Koń trojański Win64/Sirefef.BC

[misiekv3]

Witam!
Niestety w jakiś sposób "coś" dostało mi się do systemu.

Wczoraj w kodzie jednej z moich stron znalazłem dziwny <iframe=..."counter.php"> + na serwerze (!), w folderze tej strony, był pusty plik o tej samej nazwie. Plik usunąłem, zmieniłem hasło ftp, podmieniłem pliki i jest ok. Dziś eset/ss5 wywala mi komunikat co chwilę - screen w załączniku. Licznik wskazuje na 60.

Sprawdziłem zainstalowane rzeczy i znalazłem Akamai NetSession Interface - nie instalowałem tego, usunąłem od razu.

Zapora Windows była wyłączona, na 100% była włączona. Włączyłem spowrotem.

Oprócz tego wszystko działa normalnie.

Miałem zamiar: 1. przeskanowanie wszystkiego esetem 2. combofix, no ale trafiłem tutaj i proszę o pomoc.

Windows 7 64-bit SP1

 

Raporty w załączniku.

 

Pozdrawiam.

OTL.Txt

FRST.txt

Extras.Txt

Addition.txt

GMER.txt

[picasso]

Niestety zainfekowana strona zapuściła w system rootkita ZeroAccess, są w systemie aż dwie wersje: CLSID uruchamiana z Kosza oraz najnowsza z trikami Unicode i RTL. Przeprowadź następujące działania:

 

1. Otwórz Notatnik i wklej w nim:

 

HKCU\...\Run: [Google Update*] - [x] 
HKCR\...409d6c4515e9\InprocServer32: [Default-shell32] C:\$Recycle.Bin\S-1-5-21-1444334124-1429340301-1089822364-1001\$11f17f5708447e54188e2b3d38885f5d\n. ATTENTION! ====> ZeroAccess?
HKCU\...\Policies\Explorer: [NoDrives] 0
HKLM\...\Policies\Explorer: [NoDrives] 0
SearchScopes: HKLM-x32 - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678
SearchScopes: HKCU - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678
Toolbar: HKCU - No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File
Toolbar: HKCU - No Name - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - No File
CHR HKLM-x32\...\Chrome\Extension: [bejbohlohkkgompgecdcbbglkpjfjgdj] - C:\Users\MICHA~1\AppData\Local\Temp\crx6598.tmp
Task: {D1C1C6C4-9556-4498-A26F-98E835DF64BA} - \Program aktualizacji online firmy Adobe. No Task File
C:\$Recycle.Bin\S-1-5-21-1444334124-1429340301-1089822364-1001\$11f17f5708447e54188e2b3d38885f5d
C:\Users\Michał\AppData\Local\Google\Desktop
C:\Users\Michał\AppData\Roaming\Equ
C:\Users\Michał\AppData\Roaming\Kaawgao

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Zresetuj ręcznie system. Zrób nowy skan FRST (bez Addition) + log z Farbar Service Scanner. Dołącz plik fixlog.txt.

 

 

 

Sprawdziłem zainstalowane rzeczy i znalazłem Akamai NetSession Interface - nie instalowałem tego, usunąłem od razu.

Akamai to nic szkodliwego per se. To technologia downloadera używana przy pobieraniu określonych aplikacji. M.in. Adobe czy niektóre gry stosują to cudo.

 

 

 

.

[misiekv3]

Witam!

Dziękuje za odpowiedź.

 

Wszystko wykonane, w załączniku logi.

 

Eset się uspokoił.

FSS.txt

FRST.txt

Fixlog.txt

[picasso]

Wszystko poszło gładko. Teraz należy upłynnić magazyn FRST zablokowany obiektami ZeroAccess. Otwórz Notatnik i wklej w nim:

 

DeleteQuarantine:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

 

 

 

.

[misiekv3]

Fixlog w załączniku

Fixlog.txt

[picasso]

Zrobione. Przechodzimy do dalszych czynności:

 

1. Kosmetyka preferencji Google Chrome (martwe wpisy wtyczek). Zresetuj cache wtyczek: w pasku adresów wpisz chrome://plugins i ENTER, na liście wtyczek wybierz dowolną i kliknij Wyłącz, następnie wtyczkę ponownie włącz.

 

2. Porządki po narzędziach: przez SHIFT+DEL dokasuj pozostały folder C:\FRST, w OTL uruchom Sprzątanie.

 

3. Uruchom TFC - Temp Cleaner.

 

4. Wyczyść foldery Przywracania systemu: KLIK.

 

5. Na wszelki wypadek zrób jeszcze pełny skan w Malwarebytes Anti-Malware. Jeżeli coś zostanie wykryte, przedstaw raport.

 

 

 

.

[misiekv3]

Super.

 

1,2,3,4 wykonane bez zakłóceń.

 

5. Malware nic nie wykrył po pełnym skanowaniu.

[picasso]

Na zakończenie:

 

1. Zaktualizuj wyliczone poniżej programy: KLIK / KLIK. Wg raportu siedzą tu wersje:

 

==================== Installed Programs =======================
 

Adobe Flash Player 11 ActiveX 64-bit (Version: 11.1.102.55) ----> wtyczka dla IE

Adobe Flash Player 11 Plugin (x32 Version: 11.7.700.202) ----> wtyczka dla Firefox/Opera

Adobe Reader XI (11.0.02) (x32 Version: 11.0.02)

FileZilla Client 3.7.0.1 (x32 Version: 3.7.0.1)

Gadu-Gadu 7.7 (x32)

HiJackThis (x32 Version: 1.0.0) ----> deinstalacja (program niezgodny z systemem x64)

Java™ 6 Update 22 (x32 Version: 6.0.220)

Microsoft Office Professional Plus 2010 (x32 Version: 14.0.4763.1000) ----> instalacja SP1

OpenOffice.org 3.3 (x32 Version: 3.3.9567)

Opera 12.15 (x32 Version: 12.15.1748)

Safari (x32 Version: 5.34.57.2) ----> deinstalacja, brak łat

Skype™ 6.3 (x32 Version: 6.3.107)

 

2. Prewencyjnie zmień hasła logowania w serwisach.

 

 

.

[misiekv3]

Wielkie dzięki!

 

Jeszcze na koniec - w załączniku wrzuciłem widok z eseta, czy któryś z poprzednich ataków mógł być źródłem już byłego Sirefef.BC?

Zastanawiam się nad dyskiem zewnętrznym, czy coś jeszcze w nim nie siedzi... Od dnia kiedy eset wykrył "konia" na seagate (nowy, pierwszy raz podłączony!) i zgrałem tam co trzeba to więcej nie podłączałem.

 

Jave w ogóle z laptopa odinstalowałem przedwczoraj.

 

P.S.

Poszła dotacja.

[picasso]

Jeszcze na koniec - w załączniku wrzuciłem widok z eseta, czy któryś z poprzednich ataków mógł być źródłem już byłego Sirefef.BC?

Wg mnie źródłem ZeroAccess była wklejka w kodzie Twojej strony. Nigdy nie widziałam, by ZeroAccess transportował się przez media zewnętrzne. Typowe źródła tej infekcji to strony wykonujące szkodliwy kod lub pobranie sfałszowanej wtyczki (uwielbianym typem jest fałszywy "Adobe Flash").

 

 

Zastanawiam się nad dyskiem zewnętrznym, czy coś jeszcze w nim nie siedzi... Od dnia kiedy eset wykrył "konia" na seagate (nowy, pierwszy raz podłączony!) i zgrałem tam co trzeba to więcej nie podłączałem.

Nie wiem co wykrył ESET, ścieżka jest niepełna G:\Seagate Dashboard 2.0\MISIEK\Michał\Backup\numery.... Co to za "Backup", z czego stworzony?

 

 

Jave w ogóle z laptopa odinstalowałem przedwczoraj.

W Twoim przypadku aplikuje się instalacja najnowszej wersji połączona z aktualizacją OpenOffice.org. Ten pakiet Office wymaga Javy do pracy, a dopiero od wersji 3.4.0 / 3.4.1 jest obsługiwana detekcja Java 7.

 

 

Poszła dotacja.

Dzięki!

 

 

 

.

[misiekv3]

Nie wiem co wykrył ESET, ścieżka jest niepełna G:\Seagate Dashboard 2.0\MISIEK\Michał\Backup\numery.... Co to za "Backup", z czego stworzony?

 

Hello!

Pełna ścieżka:

G:\Seagate Dashboard 2.0\MISIEK\Michał\Backup\24addf3a-4c55-4119-b57f-a7b27440fd80\20130723_143730_Michał\C\Qoobox\Quarantine\C\ProgramData\0636AA04A0C84AA200000636A3D34FF5\0636AA04A0C84AA200000636A3D34FF5.exe.vir

 

Backup stworzony przez seagatowy panel do zarządzania w momencie przeniesienia rzeczy za jego pomocą.

Przeskanowałem sigejta Malware, 0 zagrożeń także chyba czysto.

Jeśli uznasz, że jest wszystko ok to zamykaj.

 

To ja dziękuje.

[picasso]

I wszystko jasne:

 

G:\Seagate Dashboard 2.0\MISIEK\Michał\Backup\24addf3a-4c55-4119-b57f-a7b27440fd80\20130723_143730_Michał\C\Qoobox\Quarantine\C\ProgramData\0636AA04A0C84AA200000636A3D34FF5\0636AA04A0C84AA200000636A3D34FF5.exe.vir

 

W tym backupie uwzględniono fragment nieprawidłowo odinstalowanego ComboFixa, czyli cały folder C:\Qoobox z kwarantanną. Antywirus wykrył w owej kwarantannie zupełnie nieczynny obiekt (kiedyś usuwanej infekcji typu "rogue"). Wnioski: pozbądź się z backupu tego obiektu "Qoobox". Sprawa jest odrębna i nie ma związku z usuwaną tu infekcją ZeroAccess.

 

 

.