Sirefef, Graftor, ZeroAccess

[cinnek]

Witam,

 

Miałem ostatnio problem z Sirefef/ZeroAcess i Graftor na systemie Windows 7 32bit.

 

Infekcja została wykryta przez Avira Free Antivirus, co spowodowało usunięcie (pewnie częściowe) zainfekowanych plików. Efektem ubocznym był brak internetu na komputerze.

 

System potraktowałem Combofixem w trybie awaryjnym (log ponizej). Rootkit teoretycznie został usunięty, ale proszę o weryfikację logów, bo pewności nie mam. Dzięki Combofixowi internet też już działa.

 

Poniżej przedstawiam wszystkie logi i proszę o wskazówki. Dzięki!

 

 

Results of screen317's Security Check version 0.99.32

Windows 7 x86 (UAC is enabled)

Internet Explorer 9

``````````````````````````````

Antivirus/Firewall Check:

Avira Free Antivirus

WMI entry may not exist for antivirus; attempting automatic update.

Avira successfully updated!

```````````````````````````````

Anti-malware/Other Utilities Check:

Java™ 6 Update 30

Java version out of date!

Adobe Flash Player 10.0.45.2 Flash Player out of Date!

Adobe Reader 9 Adobe Reader out of date!

````````````````````````````````

Process Check:

objlist.exe by Laurent

Malwarebytes' Anti-Malware mbamservice.exe

Malwarebytes' Anti-Malware mbamgui.exe

Avira Antivir avgnt.exe

Avira Antivir avguard.exe

``````````End of Log````````````

ComboFix.txt

gmer2.txt

OTL.Txt

Extras.Txt

[picasso]

Narzędzia ComboFix i GMER uruchomiłeś w złych warunkach, przy czynnym sterowniku SPTD od emulacji napędów wirtualnych.

 

DRV - [2010-02-14 02:38:07 | 000,691,696 | ---- | M] () [Kernel | Boot | Running] -- C:\Windows\System32\drivers\sptd.sys -- (sptd)

 

Tu nie koniec napraw. Wymagane oczyszczenie odpadków usług ZeroAccess oraz korekta wartości NetSvcs, jak również i weryfikacja poprawności plików.

 

1. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost]
"netsvcs"=hex(7):41,00,65,00,4c,00,6f,00,6f,00,6b,00,75,00,70,00,53,00,76,00,\
  63,00,00,00,43,00,65,00,72,00,74,00,50,00,72,00,6f,00,70,00,53,00,76,00,63,\
  00,00,00,53,00,43,00,50,00,6f,00,6c,00,69,00,63,00,79,00,53,00,76,00,63,00,\
  00,00,6c,00,61,00,6e,00,6d,00,61,00,6e,00,73,00,65,00,72,00,76,00,65,00,72,\
  00,00,00,67,00,70,00,73,00,76,00,63,00,00,00,49,00,4b,00,45,00,45,00,58,00,\
  54,00,00,00,41,00,75,00,64,00,69,00,6f,00,53,00,72,00,76,00,00,00,46,00,61,\
  00,73,00,74,00,55,00,73,00,65,00,72,00,53,00,77,00,69,00,74,00,63,00,68,00,\
  69,00,6e,00,67,00,43,00,6f,00,6d,00,70,00,61,00,74,00,69,00,62,00,69,00,6c,\
  00,69,00,74,00,79,00,00,00,49,00,61,00,73,00,00,00,49,00,72,00,6d,00,6f,00,\
  6e,00,00,00,4e,00,6c,00,61,00,00,00,4e,00,74,00,6d,00,73,00,73,00,76,00,63,\
  00,00,00,4e,00,57,00,43,00,57,00,6f,00,72,00,6b,00,73,00,74,00,61,00,74,00,\
  69,00,6f,00,6e,00,00,00,4e,00,77,00,73,00,61,00,70,00,61,00,67,00,65,00,6e,\
  00,74,00,00,00,52,00,61,00,73,00,61,00,75,00,74,00,6f,00,00,00,52,00,61,00,\
  73,00,6d,00,61,00,6e,00,00,00,52,00,65,00,6d,00,6f,00,74,00,65,00,61,00,63,\
  00,63,00,65,00,73,00,73,00,00,00,53,00,45,00,4e,00,53,00,00,00,53,00,68,00,\
  61,00,72,00,65,00,64,00,61,00,63,00,63,00,65,00,73,00,73,00,00,00,53,00,52,\
  00,53,00,65,00,72,00,76,00,69,00,63,00,65,00,00,00,54,00,61,00,70,00,69,00,\
  73,00,72,00,76,00,00,00,57,00,6d,00,69,00,00,00,57,00,6d,00,64,00,6d,00,50,\
  00,6d,00,53,00,70,00,00,00,54,00,65,00,72,00,6d,00,53,00,65,00,72,00,76,00,\
  69,00,63,00,65,00,00,00,77,00,75,00,61,00,75,00,73,00,65,00,72,00,76,00,00,\
  00,42,00,49,00,54,00,53,00,00,00,53,00,68,00,65,00,6c,00,6c,00,48,00,57,00,\
  44,00,65,00,74,00,65,00,63,00,74,00,69,00,6f,00,6e,00,00,00,4c,00,6f,00,67,\
  00,6f,00,6e,00,48,00,6f,00,75,00,72,00,73,00,00,00,50,00,43,00,41,00,75,00,\
  64,00,69,00,74,00,00,00,68,00,65,00,6c,00,70,00,73,00,76,00,63,00,00,00,75,\
  00,70,00,6c,00,6f,00,61,00,64,00,6d,00,67,00,72,00,00,00,69,00,70,00,68,00,\
  6c,00,70,00,73,00,76,00,63,00,00,00,73,00,65,00,63,00,6c,00,6f,00,67,00,6f,\
  00,6e,00,00,00,41,00,70,00,70,00,49,00,6e,00,66,00,6f,00,00,00,6d,00,73,00,\
  69,00,73,00,63,00,73,00,69,00,00,00,4d,00,4d,00,43,00,53,00,53,00,00,00,77,\
  00,65,00,72,00,63,00,70,00,6c,00,73,00,75,00,70,00,70,00,6f,00,72,00,74,00,\
  00,00,45,00,61,00,70,00,48,00,6f,00,73,00,74,00,00,00,50,00,72,00,6f,00,66,\
  00,53,00,76,00,63,00,00,00,73,00,63,00,68,00,65,00,64,00,75,00,6c,00,65,00,\
  00,00,68,00,6b,00,6d,00,73,00,76,00,63,00,00,00,53,00,65,00,73,00,73,00,69,\
  00,6f,00,6e,00,45,00,6e,00,76,00,00,00,77,00,69,00,6e,00,6d,00,67,00,6d,00,\
  74,00,00,00,62,00,72,00,6f,00,77,00,73,00,65,00,72,00,00,00,54,00,68,00,65,\
  00,6d,00,65,00,73,00,00,00,42,00,44,00,45,00,53,00,56,00,43,00,00,00,41,00,\
  70,00,70,00,4d,00,67,00,6d,00,74,00,00,00,00,00

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku na plik opcją Scal

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL

SRV - File not found [Auto | Stopped] -- %systemroot%\system32\basic2.dll -- (zpcache)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\bdfdll.dll -- (Xponaut_WBD)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\VICESYS.dll -- (Wtcls2k)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\enxpsvr.dll -- (webupdate)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\NICSer_WPC300N.dll -- (w200mgmt)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\Via4in1.dll -- (vcdsecs)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\sr_service.dll -- (UBHelper)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\Ncrc710.dll -- (sysdown)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\omniusbl.dll -- (SQLBrowser)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\avfilter.dll -- (slabser)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\cacheserver.dll -- (se2Eunic)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\aolservice.dll -- (SE26bus)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\AR5416.dll -- (s217obex)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\nvax.dll -- (rwbackupsrv)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\stisvc.dll -- (rp32service)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\eelogsvc.dll -- (roxwatch9)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\umpusbxp.dll -- (rimvserport)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\ARSVC.dll -- (PTDCBus)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\MS1000.dll -- (pml)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\ntiopnp.dll -- (plscsi)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\digictrl.dll -- (pdlndldl)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\http.dll -- (pavsrv)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\W2acehid.dll -- (patrolagent)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\sermouse.dll -- (ozoneinstallerservice)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\MXOPSWD.dll -- (NVNET)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\astcc.dll -- (nmwcdcm)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\changer.dll -- (MTsensor)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\Intel_MIPMNMP.dll -- (matlabserver)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\SDdriver.dll -- (lsdiorw)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\fallback.dll -- (lp6nds35)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\caboagp.dll -- (lanusb)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\pktfilter.dll -- (KMWDFilter)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\se59unic.dll -- (kerbkey)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\btwdndis.dll -- (ispwdsvc)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\CTMFLT.dll -- (isapisearch)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\SiSGbeXP.dll -- (ipssvc)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\aaksrv.dll -- (ftrtsvc)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\ASInsHelp.dll -- (epsonbidirectionalagent)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\bcftdi.dll -- (entertainment)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\ikfilesec.dll -- (elbydelay)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\captureservice.dll -- (dtscsi)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\nv.dll -- (dlaudf_m)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\wintabservice.dll -- (caboagp)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\XFX_program.dll -- (atinrvxx)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\smwdm.dll -- (atchksrv)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\ativraxx.dll -- (amdk7)
SRV - File not found [Auto | Stopped] -- C:\Program Files\Common Files\Acronis\Acronis Disk Director\oss_reinstall_svc.exe -- (AcronisOSSReinstallSvc)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\UIUSYS.SYS -- (UIUSys)
DRV - File not found [File_System | On_Demand | Stopped] --  -- (StarOpen)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\Renata\AppData\Local\Temp\catchme.sys -- (catchme)
IE - HKU\S-1-5-21-161578639-2552117809-789976972-1000\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=iron&s={searchTerms}&f=4"
IE - HKU\S-1-5-21-161578639-2552117809-789976972-1000\..\SearchScopes\{1F096B29-E9DA-4D64-8D63-936BE7762CC5}: "URL" = "http://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=7e0f02740000000000000024be390360&tlver=1.4.19.19&affID=17161"
[2011-03-22 15:43:28 | 000,002,423 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml
[2011-03-22 22:46:24 | 000,002,047 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fcmdSrch.xml
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami usuwania.

 

3. Wykonaj weryfikację poprawności plików systemowych za pomocą komendy sfc /scannow, za pomocą kolejnej komendy przefiltruj log do wystąpień znaczników [sR]: KLIK.

 

4. Zrób nowy log z OTL z opcji Skanuj (już bez Extras). Dołącz log z wynikami usuwania z punktu 2 oraz SFC z punktu 3.

 

 

 

.

[cinnek]

Rzeczywiście przegapiłem ten sterownik.

 

Wykonałem wszystkie kroki po kolei. Poniżej załączam logi.

OTL2.txt

sfc.txt

otl3.txt

[Landuss]

Wszystko się poprawnie wykonało. Można kończyć sprawę.

 

1. Wciśnij klawisz z flagą Windows + R następnie wklej i wywołaj polecenie "c:\users\Renata\Desktop\ComboFix.exe" /uninstall

 

2. Użyj opcji Sprzątanie z OTL.

 

3. Opróżnij folder przywracania systemu: KLIK

 

4. Poniższe programy zaktualizuj do najnowszych wersji:

 

"{26A24AE4-039D-4CA4-87B4-2F83216011FF}" = Java 6 Update 30

"{AC76BA86-7AD7-1033-7B44-A90100000001}" = Adobe Reader 9.0.1

"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX

"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin

 

Szczegóły: KLIK

 

5. Zmień sobie hasła logowania do serwisów w sieci tak na wszelki wypadek.

[cinnek]

Dziękuję za pomoc!!!

 

Wesołych Świąt