Wyskakująca reklama rootkit zeroaccess

[frezja22]

Tym razem na komputerze, którym się zajmuję wyskakiwała reklama po prawej stronie u dołu ekranu na każdej otwieranej stronie. Udało się ją usunąć. Wcześniej też były jakieś szkodniki. Na pewno nie zostały usunięte do końca, więc proszę o pomoc. Załączam logi.

Dodam jeszcze, że dziś zaczęło się coś dziwnego dziać z komputerem. Po kliknięciu na dokument otwierał się on w kilkunastu oknach, po otwarciu okna programu otwierało się ono i zamykało kilkanaście razy, a po restarcie komputer zaczął dziwnie stukać.

[wojtas]

Brak loga z Gmera pamiętaj o skasowaniu emulacji,

W logach aktywny Rootkit ZeroAccess

uruchom SystemLook i wklej do programu

:reg
HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s

:filefind
services.exe

daj Look i przedstaw raport

Autor postu otrzymał pochwałę

[frezja22]

Długo się skanowało, ale coś krótki ten log z gmera.

[wojtas]

Uruchom narzędzie GrantPerms, w oknie wklej :

C:\WINNT\$NtUninstallKB50032$

i kliknij Unlock

Uruchom OTL i w sekcji własne opcje skanowania / skrypt wklej:

:OTL
SRV - File not found [Disabled | Stopped] -- %systemroot%\system32\se59unic.dll -- (vvoice)
DRV - File not found [Kernel | Disabled | Stopped] -- system32\DRIVERS\rt2870.sys -- (rt2870)
DRV - File not found [Kernel | Disabled | Stopped] -- E:\INSTALL\GMSIPCI.SYS -- (GMSIPCI)
IE - HKU\S-1-5-21-1935655697-1229272821-839522115-1003\..\SearchScopes\{1F096B29-E9DA-4D64-8D63-936BE7762CC5}: "URL" = http://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=10a4005c00000000000000e052810515&tlver=1.4.19.19&affID=17161
FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)"
FF - prefs.js..browser.search.selectedEngine: "Search the web (Babylon)"
FF - prefs.js..extensions.enabledItems: ffxtlbr@babylon.com:1.1.3
FF - prefs.js..keyword.URL: "http://search.babylon.com/?babsrc=toolbar2&q="
[2011-03-01 09:56:23 | 000,002,059 | ---- | M] () -- C:\Documents and Settings\Krzysiosz\Dane aplikacji\Mozilla\Firefox\Profiles\q68msone.default\searchplugins\daemon-search.xml
O2 - BHO: (no name) - AutorunsDisabled - No CLSID value found.
O3 - HKU\S-1-5-21-1935655697-1229272821-839522115-1003\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
[2012-07-31 13:10:42 | 000,000,000 | ---D | C] -- C:\Program Files\Spybot - Search & Destroy
[2012-07-31 13:10:42 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy


:Files
C:\WINNT\system32\fsutil.exe reparsepoint delete C:\WINNT\$NtUninstallKB50032$ /C
C:\WINNT\$NtUninstallKB50032$
C:\Documents and Settings\Krzysiosz\Ustawienia lokalne\Dane aplikacji\72dc4e53
netsh winsock reset /c

:Commands
[emptytemp]

Kliknij wykonaj skrypt. I potwierdź reset komputera .

Następnie uruchamiasz OTL z opcją skanuj. Pokazujesz nowy log OTL.txt oraz raport z czyszczenia (zawartość notatnika, która otworzy się po restarcie). Dajesz też nowy log z Gmera

[frezja22]

Gotowe, podaję obydwa logi z OTLa i z gmera.

[wojtas]

czy losowe pliki są twoje ? :

[2012-07-25 02:53:52 | 002,359,350 | ---- | C] () -- C:\Documents and Settings\Krzysiosz\Moje dokumenty\jgjfjggfj.bmp
[2012-07-25 02:43:38 | 002,359,350 | ---- | C] () -- C:\Documents and Settings\Krzysiosz\Moje dokumenty\vbfn.bmp
[2012-07-25 02:25:11 | 002,359,350 | ---- | C] () -- C:\Documents and Settings\Krzysiosz\Moje dokumenty\vdfbfgn.bmp
[2012-07-25 02:11:10 | 002,359,350 | ---- | C] () -- C:\Documents and Settings\Krzysiosz\Moje dokumenty\fdfdfg.bmp

C:\WINNT\$NtUninstallKB50032$

wklej jeszcze raz tą ścieżkę do GrantPerms. i daj Unlock

Uruchom BlitzBlank w karcie Script wklej :

DeleteFolder:
"C:\WINNT\$NtUninstallKB50032$"

Klik w Execute Now. Zatwierdź restart komputera.
Pokaż nowy log z OTL i raport z pracy BlitzBlank (C:\blitzblank.log ) oraz nowy log z Gmer

[frezja22]

Gotowe. Nie wiem jak z tymi losowymi plikami. To są zrzuty z kamerki, podejrzewam, że właściciel sam je zrobił, spytam go jak wróci i dam znać.

[wojtas]

Pobierz [url=http://forum.programosy.pl/otl-dds-combofix-vp889313.html#p889313]Combofixa[/url

Otworz notatnik i wklej w nim to:

File::
Folder::
C:\WINNT\$NtUninstallKB50032$\1927040595

>>Plik>>Zapisz jako... >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
-->
Rozpocznie się usuwanie i powstanie log daj go. Oraz nowy log z OTL i Gmera

[frezja22]

Gotowe. Mam nadzieję, że już będzie dobrze. Komputer zachowuje się normalnie.
Zauważyłam teraz, że w menu, które pojawia się po naciśnięciu prawym przyciskiem myszy na katalog znajduje się pozycja "Scan with Trojan Remover". Nie ma chyba zainstalowanego takiego programu. Można to jakoś usunąć?

[wojtas]

wklej do notatnika

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Program Files\Loaris\Trojan Remover 1.2\ltr12.exe"=-
"C:\Program Files\GridinSoft Trojan Killer\trojankiller.exe"=-

w notatniku u góry>>>plik zapisz jako>>>Zmien rozszerzenie z TXT na Wszystkie pliki *.* >>> Zapisz pod nazwą FIX.REG

Klikasz dwa razy na powstały plik fix i dodajesz go do rejestru....

jak widać są jakieś resztki. poszukaj w googlach jak usunąć takie wpisy z menu kontekstowego

[frezja22]

Czy poza tym już wszystko jest ok? Można odinstalować OTL?

[wojtas]

Uruchom OTL z opcji sprzątanie.
* wykonaj optymalizację Windowsa ( instrukcja dla Windowsa XP, lecz w innych systemach jest podobnie )
* zrób pełny skan Malwarebytes Anti-Malware (zaktualizuj, gdy coś znajdzie pokaż raport, i usuń wszystko za pomocą tego programu )
* Skasuj stan przywracania systemu