Infekcja Win32/Kryptik.JDI i inne

[mikkado]

Witam!

 

Będę wdzięczny za pomoc w pozbyciu się wirusów z komputera.

 

Po wejściu na stronę "hxxp://www.teatr-pismo.kei.pl/index.php" antywirus (ESET NOD32) zaalarmował o infekcji. Następnie włączyła się zapora Windows z alertem/pytaniem, czy nadal blokować przeglądarkę Firefox. Zauważalne jest wyraźne spowolnienie internetu; ESET NOD32 co jakiś czas informuje o znalezieniu wirusów i przeprowadzeniu kwarantanny. Alert zapory Windows włącza się przy uruchomieniu każdego programu.

 

Załączam dziennik zdarzeń ESET NOD 32 oraz wymagane logi.

 

Będę bardzo wdzięczny za poświęcony czas

OTL.Txt

Extras.Txt

raport_eset.txt

[picasso]

Niestety, mamy tu poważną infekcję rootkit ZeroAccess (ESET wykrywa go jako Sirefef), a jego znaki to:

 

========== Modules (No Company Name) ==========
 
MOD - [2008-06-20 17:04:23 | 000,246,784 | ---- | M] () -- \\?\globalroot\systemroot\system32\mswsock.dll
 
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000006 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000007 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000008 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000009 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000010 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000011 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000012 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000013 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000014 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000015 - mswsock.dll File not found
 
O20 - HKU\S-1-5-21-1202660629-1770027372-725345543-1003 Winlogon: Shell - (C:\Documents and Settings\Marysia\Ustawienia lokalne\Dane aplikacji\e9766fe7\X) - File not found
 
File not found -- C:\WINDOWS\System32\
[2011-11-08 10:09:17 | 000,000,000 | -HSD | C] -- C:\Documents and Settings\Marysia\Ustawienia lokalne\Dane aplikacji\e9766fe7

 

Etap wstępny, uruchom Kaspersky TDSSKiller, wszystkim wykrytym zagrożeniom przyznaj akcję Skip i tylko raport do oceny przedstaw.

 

 

 

.

[mikkado]

Oj, to niedobrze

 

Poniżej log z Kaspersky TDSSKiller (znalazł jedną infekcję: Rootkit.Win32.ZAccess).

kasperski_tdss_rep.txt

[picasso]

1. Kaspersky wykrył jako zainfekowany sterownik systemowy IPSEC. Dla tego wyniku wybierz opcję Cure i zresetuj system.

 

2. Następnie uruchom zgodnie ze wskazówkami ComboFix i przedstaw raport wynikowy.

 

 

 

.

[mikkado]

Ad. 1. Zrobione.

 

Ad. 2. Poniżej raport z ComboFixa.

log_combofix.txt

[picasso]

Wygląda na to, że spółka Kaspersky + ComboFix dała radę i rootkit został usunięty. Przechodzimy do kolejnych działań, czyli usunięcia pozostałego po rootkicie folderu oraz innych (nieszkodliwych) odpadków widzialnych uprzednio w OTL.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
c:\documents and settings\Marysia\Ustawienia lokalne\Dane aplikacji\e9766fe7
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\WINDOWS\explorer.exe"=-
 
:OTL
SRV - File not found [Auto | Stopped] --  -- (gupdate)
O3 - HKU\S-1-5-21-1202660629-1770027372-725345543-1003\..\Toolbar\ShellBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\S-1-5-21-1202660629-1770027372-725345543-1003\..\Toolbar\ShellBrowser: (no name) - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - No CLSID value found.
O3 - HKU\S-1-5-21-1202660629-1770027372-725345543-1003\..\Toolbar\WebBrowser: (no name) - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - No CLSID value found.
O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} "http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab" (Reg Error: Key error.)

 

Klik w Wykonaj skrypt.

 

2. Przedstaw log z wynikami usuwania oraz nowy log z OTL zrobiony opcją Skanuj (bez Extras).

 

 

 

.

[mikkado]

Wklejam logi:

OTLraportpo skrypcie11092011_213711.log.txt

OTLskan.Txt

[picasso]

Akcja przeprowadzona pomyślnie. Do wykonania:

 

1. Prawidłowa deinstalacja ComboFix usuwająca jego kwarantannę + składniki oraz czyszcząca foldery Przywracania systemu. W Start > Uruchom > wklej komendę:

 

"C:\Documents and Settings\Marysia\Pulpit\ComboFix.exe" /uninstall

 

2. Uruchom Sprzątanie w OTL, co usunie z dysku z kolei kwarantannę OTL i ten program.

 

3. Wykonaj dla pewności pełne skanowanie posiadanym ESET i zgłoś się tu z podsumowaniem czy coś jest wykrywane.

 

 

 

.

[mikkado]

1. i 2. zrobione.

 

3. załączam raport ze skanu - ESET wykrył "Win32/Sirefef.DK koń trojański". Z raportu usunąłem wpisy dot. programu Thunderbird (zawierały dane osobowe - nazwy folderów). Wpisy wyglądały jak poniżej:

 

C:\Documents and Settings\Marysia\Dane aplikacji\Thunderbird\Profiles\b488gyla.default\Mail\pop."NAZWA_DOMENY"\"NAZWA_FOLDERU".sbd\2010013f53a9.sbd\"NAZWA_FOLDERU" » MBOX - nie zawiera zagrożeń (skanowanie wewnątrz nie zostało wykonane)

 

Czy to znaczy, że wciąż coś siedzi w systemie?

skan_eset02.txt

[picasso]

załączam raport ze skanu - ESET wykrył "Win32/Sirefef.DK koń trojański".

 

Tu nie ma się czym martwić. To jest wykryte w cache Java. Dedykuję to zagadnienie w punkcie 1:

 

1. Zastosuj TFC - Temp Cleaner. M.in. uwzględnia cache Java.

 

2. Dla bezpieczeństwa zmień hasła logowania w serwisach.

 

3. Zaktualizuj następujące aplikacje:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{1701765B-6D93-43C6-A835-DD423517581F}" = OpenOffice.org 3.2
"{26A24AE4-039D-4CA4-87B4-2F83216018FF}" = Java™ 6 Update 24
"{EA0D18F8-6CC9-44A6-A767-148EDE7E75A2}" = ESET NOD32 Antivirus
"7-Zip" = 7-Zip 4.65
"FileZilla Client" = FileZilla Client 3.5.1
"Mozilla Firefox 7.0.1 (x86 pl)" = Mozilla Firefox 7.0.1 (x86 pl)
"Mozilla Thunderbird (7.0.1)" = Mozilla Thunderbird (7.0.1)

 

Szczegóły aktualizacyjne w tym wątku: INSTRUKCJE. Twój ESET zaś trochę stary (nie mylić z aktualizacją baz) i rozważ w miarę możliwości zaopatrzenie się w najnowszą wersję.

 

Potwierdź wykonanie zadań, podsumuj stan systemu i wypowiedz się wyraźnie czy coś jeszcze wymaga naprawy.

 

.

[mikkado]

Ad.1. wykonane.

 

Ad.2. dziś zmienię. Logując się do serwisów, na pocztę itp. używam klawiatury ekranowej - kiedyś czytałem, że to dodatkowe zabezpieczenie, ale czy rzeczywiście tak jest?

 

Ad. 3 aktualizacje wykonane.

 

Wydaje się, że wszystko działa już poprawnie - nie zauważam żadnych nietypowych zachowań.

 

Bardzo dziękuję za pomoc i za poświęcony mi czas. Doceniam to, co robicie na tym forum i pozdrawiam serdecznie wszystkich administratorów!

 

Przy okazji chciałbym jeszcze zapytać, czy jest jakiś sposób na to, żeby zabezpieczyć komputer przed infekcjami przez przeglądarkę www? Gdzieś czytałem o tzw. piaskownicy - czy przeglądarkę też można uruchomić w taki sposób? I czy jest to sensowne? Będę wdzięczny za ewentualne rady w tej kwestii.

 

Być może powinienem też zabezpieczyć komputer przed infekcjami z pendrive'a?

 

Jeszcze raz dziękuję za pomoc.

[picasso]

Logując się do serwisów, na pocztę itp. używam klawiatury ekranowej - kiedyś czytałem, że to dodatkowe zabezpieczenie, ale czy rzeczywiście tak jest?

 

Zależy jakiej klawiatury ekranowej. Jeśli masz na myśli tę w wbudowaną w Windows, to nie jest to żadne zabezpieczenie i dla keyloggerów to dziecinna igraszka (KLIK). Klawiatura ekranowa musi dysponować innymi właściwościami, by dostarczać faktyczne zabezpieczenie, tu masz przykład takiej aplikacji (darmowej): Neo's SafeKeys. Mogę także polecić dwie porządne darmowe aplikacje antykeylogger: SpyShelter Personal Free i KeyScrambler Personal.

 

 

Przy okazji chciałbym jeszcze zapytać, czy jest jakiś sposób na to, żeby zabezpieczyć komputer przed infekcjami przez przeglądarkę www? Gdzieś czytałem o tzw. piaskownicy - czy przeglądarkę też można uruchomić w taki sposób? I czy jest to sensowne? Będę wdzięczny za ewentualne rady w tej kwestii.

 

Są aplikacje dedykowane temu np. SandBoxie. Program nie jest darmowy, ale da się go używać za darmo, tzn. po 30 dniach po prostu zaczynają się pokazywać nagscreeny przypominające o zakupach.

 

 

Być może powinienem też zabezpieczyć komputer przed infekcjami z pendrive'a?

 

Pod tym kątem możesz skorzystać z Panda USB Vaccine i opcji Computer Vaccination. To jednak ochroni tylko przed infekcjami przenoszonymi via autorun.inf, nie dotyczy infekcji działających via LNK.

 

 

 

.

Edytowane 10 Grudnia 2011 przez picasso
10.12.2011 - Temat ukończony, brak dodatkowych komentarzy, zamykam. //picasso