Szooguun Opublikowano 11 Stycznia 2013 Zgłoś Udostępnij Opublikowano 11 Stycznia 2013 Witam. Zwracam się o pomoc w usunięciu konia trojańskiego "Sirefef.EZ" z pamięci operacyjnej Nod32 znalazł: Pamięć operacyjna » \GLOBAL??\ebcbf0e2\Windows\$NtUninstallKB6953$\3956011234\Desktop.ini - odmiana zagrożenia Win32/Sirefef.EZ koń trojański - wybrana akcja zostanie wykonana po zakończeniu skanowania Logi: Extras: http://wklej.org/hash/96e45101384/ OTL: http://wklej.org/hash/8e20a64644b/ GMER: http://wklej.org/hash/bb46e7730a5/ GMER przed rozpoczęciem skanowania wykrył modyfikację systemu: http://img89.imagesh...9/3185/gmer.jpg Proszę również o sprawdzenie logów pod kątem innych infekcji. Z góry dziękuję za pomoc. Odnośnik do komentarza
picasso Opublikowano 12 Stycznia 2013 Zgłoś Udostępnij Opublikowano 12 Stycznia 2013 Mamy tu do czynienia z rootkitem ZeroAccess, który zainfekował systemowy sterownik tdx.sys. Proszę również o sprawdzenie logów pod kątem innych infekcji. Ekhm! Logów się nie analizuje pod kątem tylko jednej infekcji, tylko całość! 1. Uruchom Kaspersky TDSSKiller. Zostaw wszystkie akcje domyślne i zatwierdź restart systemu w celu ukończenia leczenia. 2. Zresetuj Winsock naruszony przez rootkita. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wpisz komendę: netsh winsock reset Zatwierdź restart systemu. 3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\Quest\AppData\Roaming\rundll32.exe C:\Windows\System32\%APPDATA% :OTL O4 - HKLM..\Run: [] File not found O4 - HKU\S-1-5-21-95504080-2791040715-1320004996-1001..\Run: [AdobeBridge] File not found O4 - HKU\S-1-5-21-95504080-2791040715-1320004996-1001..\Run: [CPN Notifier] C:\Program Files\Intertops Poker\PokerNotifier.exe File not found :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 4. Przez Panel sterowania odinstaluj adware Ask Toolbar, Ask Toolbar Updater. W Firefox w Dodatkach powtórz usuwanie Ask Toolbar. 5. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 6. Zrób nowe logi: OTL z opcji Skanuj (już bez Extras), GMER, Farbar Service Scanner. Dodatkowo podaj skan na potencjalne uszkodzenie ikony Centrum, tzn. w SystemLook wklej: :reg HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects /s Dołącz logi utworzone przez TDSSKiller + AdwCleaner. . Odnośnik do komentarza
Szooguun Opublikowano 12 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 12 Stycznia 2013 Wszystkie kroki wykonane, logi w załącznikach (chyba żadnego nie pominąłem) AdwCleanerS1.txt FSS.txt GMER.txt OTL.Txt SystemLook.txt TDSSKiller.2.8.15.0_12.01.2013_13.16.07_log.txt 01122013_132614.log.txt Odnośnik do komentarza
picasso Opublikowano 12 Stycznia 2013 Zgłoś Udostępnij Opublikowano 12 Stycznia 2013 Zadania wykonane i rootkit usunięty, ale trzeba naprawić jeszcze szkody. Rootkit zmasakrował usługi Windows. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Windows\$NtUninstallKB6953$ :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{F56F6FDD-AA9D-4618-A949-C1B91AF43B1A}] "AutoStart"="" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] Klik w Wykonaj skrypt. 2. Odbuduj zniszczone usługi za pomocą ServicesRepair. 3. Wykonaj weryfikację poprawności plików systemowych za pomocą komendy sfc /scannow, za pomocą kolejnej komendy przefiltruj log do wystąpień znaczników [sR]: KLIK. 4. Dostarcz logi: nowy OTL z opcji Skanuj (bez Extras), Farbar Service Scanner oraz SystemLook na ten sam warunek co poprzednio. Dołącz log z filtrowanymi wynikami SFC. . Odnośnik do komentarza
Szooguun Opublikowano 12 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 12 Stycznia 2013 zrobione 01122013_143853.log.txt FSS.txt OTL.Txt sfc.txt SystemLook.txt Odnośnik do komentarza
picasso Opublikowano 12 Stycznia 2013 Zgłoś Udostępnij Opublikowano 12 Stycznia 2013 Wymień załącznik, to nie jest prawidłowy log z SFC tylko cały CBS.LOG. Miałeś zrobić to: PRZEGLĄDANIE RAPORTU CBS.LOG: Narzędzie SFC nagrywa swoje operacje do zbiorczego C:\WINDOWS\LOGS\CBS\CBS.LOG. Plik raportu trzyma szersze informacje niż tylko to. (..) Należy wyszukać w tym pliku wejścia otagowane znacznikiem [sR]. Zamiast sprawdzania ręcznego możliwa metoda automatyczna: 1. Uruchom linię poleceń jako Administrator: 2. Wpisz polecenie: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt . Odnośnik do komentarza
Szooguun Opublikowano 12 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 12 Stycznia 2013 Ok, wykonałem krok 3 po raz kolejny: http://wklej.org/hash/3226015b829/ Odnośnik do komentarza
picasso Opublikowano 12 Stycznia 2013 Zgłoś Udostępnij Opublikowano 12 Stycznia 2013 Uruchom cmd jako Administrator i wklej komendę: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >%userprofile%\Desktop\sfc.txt Na Pulpicie powstanie log sfc.txt. Doczep go. A ten ogromny CBS.LOG już usunęłam z załącznika. . Odnośnik do komentarza
Szooguun Opublikowano 12 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 12 Stycznia 2013 zrobione z tym, że tak jak wyżej napisałem edytując swój post wykonałem punkt 3 ponownie sfc.txt Odnośnik do komentarza
picasso Opublikowano 12 Stycznia 2013 Zgłoś Udostępnij Opublikowano 12 Stycznia 2013 Ponowne uruchomienie sfc /scannow nie było potrzebne. Miałeś tylko zrobić log z wynikami poprzedniego uruchomienia. W wynikach brak detekcji naruszeń z winy ZeroAccess, ale były naprawiane inne pliki (co wygląda zresztą na ingerencję jakiegoś cracka do aktywacji...) oraz jest taki wynik z "file cannot be checked" (przypuszczalny brak uprawnień): 2013-01-12 15:27:04, Info CSI 0000039e [sR] Cannot repair member file [l:14{7}]"sfc.exe" of Microsoft-Windows-WRP-Integrity-Client, Version = 6.1.7600.16385, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, file cannot be checked2013-01-12 15:27:04, Info CSI 0000039f [sR] Cannot repair member file [l:14{7}]"sfc.exe" of Microsoft-Windows-WRP-Integrity-Client, Version = 6.1.7600.16385, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, file cannot be checked2013-01-12 15:27:04, Info CSI 000003a0 [sR] This component was referenced by [l:198{99}]"Microsoft-Windows-Foundation-Package~31bf3856ad364e35~x86~~6.1.7600.16385.WindowsFoundationDelivery" Pozostałe akcje wykonane, czyli teraz już ta część zadaniowa: 1. Porządki po narzędziach: przez SHIFT+DEL skasuj folder C:\TDSSKiller_Quarantine, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie, resztę już ręcznie dokasuj. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zrób pełne skanowanie za pomocą Malwarebytes Anti-Malware (wybierz wersję free a nie próbną). Jeżeli coś zostanie wykryte, przedstaw raport. . Odnośnik do komentarza
Szooguun Opublikowano 12 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 12 Stycznia 2013 MBAM: http://wklej.org/id/922826/ ps. jak na przyszłość zabezpieczyć się przed rootkitami skoro NOD32 nie zareagował na to zagrożenie? Odnośnik do komentarza
picasso Opublikowano 15 Stycznia 2013 Zgłoś Udostępnij Opublikowano 15 Stycznia 2013 (edytowane) MBAM nie wykrył nic istotnego, tzn. kwarantannę SUPERAntiSpyware. Ale wrócę jeszcze na moment do tego wyniku z SFC, bo to nie jest zbyt normalne: 2013-01-12 15:27:04, Info CSI 0000039e [sR] Cannot repair member file [l:14{7}]"sfc.exe" of Microsoft-Windows-WRP-Integrity-Client, Version = 6.1.7600.16385, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, file cannot be checked2013-01-12 15:27:04, Info CSI 0000039f [sR] Cannot repair member file [l:14{7}]"sfc.exe" of Microsoft-Windows-WRP-Integrity-Client, Version = 6.1.7600.16385, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, file cannot be checked2013-01-12 15:27:04, Info CSI 000003a0 [sR] This component was referenced by [l:198{99}]"Microsoft-Windows-Foundation-Package~31bf3856ad364e35~x86~~6.1.7600.16385.WindowsFoundationDelivery" Podaj mi skan na wystąpienia pliku sfc.exe, jak on się prezentuje. Uruchom SystemLook i w oknie wklej: :filefind sfc.exe Klik w Look. ps. jak na przyszłość zabezpieczyć się przed rootkitami skoro NOD32 nie zareagował na to zagrożenie? Ciężko tu doradzić konkretny program antywirusowy X, bo ta infekcja na forum występowała w różnych kontekstach antywirusowych. Ale zainteresuj się środowiskami typu piaskownice np.: SandBoxie, GeSWall Freeware. . Edytowane 18 Lutego 2013 przez picasso 18.02.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi