askdkafa Opublikowano 21 Listopada 2011 Zgłoś Udostępnij Opublikowano 21 Listopada 2011 Witam, Wczoraj podczas buszowania po stronach odezwała się zapora Windows. Nie miałem wcześniej zainstalowanego antywirusa więc zainstalowałem ESET-a. Wyłapał parę wirusów (Sirefef.DM/CH, Patched.ND, kriptik.jdi), z którymi nie mógł sobie poradzić bez ponownego uruchomienia komputera. Nacisnąłem ok i tu stało się coś dziwnego. System się wyłączył, ale komputer ciągle pracował. Wirusy oczywiście pozostały. Czy możecie coś doradzić? Wymagane logi + raport z ESET i Kaspersky tdssKiller Kaspersky.txt OTL.Txt ESET.txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 21 Listopada 2011 Zgłoś Udostępnij Opublikowano 21 Listopada 2011 Sirefef to ciężka infekcja. Z danych wynika, że ESET całkowicie poległ na leczeniu sterownika systemowego, który wykrył jako zaprawiony: 2011-11-20 20:53:04 Skaner przy uruchamianiu plik C:\WINDOWS\system32\DRIVERS\netbt.sys Win32/Sirefef.DM koń trojański nie można wyleczyć A tenże jest wykryty w TDSKiller jako "zablokowany", co jest widoczne w OTL jako: DRV - [2008-04-15 13:00:00 | 000,162,816 | ---- | M] () [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\netbt.sys -- (NetBT) Infekcja nadal jest czynna, na co wskazuje to przekierowanie w Winsock i przetasowania z mswsock.dll: ========== Modules (No Company Name) ========== MOD - [2008-06-20 17:04:23 | 000,246,784 | ---- | M] () -- C:\WINDOWS\system32\mswsock.dllMOD - [2008-06-20 17:04:23 | 000,246,784 | ---- | M] () -- \\?\globalroot\systemroot\system32\mswsock.dll O10 - NameSpace_Catalog5\Catalog_Entries\000000000001 [] - C:\WINDOWS\System32\mswsock.dll ()O10 - NameSpace_Catalog5\Catalog_Entries\000000000003 [] - C:\WINDOWS\System32\mswsock.dll ()O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Program Files\Bonjour\mdnsNSP.dll (Apple Inc.)O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Program Files\Bonjour\mdnsNSP.dll File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\Program Files\Bonjour\mdnsNSP.dll File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000003 - C:\Program Files\Bonjour\mdnsNSP.dll File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000004 - C:\Program Files\Bonjour\mdnsNSP.dll File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000005 - C:\Program Files\Bonjour\mdnsNSP.dll File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000006 - C:\Program Files\Bonjour\mdnsNSP.dll File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000007 - C:\Program Files\Bonjour\mdnsNSP.dll File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000008 - C:\Program Files\Bonjour\mdnsNSP.dll File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000009 - C:\Program Files\Bonjour\mdnsNSP.dll File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000010 - C:\Program Files\Bonjour\mdnsNSP.dll File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000011 - C:\Program Files\Bonjour\mdnsNSP.dll File not found ========== Win32 Services (SafeList) ========== SRV - [2008-06-20 17:04:23 | 000,246,784 | ---- | M] () [On_Demand | Stopped] -- C:\WINDOWS\system32\mswsock.dll -- (Nla) Rozpoznawanie lokalizacji w sieci (NLA) Są także inne pliki infekcji na dysku. 1. Po pierwsze, przygotuj system do prawidłowego działania niskopoziomowych narzędzi. Tzn. odinstaluj archaiczny DAEMON Tools, który ma dwa czynne ofensywne sterowniki: DRV - [2004-08-22 15:31:48 | 000,005,248 | ---- | M] ( ) [Kernel | Boot | Running] -- C:\WINDOWS\System32\Drivers\d347prt.sys -- (d347prt)DRV - [2004-08-22 15:31:10 | 000,155,136 | ---- | M] ( ) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\d347bus.sys -- (d347bus) 2. Następnie pobierz i uruchom zgodnie ze wskazówkami ComboFix i przedstaw raport wynikowy z działania. . Odnośnik do komentarza
askdkafa Opublikowano 22 Listopada 2011 Autor Zgłoś Udostępnij Opublikowano 22 Listopada 2011 Odinstalowałem DAEMON Tools, odpaliłem SPTD (nic nie znalazł) i następnie uruchomiłem ComboFix, ale zatrzymuje się na etapie 27. czekałem ponad godzinę i zero reakcji. Odnośnik do komentarza
picasso Opublikowano 22 Listopada 2011 Zgłoś Udostępnij Opublikowano 22 Listopada 2011 uruchomiłem ComboFix, ale zatrzymuje się na etapie 27 Spróbuj zastartować do Trybu awaryjnego Windows i z jego poziomu ponowić próbę z ComboFix. odpaliłem SPTD (nic nie znalazł) Takiego sterownika tu nie było. To archaiczna wersja DAEMON Tools i operuje na innych, zakreślonych przeze mnie sterownikach, które akurat powinny samodzielnie zaniknąć przy deinstalacji aplikacji. . Odnośnik do komentarza
askdkafa Opublikowano 22 Listopada 2011 Autor Zgłoś Udostępnij Opublikowano 22 Listopada 2011 Zadziałało w trybie awaryjnym, oto logi z Combo: ComboFix.txt Odnośnik do komentarza
picasso Opublikowano 22 Listopada 2011 Zgłoś Udostępnij Opublikowano 22 Listopada 2011 To już drugie uruchomienie ComboFix i podczas tego nic nie robił. Wejdź do folderu C:\Qoobox i wyciągnij z niego plik o nazwie ComboFix2.txt, podaj go tu. Odnośnik do komentarza
askdkafa Opublikowano 22 Listopada 2011 Autor Zgłoś Udostępnij Opublikowano 22 Listopada 2011 ComboFix2 ComboFix2.txt Odnośnik do komentarza
picasso Opublikowano 22 Listopada 2011 Zgłoś Udostępnij Opublikowano 22 Listopada 2011 ComboFix przetworzył niektóre rzeczy (ale nie wszystko), ale na temat sterownika netbt.sys nie ma tu ani słowa (poza tym, że widać go tylko w nowszym ComboFix, tak jakby coś się z nim dodatkowego wydarzyło, tylko nie ma tu śladów takiej operacji). 1. Sprawdź ponownie co widzi teraz Kaspersky TDSSKiller (nie zaznaczaj do skanowania dodatkowych opcji, zostaw konfigurację domyślną). 2. Zrób także nowy log z OTL opcją Skanuj (Extras nie potrzebuję). . Odnośnik do komentarza
askdkafa Opublikowano 22 Listopada 2011 Autor Zgłoś Udostępnij Opublikowano 22 Listopada 2011 Logi: TDSSKiller.2.6.20.0_22.11.2011_21.06.45_log.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 22 Listopada 2011 Zgłoś Udostępnij Opublikowano 22 Listopada 2011 Nastąpiła wyraźna poprawa, jednak plik netbt.sys musiał zostać odblokowany / wyleczony, gdyż TDSSKiller już go nie wyróżnia, a i zniknął odczyt z OTL (widać także utworzenie na nowo pliku z opisem MS w dllcache). Winsock wygląda na naprawiony, zniknęły i inne zapisy - aktualnie widzę tylko dwa obiekty pozostawione przez rootkita. Kolejne prace do wykonania: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Documents and Settings\Tomek\Ustawienia lokalne\Dane aplikacji\6525ab2d del "\\?\C:\Windows\system32\ " /C :OTL O4 - HKLM..\Run: [TNOD UP] "C:\Program Files\TNod User & Password Finder\TNODUP.exe" /i File not found :Commands [emptytemp] Klik w Wykonaj skrypt. System zostanie zrestartowany i otworzy się log z wynikami usuwania. 2. Utwórz nowy log z OTL, ale na warunku dostosowanym. W oknie Własne opcje skanowania / skrypt wklej: C:\Windows\*. /RP /s Klik w Skanuj (a nie Wykonaj skrypt!). . Odnośnik do komentarza
askdkafa Opublikowano 22 Listopada 2011 Autor Zgłoś Udostępnij Opublikowano 22 Listopada 2011 Log z OTL OTL.Txt Odnośnik do komentarza
picasso Opublikowano 22 Listopada 2011 Zgłoś Udostępnij Opublikowano 22 Listopada 2011 Wszystko wykonane prawidłowo. 1. Odinstaluj ComboFix, co także czyści foldery Przywracania systemu. W Start > Uruchom > wklej komendę: "C:\Documents and Settings\Tomek\Pulpit\ComboFix.exe" /uninstall 2. W OTL uruchom funkcję Sprzątanie, co z kolei usunie z dysku OTL wraz z jego kwarantanną. 3. Wykonaj pełne skanowanie za pomocą Kaspersky Virus Removal Tool. W konfiguracji skanera zaznacz wszystkie obszary do skanowania. O ile narzędzie wykryje zagrożenia ("Detected threats"), przeklej mi ten wyciąg. Inne typy wyników mnie nie interesują. . Odnośnik do komentarza
askdkafa Opublikowano 22 Listopada 2011 Autor Zgłoś Udostępnij Opublikowano 22 Listopada 2011 Przeskanowałem i nie znalazło niczego Dzięki wielkie za szybkie i skuteczne rozwiązanie problemu! Odnośnik do komentarza
picasso Opublikowano 22 Listopada 2011 Zgłoś Udostępnij Opublikowano 22 Listopada 2011 (edytowane) Na zakończenie należy wykonać: 1. Dla bezpieczeństwa wymiana haseł logowania w serwisach. 2. Aktualizacja programów: Internet Explorer (Version = 6.0.2900.5512) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java 6 Update 22"{6BCBF099-BC3F-4832-BC0D-0AD07D4A5FE9}" = ESET Smart Security"{AA59DDE4-B672-4621-A016-4C248204957A}" = Skype™ 5.5"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin"Miranda IM" = Miranda IM 0.8.16"TNod" = TNod User & Password Finder - Szczegóły aktualizacyjne: INSTRUKCJE. Aktualizacja IE także jest istotna, mimo że nie jest używana jako podstawowa przeglądarka, ten silnik i tak jest na chodzie i istnieją zależności od niego. - Osobna sprawa to ESET Smart Security nie wyglądający na najnowszy, który jeszcze jest scrackowany (a crackiem interesował się ComboFix i go pociął). Przecież można używać darmowe aktualne programy (np. antywirus: Avast, Panda Cloud Antivirus; zapora: PrivateFirewall, Online Armor Free). . Edytowane 21 Grudnia 2011 przez picasso 21.12.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi