z pendrive,aktywowanymi metodą autorun.infmożna zabezpieczyć się programem Panda USB Vaccine

[jezzaile]

Chodziło mi o to że podczas tych wszystkich kroków co miały wyczyścić z infekcji PC, podłączony został dysk, dokładnie po zakończeniu działania Combofixem i martwię się o to czy nazewnętrzny dysk mogło się coś przenieść. Czy już wtedy wirus na PC był nieszkodliwy / usunięty i po prostu dalej było sprzątanie.

Swoją drogą co do rad odnośnie zabezpieczania przed zewn urządzeniami to też chciałem poruszyć temat, więc wyprzedziłeś moje pytanie.

[tachion]

Nie ten typ infekcji nie infekuje plików wykonywalnych typu .exe .scr itd.

[jezzaile]

Bardzo Ci dziękuję za pomoc. Byłem trochę przerażony tym, jak te wirusy się mnożą.
Warto było poprosić o pomoc na tym forum.
Pozdrawiam