DracoPL Opublikowano 3 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 3 Kwietnia 2012 Cześć, na laptopie u ojca zaczął pojawiać się komunikat o zagrożeniu z Microsoft Security Essentials, że "Trojan:Win32/Sirefef.AA". Po wybraniu akcji 'Usuń' za chwilę wyskakiwało to samo lub coś podobnego. Chciałem poszukać rozwiązania w internecie i okazało się że wyniki przekierowują na stronę abnow.com. Wcześniej przy otwieraniu przeglądarki wyskoczyło zapytanie z firewalla czy blokować / odblokować przeglądarkę i kliknąłem odblokuj. Z zagrożonych plików, które pokazał Microsoft Security Essentials usunąłem plik C:/Windows/temp/temp66.exe. W wyjątkach firewalla znalazłem wyjątek o nazwie temp66, który też usunąłem. Ok, to tyle co wiem :-) Dodaję załączniki z logami (OLT i gmer ), zgodnie z instrukcjami. Dodatkowo załącznik ze screenshotem fragmentu historii Microsoft Security Essentials ( nie widziałem opcji żeby wygenerować raport ). Proszę o pomoc. OTL.Txt Extras.Txt gmer.txt Odnośnik do komentarza
picasso Opublikowano 3 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 3 Kwietnia 2012 W systemie jest aktywny silny rootkit ZeroAccess (Sirefef). GMER zawiadamia m.in. o zainfekowaniu sterownika systemowego mrxsmb.sys i obecności łącza symbolicznego C:\WINDOWS\$NtUninstallKB65190$, w OTL widać przekierowanie w Winsock. 1. Pobierz ComboFix. Przejdź w Tryb awaryjny Windows i uruchom narzędzie. 2. Przedstaw raport z ComboFix oraz wygeneruj już po ukończeniu w nim pracy nowe logi z OTL + GMER. . Odnośnik do komentarza
DracoPL Opublikowano 4 Kwietnia 2012 Autor Zgłoś Udostępnij Opublikowano 4 Kwietnia 2012 Combofix uruchomiony. Wykrył rootkita ZeroAccess. Po pierwszym restarcie wykonanym przez Combofix zagapiłem się i nie uruchomiłem Trybu awaryjnego i komputer zawiesił się na boot screenie windowsa. Wyłączyłem komputer i przy uruchomieniu trybu awaryjnego w lewym górnym rogu widać było tylko migające _ i nic nie dało się zrobić przez dłuższy czas. Wtedy też wyłączyłem komputer i przy ponownym uruchomieniu trybu awaryjnego Windows uruchomił się i Combofix dokończył pracę. Teraz Microsoft Security Essentials nie wykrywa zagrożenia. W załączniku logi Combofix oraz nowe z OTL i GMER. ComboFix.txt OTL.Txt Extras.Txt Gmer.txt Odnośnik do komentarza
picasso Opublikowano 4 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 4 Kwietnia 2012 ComboFix wykonał robotę i ustały czynności rootkit, ale omylił się kasując dodatkowo całą aplikację iPlus: ((((((((((((((((((((((((((((((((((((((( Usunięto ))))))))))))))))))))))))))))))))))))))))))))))))) c:\program files\iplus c:\program files\iplus\commanderFix.exe c:\program files\iplus\countries.eng c:\program files\iplus\countries.pl c:\program files\iplus\Drivers\difxapi.dll c:\program files\iplus\Drivers\Driver2k\Huawei\ewdcsc.cat c:\program files\iplus\Drivers\Driver2k\Huawei\ewdcsc.inf c:\program files\iplus\Drivers\Driver2k\Huawei\ewdcsc.sys c:\program files\iplus\Drivers\Driver2k\Huawei\ewfake.inf c:\program files\iplus\Drivers\Driver2k\Huawei\ewmdm2k.cat c:\program files\iplus\Drivers\Driver2k\Huawei\ewmdm2k.inf c:\program files\iplus\Drivers\Driver2k\Huawei\ewnet.inf c:\program files\iplus\Drivers\Driver2k\Huawei\ewser2k.cat c:\program files\iplus\Drivers\Driver2k\Huawei\ewser2k.inf c:\program files\iplus\Drivers\Driver2k\Huawei\ewusbfake.cat c:\program files\iplus\Drivers\Driver2k\Huawei\ewusbfake.sys c:\program files\iplus\Drivers\Driver2k\Huawei\ewusbmdm.sys c:\program files\iplus\Drivers\Driver2k\Huawei\ewusbnet.cat c:\program files\iplus\Drivers\Driver2k\Huawei\ewusbnet.sys c:\program files\iplus\Drivers\Driver2k\Huawei\mod7700.cat c:\program files\iplus\Drivers\Driver2k\Huawei\mod7700.inf c:\program files\iplus\Drivers\Driver2k\Huawei\mod7700.sys c:\program files\iplus\Drivers\Driver2k\Huawei64\ewfake.inf c:\program files\iplus\Drivers\Driver2k\Huawei64\ewmdm2k.cat c:\program files\iplus\Drivers\Driver2k\Huawei64\ewmdm2k.inf c:\program files\iplus\Drivers\Driver2k\Huawei64\ewser2k.cat c:\program files\iplus\Drivers\Driver2k\Huawei64\ewser2k.inf c:\program files\iplus\Drivers\Driver2k\Huawei64\ewusbfake.cat c:\program files\iplus\Drivers\Driver2k\Huawei64\ewusbfake.sys c:\program files\iplus\Drivers\Driver2k\Huawei64\ewusbmdm.sys c:\program files\iplus\Drivers\driverInstallation.log c:\program files\iplus\Drivers\driverInstaller.exe c:\program files\iplus\Drivers\huawei-drivers-list.txt c:\program files\iplus\en\iplus.mo c:\program files\iplus\eng.lang c:\program files\iplus\help\IPlus_Manager_User_Manual.pdf c:\program files\iplus\help\Podrecznik_Uzytkownika_IPlus_Manager.pdf c:\program files\iplus\iPlusChecker.exe c:\program files\iplus\iPlusManager.exe c:\program files\iplus\iPlusManager.ini c:\program files\iplus\license.rtf c:\program files\iplus\log\openssl.exe c:\program files\iplus\log\plus.pem c:\program files\iplus\NDISAPI.dll c:\program files\iplus\networks.dat c:\program files\iplus\PaseczekControlAPI.dll c:\program files\iplus\pl.lang c:\program files\iplus\pl\iplus.mo c:\program files\iplus\resources.dat c:\program files\iplus\SysConfig.dat c:\program files\iplus\tools.exe c:\program files\iplus\unins000.dat c:\program files\iplus\unins000.exe c:\program files\iplus\uninstallTool.exe c:\program files\iplus\update.exe c:\program files\iplus\update\update.ini c:\program files\iplus\userPrefs.def - - - - USUNIĘTO PUSTE WPISY - - - - . HKLM-Run-iPlusManager - c:\program files\iPlus\iPlusChecker.exe AddRemove-iPlus manager_is1 - c:\program files\iPlus\unins000.exe Program sobie potem przeinstalujesz. Na teraz mamy do wykonania jeszcze usuwanie szczątków i korekty: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL SRV - File not found [Auto | Stopped] -- %systemroot%\system32\ntcharge.dll -- (websenselogserver) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\ARSVC.dll -- (bridge) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\cpqvcagent.dll -- (atiavaiw) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\smartscaps.dll -- (aolservice) SRV - File not found [Auto | Stopped] -- C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe /h ccCommon -- (LiveUpdate Notice Ex) DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\cyqbrgzx.sys -- (cyqbrgzx) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ComboFix\catchme.sys -- (catchme) NetSvcs: MRESP50 - File not found NetSvcs: XTrapD12 - File not found NetSvcs: websenselogserver - File not found NetSvcs: aolservice - File not found NetSvcs: SMPLSCSI - File not found NetSvcs: z525mgmt - File not found NetSvcs: atiavaiw - File not found NetSvcs: passthru - File not found NetSvcs: CX23880 - File not found NetSvcs: tapeware - File not found NetSvcs: bmuservice - File not found NetSvcs: bridge - File not found NetSvcs: USB28xxBGA - File not found NetSvcs: TMBUS - File not found NetSvcs: mssqlserver - File not found NetSvcs: ntsvcmgr - File not found NetSvcs: RTL8169 - File not found NetSvcs: lusbaudio - File not found NetSvcs: blueservice - File not found NetSvcs: szserver - File not found NetSvcs: slssvc - File not found NetSvcs: PTDCBus - File not found NetSvcs: pduip6000dmemcrdmgr - File not found NetSvcs: OracleOraHome92ClientCache - File not found NetSvcs: hpgate - File not found NetSvcs: w550mgmt - File not found NetSvcs: dlbt_device - File not found NetSvcs: quickbooksdb - File not found O4 - HKLM..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u File not found O4 - HKLM..\Run: [symantec PIF AlertEng] C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe (Symantec Corporation) O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} "http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab" (Reg Error: Key error.) :Commands [emptytemp] Klik w Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami usuwania. 2. Przejdź do Panelu sterowania i odinstaluj szczątek LiveUpdate Notice (Symantec Corporation). 3. Wygeneruj nowy log z OTL z opcji Skanuj (już bez Extras). Dołącz log z wynikami usuwania pozyskany w punkcie 1. . Odnośnik do komentarza
DracoPL Opublikowano 5 Kwietnia 2012 Autor Zgłoś Udostępnij Opublikowano 5 Kwietnia 2012 Wykonałem skrypt. Odinstalowałem program LiveUpdate Notice (Symantec Corporation) ( tylko po odinstalowaniu wyskoczył komunikat "Błąd krytyczny podczas instalacji", ale z listy Dodaj/usuń zniknął ) oraz wygenerowałem nowy raport. W załączniku raport po wykonaniu skryptu ( z punktu 1 ) oraz raport ze skanowania po wykonaniu skryptu ( punkt 3 ). OTL_skan_po_skrypcie.Txt OTL_raport_z_wykonania_skryptu_punkt_1.txt Odnośnik do komentarza
picasso Opublikowano 5 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 5 Kwietnia 2012 Zadanie wykonane. Przejdź do: 1. Odinstaluj ComboFix. W Start > Uruchom > wklej komendę: "C:\Documents and Settings\Michał\Pulpit\ComboFix.exe" /uninstall Po tym uruchom Sprzątanie w OTL usuwające program wraz z kwarantanną. 2. Skanowanie za pomocą MS Security Essentials było prowadzone, ale na wszelki wypadek zweyfikuj co powie pełny skan Malwarebytes Anti-Malware. jeżeli coś zostanie wykryte, zaprezentuj raport. . Odnośnik do komentarza
DracoPL Opublikowano 5 Kwietnia 2012 Autor Zgłoś Udostępnij Opublikowano 5 Kwietnia 2012 Czyszczenie wykonane. Malwarebytes Anti-Malware znalazł 3 obiekty. W załączniku log. mbam-log-2012-04-05 (16-52-02).txt Odnośnik do komentarza
picasso Opublikowano 5 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 5 Kwietnia 2012 1. Usuń te trzy wyniki za pomocą programu. 2. Ręcznie wyczyść foldery Przywracania systemu: KLIK. 3. Wykonaj aktualizacje: KLIK. Tu z Twojej listy zainstalowanych wyciąg wersji: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216011FF}" = Java 6 Update 26"{3248F0A8-6813-11D6-A77B-00B0D0150060}" = J2SE Runtime Environment 5.0 Update 6"{5C82DAE5-6EB0-4374-9254-BE3319BA4E82}" = Skype™ 3.5"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin"Mozilla Thunderbird (3.1.7)" = Mozilla Thunderbird (3.1.7) 4. Na wszelki wypadek zmień hasła logowania w serwisach. Podsumuj czy wszystko działa. . Odnośnik do komentarza
DracoPL Opublikowano 6 Kwietnia 2012 Autor Zgłoś Udostępnij Opublikowano 6 Kwietnia 2012 C:\Documents and Settings\Han\Dane aplikacji\Azol\muga.exe (Trojan.Agent) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem. C:\Documents and Settings\Han\Ustawienia lokalne\Dane aplikacji\3d343c6d\X (Rootkit.0Access) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem. C:\Documents and Settings\Han\Dane aplikacji\avdrn.dat (Malware.Trace) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem. Przywracanie systemu było wyłączone. Zaktualizowałem wskazane programy. Wydaje się że wszystko działa. Komputer oddałem ojcu. Bardzo dziękuję za pomoc. Jestem pod wrażeniem ! Odnośnik do komentarza
Rekomendowane odpowiedzi