palik1 Opublikowano 14 Grudnia 2012 Zgłoś Udostępnij Opublikowano 14 Grudnia 2012 Dzień dobry! Wczoraj sprawdzałem system programem antywirusowym Eset Online. Wykrył mi trojana Win32/Sirefef.DA m.in. w pamięci operacyjnej. Stwierdził, że nie da się go usunąć. Z poziomu trybu awaryjnego uruchomiłem Malwarebytes' Anti-Malware - znalazl mi trojana w pliku afd.sys w katalogu drivers oraz w rejestrze we wpisie AFD. Następnie dodał do kwarantanny i usunął. Po restarcie systemu przestał działać internet. Plik afd.sys skopiowałem ponownie do drivers z dllcache. Zarejestrowałem go przy pomocy podanego niżej wpisu: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AFD] "DisplayName"="AFD" "Description"="AFD Networking Support Environment" "Group"="TDI" "ImagePath"="\\SystemRoot\\System32\\drivers\\afd.sys" "Start"=dword:00000001 "Type"=dword:00000001 "ErrorControl"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AFD\Parameters] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AFD\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AFD\Enum] "0"="Root\\LEGACY_AFD\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 Po ponownym restarcie internet nadal nie działał - w polaczeniaqch lokalnych ip wskazywało 0.0.0.0. Ponownie sprawdziłem system w trybie awaryjnym przez Malwarebytes. Nie wykrywało już trojana. W trybie normalnym próbowalem zresetować połączenie internetowe przez komendy "netsh winsock reset" "ipconfig /flushdns" "arp -d *" "ipconfig /release" "ipconfig /renew". Połączyło z domyślnym ip 192... itd. (które btw działą mi na tym samym kablu na netbooku na którym piszę ten post), ale normalnie wcześniej było ip dynamiczne, a na 192 nie łączylo wcześniej z netem. Dziś rano spróbowałem ręcznie zresetować tcp/ip według instrukcji - http://www.fixitpc.p...martwego-tcpip/ Efekt taki sam... Połączenie lokalne podobno jest, internetu nie ma. Dodatkowo przed wykonaniem raportów nie całkowicie usunął się Daemon Tools. Załączam raporty OTL, GMER i w spoilerze Security Check Results of screen317's Security Check version 0.99.56 Windows XP Service Pack 3 x86 Internet Explorer 7 Out of date! ``````````````Antivirus/Firewall Check:`````````````` Windows Security Center service is not running! This report may not be accurate! ESET Online Scanner v3 ESET Smart Security `````````Anti-malware/Other Utilities Check:````````` Malwarebytes Anti-Malware wersja 1.65.1.1000 CCleaner Java™ 6 Update 33 Java™ 6 Update 6 Java version out of Date! Adobe Flash Player 11.5.502.135 Adobe Reader 7 Adobe Reader out of Date! Mozilla Firefox 16.0.1 Firefox out of Date! ````````Process Check: objlist.exe by Laurent```````` ESET NOD32 Antivirus egui.exe ESET NOD32 Antivirus ekrn.exe Malwarebytes' Anti-Malware mbamscheduler.exe `````````````````System Health check````````````````` Total Fragmentation on Drive C:: ````````````````````End of Log`````````````````````` Extras.Txt gmer.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 14 Grudnia 2012 Zgłoś Udostępnij Opublikowano 14 Grudnia 2012 Infekcja ZeroAccess nie jest usunięta w pełni, w OTL + GMER widać link symboliczny rootkita. Zanim do tego przejdę poproszę o raport pod kątem usług: Farbar Service Scanner. . Odnośnik do komentarza
palik1 Opublikowano 14 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 14 Grudnia 2012 Zrobione. Załączam raport http://wklej.org/id/896923/ Odnośnik do komentarza
picasso Opublikowano 14 Grudnia 2012 Zgłoś Udostępnij Opublikowano 14 Grudnia 2012 Wg Farbar Service Scanner jest jeszcze uszkodzona usługa Centrum zabezpieczeń. Natomiast pod kątem sieci nic nie wynika, ale: Plik afd.sys skopiowałem ponownie do drivers z dllcache. ... ja jednak poproszę o spis kopii pliku afd.sys jakie on ma sumy kontrolne, czy wersję prawidłową wstawiłeś. Bo jednak ten rozmiar duplikatu pliku utworzony przez Ochronę systemu nie zgadza się z moją wirtualną maszyną XP SP3: [2012-12-13 20:49:04 | 000,138,112 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\afd.sys Mój plik waży 138496 bajtów. Uruchom SystemLook i w oknie wklej: :filefind afd.sys Klik w Look. . Odnośnik do komentarza
palik1 Opublikowano 14 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 14 Grudnia 2012 Istotnie chyba za mały plik :/ Innego nie miałem na dysku http://wklej.org/id/897015/ btw plik wielkości 138496 znajduje się w kwarantannie Malwarebytes Odnośnik do komentarza
picasso Opublikowano 14 Grudnia 2012 Zgłoś Udostępnij Opublikowano 14 Grudnia 2012 Ten plik ma inne parametry niż mój z fabrycznego systemu wirtualnego. Proponuję więc wymianę obu wystąpień afd.sys moją kopią i zobaczymy co z tego wyniknie. Czyli przejdźmy już do działań z czyszczeniem systemu, bo jest tu co robić (czyszczenie skutków po ZeroAccess, usunięcie dodatkowej infekcji uruchamianej przez Harmonogram i innych śladów oraz szczątków adware z downloadera SendSpace). 1. Przez Panel sterowania odinstaluj adware OptimizerPro1. Od razu pozbądź się też archaizmu Skaner on-line mks_vir. 2. Uruchom GrantPerms i w oknie wklej: C:\WINDOWS\$NtUninstallKB52829$ Klik w Unlock. 3. Przesyłam plik afd.sys: KLIK. Rozpakuj i połóż go wprost na C:\. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files netsh firewall reset /C fsutil reparsepoint delete C:\WINDOWS\$NtUninstallKB52829$ /C C:\WINDOWS\system32\dllcache\afd.sys|C:\afd.sys /replace C:\WINDOWS\system32\drivers\afd.sys|C:\afd.sys /replace C:\WINDOWS\System32\nklrayfneublfktr.exe C:\WINDOWS\System32\B1E30D7651.dll C:\WINDOWS\tasks\Uccxmwceiy.job C:\WINDOWS\tasks\OptimizerPro1UpdaterTask{9B8C8C62-267A-4F5E-9D0C-3A1F24427B94}.job C:\Documents and Settings\All Users\Dane aplikacji\InstallMate C:\Documents and Settings\All Users\Dane aplikacji\n7-89-o9-3r-4t-r9 C:\Documents and Settings\All Users\Dane aplikacji\Premium C:\Documents and Settings\Piotrek\Dane aplikacji\Ciba C:\Documents and Settings\Piotrek\Dane aplikacji\Uztyla C:\Documents and Settings\Piotrek\Dane aplikacji\SendSpace C:\Documents and Settings\Piotrek\Dane aplikacji\YourFileDownloader C:\Program Files\YourFileDownloader C:\Documents and Settings\Piotrek\Dane aplikacji\Mozilla\Firefox\Profiles\m3pxrfiq.default\searchplugins\dl.xml C:\scu.dat :OTL O4 - HKLM..\Run: [guisvc.exe] C:\Documents and Settings\All Users\Dane aplikacji\Common Files\Microsoft Shared\Web Components\login.lnk () O36 - AppCertDlls: dpnssmui - (C:\WINDOWS\system32\netdinst.dll) - File not found :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 4. Odtworzenie usługi Centrum zabezpieczeń. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc] "Type"=dword:00000020 "Start"=dword:00000002 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "DisplayName"="Centrum zabezpieczeń" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,77,00,69,00,6e,00,\ 6d,00,67,00,6d,00,74,00,00,00,00,00 "ObjectName"="LocalSystem" "Description"="Monitoruje ustawienia zabezpieczeń i konfiguracje systemu." [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Parameters] "ServiceDll"=hex(2):25,00,53,00,59,00,53,00,54,00,45,00,4d,00,52,00,4f,00,4f,\ 00,54,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,73,00,63,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Enum] "0"="Root\\LEGACY_WSCSVC\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 Adnotacja dla innych czytających: import dopasowany do Windows XP. Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik 5. Zresetuj plik HOSTS do postaci domyślnej za pomocą automatycznego narzędzia Fix-it z artykułu: KB972034. 6. Zrób nowy log OTL z opcji Skanuj (już bez Extras) + Farbar Service Scanner + SystemLook na ten sam warunek co poprzednio. . Odnośnik do komentarza
palik1 Opublikowano 14 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 14 Grudnia 2012 Po wszystkich zaleceniach jest internet Raporty: OTL - http://wklej.org/id/897102/ FSS - http://wklej.org/id/897105/ SystemLook - http://wklej.org/id/897108/ Dzięki!!!! Odnośnik do komentarza
picasso Opublikowano 15 Grudnia 2012 Zgłoś Udostępnij Opublikowano 15 Grudnia 2012 Tak, zadania pomyślnie wykonane. Wymagane jednak poprawki. Wykonaj: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\WINDOWS\$NtUninstallKB52829$ C:\WINDOWS\wip.exe C:\Documents and Settings\All Users\Dane aplikacji\pM13100KhLlO13100 :OTL O4 - HKU\S-1-5-21-725345543-1004336348-1417001333-1004..\Run: [guisvc.exe] "C:\Documents and Settings\All Users\Dane aplikacji\Common Files\Microsoft Shared\Web Components\login.lnk" File not found O15 - HKU\S-1-5-21-725345543-1004336348-1417001333-1004\..Trusted Domains: mks.com.pl ([www] http in Zaufane witryny) O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} "http://www.mks.com.pl/skaner/SkanerOnline.cab" (MksSkanerOnline Class) O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.) O36 - AppCertDlls: dpnssmui - (C:\WINDOWS\system32\netdinst.dll) - File not found DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\UIUSYS.SYS -- (UIUSys) DRV - File not found [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\Drivers\SSPORT.sys -- (SSPORT) DRV - File not found [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\Drivers\DgiVecp.sys -- (DgiVecp) :Reg [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\Microsoft XML Parser for Java] Klik w Wykonaj skrypt. 2. Jest tu zainstalowany bardzo stary (rok 2007) ESET Smart Security. Odinstaluj przez Dodaj/Usuń programy. Następnie wejdź w Tryb awaryjny i popraw narzędziem ESET Uninstaller. 3. Zrób nowy log OTL z opcji Skanuj (bez Extras). . Odnośnik do komentarza
palik1 Opublikowano 15 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 15 Grudnia 2012 Zrobione! raport: http://wklej.org/id/897531/ Odnośnik do komentarza
picasso Opublikowano 15 Grudnia 2012 Zgłoś Udostępnij Opublikowano 15 Grudnia 2012 Zrobione, mniemam, że skan MBAM nic już nie znajduje, czyli czynności finalizujące: 1. Porządki po narzędziach: w OTL uruchom Sprzątanie, ręcznie pousuwaj resztę użytków. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zaktualizuj wyliczone poniżej programy: KLIK. Wg raportu obecnie masz zainstalowane: Internet Explorer (Version = 7.0.5730.13) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{211E8730-5681-49ED-BC6A-78C9F88E95F5}" = Adobe Shockwave Player"{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 33"{3248F0A8-6813-11D6-A77B-00B0D0160060}" = Java 6 Update 6"{AC76BA86-7AD7-1045-7B44-A70500000002}" = Adobe Reader 7.0.5 - Polish"Adobe Shockwave Player" = Adobe Shockwave Player 11.6"Mozilla Firefox 16.0.1 (x86 pl)" = Mozilla Firefox 16.0.1 (x86 pl) FF - HKLM\Software\MozillaPlugins\@adobe.com/ShockwavePlayer: C:\WINDOWS\system32\Adobe\Director\np32dsw_1166636.dll (Adobe Systems, Inc.) Czyli: wyrzuć wszystkie stare Java / Adobe Shockwave Player / Adobe Reader, zaktualizuj Firefox i Internet Explorer. 4. Wstaw nowe zabezpieczenia. Z darmowych przykładowe propozycje: Zapora: PrivateFirewall, Online Armor Free, COMODO Firewall Antywirus: Avast, AVG, Kingsoft Antivirus, Panda Cloud Antivirus, Microsoft Security Essentials Pakiet: COMODO Internet Security 5. Prewencyjnie zmień hasła logowania w serwisach. Na koniec uwaga poboczna, czyli zasobożerny potwór Gadu-Gadu 10. Oglądnij lżejsze / przyjaźniejsze zasobom alternatywy: WTW, Kadu, Miranda, AQQ. Opisy: KLIK. . Odnośnik do komentarza
palik1 Opublikowano 15 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 15 Grudnia 2012 OK. Wszystko wykonane Bardzo dziękuję za pomoc! Odnośnik do komentarza
Rekomendowane odpowiedzi