Walka z Trojan:WIN32/Sirefef.AL(AQ)

[noemi29]

Witam

mam od wczoraj trojana na komputerze. Najpiew zachowal sie tak, ze zablokowal system wiec z pod awaryjnego skorzystalam z combofixa. Ni to nie dalo. usunelo live antiwir i tyle. Przeszlam do normalnego trybu pracy WIN XP i tu Microsoft Security Essential wykrywa mi ciagle wirusy dwa. Usuwa a za chwila sa na nowo. Zaden antywirus sobie z tym nie radzi.

Z gory dziekuje za odpowiedz i ew. podpowiedz.

 

http://www.wklej.org/id/800977/ OTL

oraz

http://www.wklej.org/id/800978/ Extras

Extras.Txt

OTL.Txt

[Landuss]

Uruchom SystemLook, w oknie wklej:

 

:reg
HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
 
:filefind
services.exe

 

Klik w Look. Przedstaw wynikowy raport.

[noemi29]

raport w zalaczniku.

 

SystemLook 30.07.11 by jpshortstuff

Log created at 12:39 on 31/07/2012 by Ona

Administrator - Elevation successful

 

========== reg ==========

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

(No values found)

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32]

"ThreadingModel"="Both"

@="C:\Dokumente und Einstellungen\Ona\Lokale Einstellungen\Anwendungsdaten\{0202b1f8-1ad4-52b8-9184-c2bda005bc31}\n."

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}]

@="Microsoft WBEM New Event Subsystem"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32]

@="%systemroot%\system32\wbem\wbemess.dll"

"ThreadingModel"="Both"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

@="MruPidlList"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]

@="%SystemRoot%\system32\shdocvw.dll"

"ThreadingModel"="Apartment"

 

 

========== filefind ==========

 

Searching for "services.exe"

C:\WINDOWS\$hf_mig$\KB956572\SP3QFE\services.exe --a--c- 111104 bytes [21:11 02/11/2009] [11:14 09/02/2009] F0A7D59AF279326528715B206669B86C

C:\WINDOWS\$NtUninstallKB956572$\services.exe --a--c- 109056 bytes [21:11 02/11/2009] [12:00 14/04/2008] 4BB6A83640F1D1792AD21CE767B621C6

C:\WINDOWS\ERDNT\cache\services.exe --a---- 111104 bytes [12:31 12/10/2010] [11:21 09/02/2009] A3EDBE9053889FB24AB22492472B39DC

C:\WINDOWS\system32\services.exe --a---- 111104 bytes [04:34 03/11/2009] [11:21 09/02/2009] A3EDBE9053889FB24AB22492472B39DC

C:\WINDOWS\system32\dllcache\services.exe --a--c- 111104 bytes [04:34 03/11/2009] [11:21 09/02/2009] A3EDBE9053889FB24AB22492472B39DC

 

-= EOF =-

[Landuss]

1. Start > uruchom > cmd i wklep:

 

reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f

 

2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbser6k.sys -- (ZTEusbser6k)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbnmea.sys -- (ZTEusbnmea)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbmdm6k.sys -- (ZTEusbmdm6k)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\Rts5161ccid.sys -- (USBCCID)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\ukbjcgzu.sys -- (ukbjcgzu)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\thnbddmv.sys -- (thnbddmv)
DRV - File not found [Kernel | Disabled | Stopped] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\Rts516xIR.sys -- (Rts516xIR)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\prxfzipp.sys -- (prxfzipp)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\massfilter.sys -- (massfilter)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\lfpkwyfd.sys -- (lfpkwyfd)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Programme\Lavasoft\Ad-Aware\KernExplorer.sys -- (Lavasoft Kernexplorer)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbmdm.sys -- (hwdatacard)
DRV - File not found [Kernel | System | Stopped] -- C:\PROGRA~1\LAUNCH~1\DPortIO.sys -- (DritekPortIO)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\cbivibix.sys -- (cbivibix)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\bsqbhsgo.sys -- (bsqbhsgo)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\bmtwxprk.sys -- (bmtwxprk)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - No CLSID value found.
O3 - HKU\S-1-5-21-3588590466-2587936551-2969962186-1006\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [borim] C:\WINDOWS\system32\duquek.exe File not found
O4 - HKLM..\Run: [snp2uvc] C:\WINDOWS\System32\csnp2uvc.dll ( )
O4 - HKLM..\Run: [soocofow] C:\WINDOWS\system32\dovil.exe File not found
O4 - HKU\S-1-5-21-3588590466-2587936551-2969962186-1006..\Run: [PCSpeedUp] "C:\Programme\Przyspiesz Komputer\PCSpeedUp.exe" File not found
 
:Files
C:\WINDOWS\Installer\{0202b1f8-1ad4-52b8-9184-c2bda005bc31}
C:\Dokumente und Einstellungen\Ona\Lokale Einstellungen\Anwendungsdaten\{0202b1f8-1ad4-52b8-9184-c2bda005bc31}
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\036DFF420001072E9D8A47E57B07D329
 
:Commands
[reboot]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

[noemi29]

wyskakuje napis killing provesses. do not interrupt ale po chwili zawiesza clay komputer, znika pasek zadan itd i przestaje pracowac procesor, dysk tez cicho siedzi, nawet dioda nie mruga...tak jakby sie zawiesil.. czy tak ma byc?

[Landuss]

Tak być nie powinno. Zmieniłem trochę powyższy skrypt więc spróbuj go jeszcze raz skopiować i wykonać.

[noemi29]

Przepraszam, ze tak dlugo ale po tym wczesniejszym nie chcial komp sie wlaczyc, nie wykrywal dyskow itd. Zrobilam poprawiony skrypt, komputer sie juz wlaczyl oto rezultat=zalacznik

OTL.Txt

[Landuss]

Infekcje masz usuniętą. Przejdź do finalizacji tematu:

 

1. Użyj opcji Sprzątanie z OTL.

 

2. Opróżnij przywracanie systemu: KLIK

 

3. Zaktualizuj wymienione programy do najnowszych wersji:

 

"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31

"{AC76BA86-7AD7-FFFF-7B44-A91000000001}" = Adobe Reader 9.5.1 MUI

 

Szczegóły aktualizacyjne: KLIK

 

4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

[noemi29]

"dżizas"! Teraz jak weszlam do Panelu sterowania- system- dodaj usun programy widnieje Live Security Platinum....system chodzi wolno iw ogole dziwnie sie zachowuje... Najnowsze loga w zalaczniku:

 

Kurcze ale system sie wiesza, masakra...

OTL.Txt

Extras.Txt

[Landuss]

Nie ma tu żadnej infekcji,. a to w panelu sterowania to tylko szczątek na liście. Usuń i po sprawie. A co do zawieszania, sprawdź czy w trybie awaryjnym też jest ten problem. Tu może chodzić o coś całkiem innego.

[noemi29]

Ja juz sie balam go usuwac spod panelu sterowania bo juz wczesniej byl i jak go tknelam to sie wszystko zablokowalo ale sobie poradzilam, to bylo pare dni temu, niby pozniejgo nieb ylo a teraz sie pojawil. Juz usunelam. Sprawdzilam tez syzbkosc pracy na awaryjnym- zdecydowanie chodzi duzo szybciej- choc tez ciut inaczej. Widze jak dysk pracuje, jakos niestabilnie. Na normalnym, administratora mogl zwolnic przez avast (wczesniej nie mialam) ale nie do tego stopnia.... Co jakis czas dziwne procesy mi sie wlaczaja. Czy moglam miec wczesniej wirusa i on zrobil jakies szkody?

[Landuss]

Co jakis czas dziwne procesy mi sie wlaczaja

 

Jakie procesy?

 

A Avast może bardzo spowolnić komputer. Miałem ostatnio przypadek komputera, gdzie Avast tak spowalniał system ze po uruchomieniu nie mogłem na nim nic robić przez 10 minut...

[noemi29]

Bo pewnie sie ustawial i aktualizowal...ale pozniej poszlo ok?U mnie procesow robi sie wiele, co chwile cos nowego i znika, nie zdaze czasem zapisac. Ogolem, przy wlaczonych: Mozzila F., Skype, gg oraz sofware takie o toprocesy sa:

[Landuss]

Niczego niepokojącego tutaj nie ma. Większości procesy systemowe albo od oprogramowania.

[noemi29]

Niby nie bo jak juz poszedl screen to cos zniknelo...ale i tak mimo wszystko troche za duzo ich :naraz pracuje moim zdaniem. Czasem te, ktore sa wylaczone. OK.ten komp to taki dla wszystkich.Jak przyjdzie niedlugo moj tylko dla mnie to wtedy bede sie bawic tutaj na 10 calach sie mecze hihi a monitor w PL zostal Chcialabym sie troche poduczyc w dziedzinie jakiej tutaj pomagacie, Polecasz jakas ksiazke?itp? Co do tego wirusa, ze niby policja....taki sam panowal niedawno w Niemczech, blokowal wszystko i"kazal na stacje isc" Wystarczylo po wlaczeniu komputera kilka razy wcisnac szybko ctr alt del i wlaczyc antywirusa- od razu tamto usuwal

Co do walki z tym czyms co tu mi przedwczoraj wskoczylo to bardzo Tobie dziekuje! Wielki uklon w Twe strone.

p.s. a jesli jeszcze "jestes w klimacie" swego awatara to podwojny uklon!

[picasso]

Skomentuję:

 

Kurcze ale system sie wiesza, masakra...

 

Katastrofa na życzenie, tzn. wspólnie działają aż dwa antywirusy: Avast + Microsoft Security Essentials. Nic dziwnego, że system ledwo dyszy. Nie wolno takich rzeczy robić, by instalować dwa antywirusy z rezydentem.

 

 

 

.