magicuene Opublikowano 6 Marca 2012 Zgłoś Udostępnij Opublikowano 6 Marca 2012 witam proszę o sprawdzenie logów i info co i jak z tym dalej zrobic. mam problem z trojanem sirefef, niczym się go nie da usunąć. nie działa internet, klawiatura, touchpad zaznaczam, że jestem zielony w tych sprawach, proszę o pisanie w "ludzkim" języku AntiZeroAccess_Log.txt Extras.Txt OTL.Txt FSS.txt Odnośnik do komentarza
picasso Opublikowano 6 Marca 2012 Zgłoś Udostępnij Opublikowano 6 Marca 2012 Nie podałeś obowiązkowego tu raportu z GMER, nie wiadomo jakie są czynności rootkit i gdzie. Log z AntiZeroAccess jest cienki. Zaś infekcja zrobiła rzeźnię, pokasowane z rejestru usługi sieciowe oraz brakujące pliki, nieprawidłowy tag ipsec. W takim stanie żadnym sposobem sieć nie zastartuje, dopóki nie zostaną poprawione te szkody. Klawiatura i touchpad pewnie padły ze względu na zainfekowanie ich sterownika, względnie też kasację usługi z rejestru. 1. Po pierwsze usuń programy emulujące napędy oraz sterownik SPTD za pomocą narzędzia SPTDinst: KLIK. 2. Pobierz narzędzie ComboFix. Przejdź w Tryb awaryjny Windows, uruchom ComboFix. 3. Gdy narzędzie ukończy, zrób nowe logi z OTL + GMER + Farbar Service Scanner. Dołącz oczywiście i raport z ComboFix. . Odnośnik do komentarza
magicuene Opublikowano 9 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 9 Marca 2012 zrobiłem wszystko po kolei. dostęp do sieci wrócił, klawiatura i touchpad dalej nie działają. wklejam logi, proszę o dalszą pomoc FSS.txt log combofix.txt OTL.Txt GMER 1.0.15.15641 - http://www.gmer.net Rootkit quick scan 2012-03-09 13:58:18 Windows 5.1.2600 Dodatek Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-5 TOSHIBA_MK3263GSX rev.FG020A Running: bwe0hr78.exe; Driver: C:\DOCUME~1\Asia\USTAWI~1\Temp\uxtdqpod.sys ---- System - GMER 1.0.15 ---- Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateProcessEx [0xACCAFB9C] Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateSection [0xACCAF9C0] Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwLoadDriver [0xACCAFAFA] Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) NtCreateSection Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ObInsertObject Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ObMakeTemporaryObject ---- Devices - GMER 1.0.15 ---- Device \Driver\atapi \Device\Ide\IdePort0 [b9E1EB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX} Device \Driver\atapi \Device\Ide\IdePort1 [b9E1EB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX} Device \Driver\atapi \Device\Ide\IdePort2 [b9E1EB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX} Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-5 [b9E1EB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX} Device \Driver\a8243oes \Device\Scsi\a8243oes1 8A118430 Device \FileSystem\Ntfs \Ntfs aswSP.SYS (avast! self protection module/ALWIL Software) Device \FileSystem\Ntfs \Ntfs 8A5111E8 AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software) Device \FileSystem\Fastfat \Fat 889521E8 AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) AttachedDevice \FileSystem\Fastfat \Fat aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software) AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software) AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software) AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software) AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software) ---- EOF - GMER 1.0.15 ---- Odnośnik do komentarza
picasso Opublikowano 9 Marca 2012 Zgłoś Udostępnij Opublikowano 9 Marca 2012 ComboFix pomyślnie wykonał najważniejszą część zadania, czyli likwidacja rootkita (poświadcza to GMER + OTL) oraz naprawa sieci (import kluczy i uzupełnienie brakujących plików). Natomiast: klawiatura i touchpad dalej nie działają ComboFix odzyskiwał brakujący plik sterownika powiązanego: c:\windows\system32\drivers\i8042prt.sys - brakowało pliku Plik odzyskano z - c:\system volume information\_restore{424E6522-E139-49B6-A825-5DB9DD7F1230}\RP469\A0090981.sys Możliwe, że tu brakuje też całej usługi w rejestrze. Pod tym kątem zadam skan sprawdzający tę teorię. 1. Przejdź do Dodaj / Usuń programy i odinstaluj pasek sponsoringowy DAEMON Tools Toolbar. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL NetSvcs: artourservice - File not found SRV - File not found [Auto | Stopped] -- -- (artourservice) DRV - File not found [Kernel | On_Demand | Unknown] -- -- (mbr) DRV - File not found [Kernel | On_Demand | Running] -- -- (catchme) DRV - File not found [Kernel | On_Demand | Unknown] -- -- (a8243oes) DRV - File not found [Kernel | On_Demand | Unknown] -- -- (.tosrfcom) FF - prefs.js..browser.search.defaultenginename: "Web Search..." FF - prefs.js..keyword.URL: "http://vshare.toolbarhome.com/search.aspx?srch=ku&q=" O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} "http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab" (Reg Error: Key error.) :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :Commands [emptytemp] Klik w Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami. 3. Wykonaj nowe logi: AdwCleaner z opcji Search oraz OTL na warunku dostosowanym. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\i8042prt Klik w Skanuj (a nie Wykonaj skrypt!). Dołącz też log z wynikami usuwania z punktu 2. . Odnośnik do komentarza
magicuene Opublikowano 9 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 9 Marca 2012 wklejam wyniki: AdwCleanerR1.txt OTL.Txt All processes killed ========== OTL ========== artourservice removed from NetSvcs value successfully! Service artourservice stopped successfully! Service artourservice deleted successfully! Error: No service named artourservice was found to stop! Service\Driver key artourservice not found. Error: No service named mbr was found to stop! Service\Driver key mbr not found. Service catchme stopped successfully! Service catchme deleted successfully! Error: No service named a8243oes was found to stop! Service\Driver key a8243oes not found. Error: No service named .tosrfcom was found to stop! Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\.tosrfcom deleted successfully. Prefs.js: "Web Search..." removed from browser.search.defaultenginename Prefs.js: "http://vshare.toolbarhome.com/search.aspx?srch=ku&q=" removed from keyword.URL Starting removal of ActiveX control {31435657-9980-0010-8000-00AA00389B71} C:\WINDOWS\Downloaded Program Files\wvc1dmo.inf moved successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{31435657-9980-0010-8000-00AA00389B71}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{31435657-9980-0010-8000-00AA00389B71}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{31435657-9980-0010-8000-00AA00389B71}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{31435657-9980-0010-8000-00AA00389B71}\ not found. ========== REGISTRY ========== HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\\"Start Page"|"about:blank" /E : value set successfully! ========== COMMANDS ========== [EMPTYTEMP] User: Administrator ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 67 bytes ->Flash cache emptied: 56504 bytes User: All Users User: Asia ->Temp folder emptied: 842627 bytes ->Temporary Internet Files folder emptied: 584155 bytes ->Java cache emptied: 19701774 bytes ->FireFox cache emptied: 132495193 bytes ->Google Chrome cache emptied: 18366904 bytes ->Flash cache emptied: 71701 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes ->Flash cache emptied: 56504 bytes User: LocalService ->Temp folder emptied: 65716 bytes ->Temporary Internet Files folder emptied: 89311 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 32902 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 2352022 bytes %systemroot%\System32 .tmp files removed: 2596 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 0 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 167,00 mb OTL by OldTimer - Version 3.2.35.1 log created on 03092012_144032 Files\Folders moved on Reboot... File\Folder C:\WINDOWS\temp\_avast5_\Webshlock.txt not found! Registry entries deleted on Reboot... Odnośnik do komentarza
picasso Opublikowano 9 Marca 2012 Zgłoś Udostępnij Opublikowano 9 Marca 2012 Teoria znalazła potwierdzenie. Nie ma w ogóle klucza sterownika i8042prt.sys w systemie. 1. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\i8042prt] "Type"=dword:00000001 "Start"=dword:00000001 "Group"="Keyboard Port" "ErrorControl"=dword:00000001 "DisplayName"="Sterownik portu klawiatury i8042 i myszy PS/2" "ImagePath"=hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\ 52,00,49,00,56,00,45,00,52,00,53,00,5c,00,69,00,38,00,30,00,34,00,32,00,70,\ 00,72,00,74,00,2e,00,73,00,79,00,73,00,00,00 "Tag"=dword:00000004 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\i8042prt\Parameters] "PollingIterations"=dword:00002ee0 "PollingIterationsMaximum"=dword:00002ee0 "ResendIterations"=dword:00000003 "LayerDriver JPN"="kbd101.dll" "LayerDriver KOR"="kbd101a.dll" Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik Zresetuj system i sprawdź czy klawiatura + touchpad zaczęły działać. 2. Drobna poprawka pod kątem odpadków DAEMON Tools Toolbar + OpenCandy. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [-HKEY_CURRENT_USER\SOFTWARE\MozillaPlugins\opencandy.com/OpenCandyIgnite] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] "{32099AAC-C132-4136-9E9A-4E364A424E17}"=- :Files C:\Documents and Settings\Asia\Dane aplikacji\OpenCandy Klik w Wykonaj skrypt. Tym razem poleci ekspresem bez restartu. Wystarczy, że tylko log z wynikami usuwania mi przekleisz. . Odnośnik do komentarza
magicuene Opublikowano 9 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 9 Marca 2012 ========== REGISTRY ========== Registry key HKEY_CURRENT_USER\SOFTWARE\MozillaPlugins\opencandy.com/OpenCandyIgnite\ deleted successfully. Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{32099AAC-C132-4136-9E9A-4E364A424E17} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{32099AAC-C132-4136-9E9A-4E364A424E17}\ not found. ========== FILES ========== C:\Documents and Settings\Asia\Dane aplikacji\OpenCandy\OpenCandy_0DF75BB398A3453F8355ACA7AFFF3A52 folder moved successfully. C:\Documents and Settings\Asia\Dane aplikacji\OpenCandy folder moved successfully. OTL by OldTimer - Version 3.2.35.1 log created on 03092012_151555 Klawiatura i touchpad działają Odnośnik do komentarza
picasso Opublikowano 9 Marca 2012 Zgłoś Udostępnij Opublikowano 9 Marca 2012 Przechodzimy do czynności końcowych: 1. Odinstaluj w prawidłowy sposób ComboFix (to również wyczyści foldery Przywracania systemu). W Start > Uruchom > wklej komendę: "C:\Documents and settings\Administrator\Pulpit\ComboFix.exe" /uninstall Gdy komenda się wykona, możesz zastosować Sprzątanie w OTL oraz Uninstall w AdwCleaner. Resztą narzędzi dokasuj sobie ręcznie, w tym folder C:\TDSSKiller_Quarantine. 2. Wykonaj pełne skanowanie za pomocą Malwarebytes Anti-Malware. Przedstaw raport, o ile coś zostanie wykryte. . Odnośnik do komentarza
magicuene Opublikowano 9 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 9 Marca 2012 nic więcej nie wykryto dziękuję bardzo za pomoc Odnośnik do komentarza
picasso Opublikowano 9 Marca 2012 Zgłoś Udostępnij Opublikowano 9 Marca 2012 (edytowane) Jesteś za szybko, to było chyba skanowanie ekspresowe a nie pełne, jak podkreśliłam. Edytowane 17 Kwietnia 2012 przez picasso 17.04.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi