Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Worm:Win32/sirefef.gen!A oraz [cmz vmkd] Virtual Bus

Marton

Przez Marton
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
Marton

Marton

Opublikowano
  • Autor
Opublikowano

Chyba czeka mnie pielgrzymka na kolanach do Holandii (tfu,tfu! - żeby nie zapeszyć!)

Podmiana poszła bezproblemowo. Pięciokrotny skan TDSS pokazuje czysto. MSEE na razie milczy. Problem jest tylko z Gmerem, który nie chce wspólpracować.

Jak tylko przekonam go roboty, to dam znać. Czy nie należałoby zresetować przywracania systemu?

 

OTL zrobiony :

OTL5.Txt

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano
Problem jest tylko z Gmerem, który nie chce wspólpracować.

 

Zawieszenie / BSOD? Spróbuj jeszcze z poziomu Tryby awaryjnego, chociaż ten rodzaj skanu może coś pominąć (jeśli rootkit akurat jest nastawiony na Tryb normalny).

 

Czy nie należałoby zresetować przywracania systemu?

 

To zawsze daję na końcu po przeprowadzeniu wszystkich operacji, które mogą mieć odbicie w punkcie Przywracania. Jeszcze będą tu zmiany, czyli nie czas.

 

1. Przejdź do apletu usuwania programów i odinstaluj śmiecia sponsoringowego Conduit Engine + uTorrentBar Toolbar.

 

2. Zaktualizuj programy Firefox, Java, Adobe Reader. Szczegóły aktualizacyjne: INSTRUKCJE.

 

3. Po tym zaprezentuj nowe logi z OTL, nie zapomnij zaznaczyć opcji "Rejestr - skan dodatkowy" na "Użyj filtrowania", by powstał nowy log z Extras. Pójdą końcowe mikro poprawki, czyli usuwanie odpadków (zobaczymy też ile zostawi deinstalacja tych sponsorów) oraz wyzerowanie polis Windows Update.

 

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

1. Ten GMER wygląda całkiem inaczej niż poprzedni, zniknęły wszystkie hooki. To co pokazujesz teraz to inna kolekcja i nie wiem czy to traktować serio:

 

Library         C:\Program (*** hidden *** ) @ C:\Windows\Explorer.EXE [2944]                                         0x10000000

GMER ma błąd odczytu pełnej ścieżki i nie jest tu wcale podana ścieżka docelowa (ale powinna się zaczynać od C:\Program Files...). To może być jakaś nieszkodliwa biblioteka wpięta do powłoki. W GMER rozwiń boczną strzałkę przy karcie Rootkit i wejdź do kart Procesy / Moduły. Czy tam nie ma więcej danych? Już nie pamiętam za dokładnie jak ja sprawdzałam w GMER takie "urwane" ścieżki.

 

Możesz podać też log z alternatywnego programu: Rootkit Unhooker (wejdź do karty Report > klik w Scan > pozostaw zaznaczone wszystko).

 

2. Czekam na wykonanie reszty zadań i dostarczenie finałowych logów z OTL.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Trochę to trwało, bo chciałam mieć obrazkowe dowody. Nie widzę tu podstaw do niepokoju, gdyż pokazane hooki nie są szkodliwe, a byś się uspokoił pokazuję wyniki mojego skanu z absolutnie czystej Vista SP2 w wirtualu, podczas otwartego Internet Explorer (stąd hooki z iexplore.exe i ieframe.dll):

 

rk1e.th.png rk2r.th.png

 

Zaś ten proces w Tempach to jest sterownik GMER:

 

0x9F7E2000 C:\Users\Mario\AppData\Local\Temp\fwlcypod.sys 98304 bytes

Przejdź do dalszych operacji i zaprezentuj logi z OTL po ukończeniu zadań deinstalacyjno-instalacyjnych, bo jeszcze idą poprawki. I tak na koniec zadam skanowanie pełne komputera wybranym narzędziem.

 

 

.

Odnośnik do komentarza
Anonim8

Anonim8

Opublikowano
Opublikowano (edytowane)
Po kliknięciu w pustym oknie brak jest np. opcji "nowy"

 

Sprawdź w rejestrze czy masz taką wartość:

 

Nazwa klucza:  	HKEY_CLASSES_ROOT\Directory\Background\shellex\ContextMenuHandlers\New

Nazwa klasy: <BRAK KLASY>

Czas ost. zapisu: 2009-07-14 - 05:53

Wartość 0

Nazwa: <BEZ NAZWY>

Typ: REG_SZ

Dane: {D969A300-E7FF-11d0-A93B-00A0C90F2719}

Jeśli brak, należy ją utworzyć.

 

a po PPM na obiekcie zniknęło np skanuj z MSSE.

Można coś z tym zrobić ???

 

Nie wiem co to MSSE (Microsoft Security Esentials)? Może nadinstaluj program jeszcze raz.

Edytowane przez picasso
Posty skompaktowane. //picasso
Odnośnik do komentarza
Marton

Marton

Opublikowano
  • Autor
Opublikowano (edytowane)

Nie mam takiego. Jest tylko HKEY_CLASSES_ROOT\directory\shellex\PropertySheetHandlers\

directory jest z małej litery

 

MSSE (Microsoft Security Essentials) - dokładnie tak, ale to nie wielki problem. W sumie na poszczególonych plikach ta opcja jest, brak jej tylko przy folderach.

Dzięki

Edytowane przez picasso
Posty skompaktowane. //picasso
Odnośnik do komentarza
Anonim8

Anonim8

Opublikowano
Opublikowano (edytowane)
Nie mam takiego.

 

Windows Registry Editor Version 5.00

 

[HKEY_CLASSES_ROOT\Directory\Background\shellex\ContextMenuHandlers\New]

@="{D969A300-E7FF-11d0-A93B-00A0C90F2719}"

 

Zapisz w notatniku jako Fix.reg ustaw rozszerzenie na wszystkie pliki. Dodaj do rejestru i wykonaj restart.

 

W sumie na poszczególonych plikach ta opcja jest, brak jej tylko przy folderach.

 

Nie korzystam z Microsoft Security Essentials, ale uruchom instalator programu i zobacz czy nie ma opcji naprawy.

Edytowane przez picasso
Posty skompaktowane. //picasso
Odnośnik do komentarza
Marton

Marton

Opublikowano
  • Autor
Opublikowano (edytowane)
Zapisz w notatniku jako Fix.reg ustaw rozszerzenie na wszystkie pliki. Dodaj do rejestru i wykonaj restart.

 

Działa - serdeczne dzięki.

 

Jest, tylko w trochę innej formie. ;)

 

http://www.windowsvalley.com/download-fix-mse-utility/

 

Dzięki spróbuję później zastosować.

 

 

Postraszyłem Gmera i przestał się wygłupiać z czerwonym kolorem :D

Gmer .txt

Edytowane przez picasso
Posty skompaktowane. //picasso
Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Jak zapowiedziałam, drobne korekty, czyli reset polis Windows Update, usuwanie szczątków (w tym po użytych narzędziach / szczepionkach) i wyczyszczenie lokalizacji tymczasowych. Dodatkowo, od razu wstawiam import do rejestru przywracający wpisy MSSE w menu kontekstowym.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKU\S-1-5-21-292413197-2053731004-298573252-1000\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - Reg Error: Key error. File not found
O4 - Startup: C:\Users\Mario\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AutorunsDisabled [2011-01-14 11:31:27 | 000,000,000 | -H-D | M]
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoAutoUpdate = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoWindowsUpdate = 1
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab" (Reg Error: Key error.)
[2010-12-06 20:00:28 | 000,000,000 | ---D | M] (uTorrentBar Community Toolbar) -- C:\Users\Mario\AppData\Roaming\mozilla\Firefox\Profiles\js28hd2v.default\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}
[2011-01-13 20:11:19 | 000,061,440 | ---- | M] () -- C:\Windows\System32\drivers\umrhjsm.sys
[2011-01-13 17:56:28 | 000,054,016 | ---- | M] () -- C:\Windows\System32\drivers\rvwqlili.sys
[2011-01-11 19:19:54 | 000,000,000 | ---D | C] -- C:\Users\Mario\DoctorWeb
[2011-01-08 22:12:33 | 000,000,000 | ---D | C] -- C:\Users\Mario\AppData\Roaming\PC Tools
[2011-01-08 22:12:33 | 000,000,000 | ---D | C] -- C:\ProgramData\PC Tools
[2011-01-08 22:12:33 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\PC Tools
[2011-01-08 21:34:43 | 000,000,000 | ---D | C] -- C:\sh4ldr
[2011-01-14 11:37:40 | 000,000,474 | -H-- | M] () -- C:\Windows\tasks\Norton Security Scan for Mario.job
DRV - [2011-01-12 20:39:39 | 000,070,024 | ---- | M] (VirusBlokAda Ltd.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\23tn379t.sys -- (23tn379t)
SRV - File not found [Auto | Stopped] --  -- (Nero BackItUp Scheduler 4.0)
 
:Reg
[HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\MSSE]
""="{0365FE2C-F183-4091-AC82-BFC39FB75C49}"
[HKEY_CLASSES_ROOT\Directory\shellex\ContextMenuHandlers\MSSE]
""="{0365FE2C-F183-4091-AC82-BFC39FB75C49}"
 
:Commands
[emptyflash]
[emptytemp]

 

Uruchom przez Wykonaj skrypt.

 

2. Po ukończeniu zadania przedstaw wynikowy log z OTL dla potwierdzenia i to będzie ostatnie podejście z logami.

 

Nie ruszałem tylko Firefoxa, bo pokazuje, że jest w wersji 3.6.13.

 

Widocznie zaktualizowałeś go między tematem na starym forum a tu. Wczoraj nie mogłam otworzyć stron wklej.org i brałam wyciągi Extras z alternatywnego tematu.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano
Jednak po tej operacji nadal nie ma w prawokliku MSSE na folderach.

 

Tak teraz patrzę i to dlatego, że masz inną wersję MSSE, czyli nowszą. Moja jest instalowana jako "Microsoft Security Esssentials", zaś Twoja jako "Microsoft Security Client" (tylko nazwa wyświetlana jest zgodna z moją, ale inne foldery instalacyjne). Zamontowałam najnowszą wersję i nastąpiły zmiany w klasach menu kontekstowego, to nie jest już MSSE tylko EPP z inną {klasą}. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[-HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\MSSE]
 
[-HKEY_CLASSES_ROOT\Directory\shellex\ContextMenuHandlers\MSSE]
 
[HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\EPP]
@="{09A47860-11B0-4DA5-AFA5-26D86198A780}"
 
[HKEY_CLASSES_ROOT\Directory\shellex\ContextMenuHandlers\EPP]
@="{09A47860-11B0-4DA5-AFA5-26D86198A780}"
 

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator > z menu Plik zaimportuj FIX.REG i po tym zresetuj komputer.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Ten skan z Kasperskiego dał ciekawy wynik, czyli wskazał, że również kopia pliku npfs.sys była zainfekowana:

 

2011-01-17 20:11:18    Nieprzetworzony: Rootkit.Win32.ZAccess.c    C:\Windows\winsxs\x86_microsoft-windows-npfs_31bf3856ad364e35_6.0.6002.18005_none_a85cfde91a0cfe5b\npfs.sys    Nie może zostać wyleczony    
2011-01-17 20:11:25    Nieprzetworzony: Rootkit.Win32.ZAccess.c    C:\Windows\winsxs\x86_microsoft-windows-npfs_31bf3856ad364e35_6.0.6002.18005_none_a85cfde91a0cfe5b\npfs.sys    Pominięty przez użytkownika

Plik należy zamienić czystą kopią, do pobrania: KLIK. Najprościej będzie, jeśli podmienisz plik z poziomu WinRE, gdyż spod działającego systemu musiałbyś zresetować tymczasowo uprawnienia katalogu, w którym siedzi plik, zmieniając Właściciela na Administratorów i nadając Administratorom Pełną kontrolę.

 

 

2011-01-17 19:21:08    Zagrożenie: HEUR:Trojan.Win32.Generic    C:\Windows\winsxs\x86_Microsoft.Windows.Shell.HWEventDetector_6595b64144ccf1df_5.2.2.3_x-ww_5390e909\shsvcs.dll

To także jest od infekcji, którą omawialiśmy: KLIK / KLIK. Nie widzę, by plikiem tym skaner się zajął. Wygląda na to, że cały katalog jest sztucznie dorobiony, a wpis rejestru został zmodyfikowany. Na stronie ThreatExpert jest punktowany zapis:

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4FA18276-912A-11D1-AD9B-00C04FD8FDFF}\InprocServer32]
 
    * (Default) = "winSxS\x86_Microsoft.Windows.Shell.HWEventDetector_6595b64144ccf1df_5.2.2.3_x-ww_5390e909\shsvcs.dll"

Taką klasę mam w rejestrze i jest ustawiona na plik systemu:

 

Nazwa klucza:      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4FA18276-912A-11D1-AD9B-00C04FD8FDFF}\InprocServer32
Nazwa klasy:       
Czas ost. zapisu:  2006-11-02 - 13:51
Wartość 0
  Nazwa:           
  Typ:             REG_EXPAND_SZ
  Dane:            %systemroot%\system32\wbem\wbemcore.dll
 
Wartość 1
  Nazwa:           ThreadingModel
  Typ:             REG_SZ
  Dane:            Both

Podaj mi dodatkowy skan w OTL na okoliczność wystąpienia ciągu katalogu. Wszystkie opcje ustaw na Brak / Żadne, zaś w polu skanów dostosowanych wklej:

 

x86_Microsoft.Windows.Shell.HWEventDetector_6595b64144ccf1df_5.2.2.3_x-ww_5390e909 /RS

 

No i nie wiem, co z tym dll, bo mam tgo na pulpiicie.

 

?

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...