Trojan Win32/Sirefef.EV w pamięci operacyjnej

[stachy]

Witam,

 

Mam problem z trojanem. Dzisiaj niespodziewanie Windows Defender wywalił mi komunikat o wykryciu trojana. Okienko z komunikatem było jednak nieaktywne, "zawieszone", nie dało się nic kliknąć ani nawet zamknąć okienka. Niestety nie skopiowałem komunikatu, tylko myśląc że to jakaś zawieszka wymusiłem restart systemu. Po restarcie Windows defender się już nie uruchamia, tylko wywala komunikat:

 

"Nie można zainicjować aplikacji: 0x80070006. Nieprawidłowe dojście.".

 

Generalnie Centrum Zabezpieczeń jest wyłączone i nie da się go włączyć, zapora Windows też nie działa.

 

Uruchomiłem ESET online scanner, który usunął kilka podejrzanych plików, wśród których był jeden zaklasyfikowany jako trojan (niestety nie zapisałem jego nazwy). Poza tym znalazł coś takiego:

 

"Pamięć operacyjna: odmiana zagrożenia Win32/Sirefef.EV koń trojański"

 

Nie usunął tego jednak, w ogóle nie podjął żadnej akcji. Próbowałem innych skanerów online, ale MKS i Kaspersky wywalają błędy w instalacji i nie da się ich uruchomić, a Bitdefender nie znajduje żadnych zagrożeń (podczas gdy ESET przy każdym skanowaniu widzi tego Sirefef.EV).

 

Usunąłem sterownik SPTD zgodnie z instrukcją. Następnie wygenerowałem wymagane logi. GMER pokazał obecność rootkita. Logi wklejam poniżej.

 

Potem jeszcze przeskanowałem kompa przy pomocy Malwarebytes Anti-Malware. Pokazał 1 zagrożenie. Log poniżej.

 

Kliknąłem mu, żeby to usunął. Potem odpaliłem jeszcze programik BDRemovalTool_sirefef_x86, który nie pokazał zagrożeń. ESET online natomiast cały czas pokazuje trojana.

Malwarebytes Anti-Malware zablokował parę połączeń z "podejrzaną witryną". Log poniżej.

 

Potem jeszcze raz wygenerowałem "obowiązkowe" logi, bo nie wiedziałem czy coś nie namieszałem tymi programikami. Logi poniżej (te z oznaczeniami "2" w nazwie).

 

Mam nadzieję że nic nie schrzaniłem, bo jestem raczej przeciętnym użytkownikiem i te logi to dla mnie trochę czarna magia.

 

Proszę o pomoc. Czy to coś groźnego, czy jakiś śmieć? Jak to usunąć i jak przywrócić Windows do normalności? Sprawa jest dla mnie ważna, bo używam tego kompa służbowo, mam na nim sporo ważnych danych, wysyłam też z niego przelewy i nie chciałbym jakichś nieprzyjemnych niespodzianek. Z góry dzięki za pomoc. Pozdrawiam.

OTL.Txt

Extras.Txt

GMER.txt

mbam-log-2012-05-05 (21-11-32).txt

protection-log-2012-05-05.txt

OTL2.Txt

Extras2.Txt

GMER2.txt

[Landuss]

1. Uruchom narzędzie ComboFix

 

2. Gdy ukończy pracę zaprezentuj z niego raport oraz nowy log z Gmer i Farbar Service Scanner (zaznacz wszystko do skanowania)

[stachy]

Witam,

 

Dzięki za szybką odpowiedź. Zrobiłem wedle instrukcji. GMER nadal podaje info o rootkicie. Logi w załączeniu. Co robić dalej?

 

Pozdrawiam

ComboFix.txt

FSS.txt

GMER3.txt

[Landuss]

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
DRV - File not found [Kernel | On_Demand | Unknown] -- C:\Users\user\AppData\Local\Temp\uwtyypoc.sys -- (uwtyypoc)
DRV - File not found [Kernel | Disabled | Stopped] -- C:\Windows\System32\Drivers\sptd.sys -- (sptd)
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\RimUsb.sys -- (RimUsb)
 
:Files
c:\windows\system32\n
 
:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
 
:Commands
[emptytemp]

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL, Gmer i FSS.

[stachy]

No i zrobiłem jak napisałeś. Z tym że... uruchomiłem skrypt w OTL-u, potem (od razu po restarcie) zrobiłem skan OTL-em i wychodząc z domu zapuściłem GMER-a. Kiedy wróciłem czekał na mnie bardzo krótki raporcik (GMER4). Ponieważ miał tylko 2 linijki i nie wiedziałem czy się coś nie pokićkało zapuściłem GMER-a jeszcze raz, i tym razem już raport wyglądał zupełnie inaczej i pojawiła się znów linijka na czerwono (GMER5). W międzyczasie jedyną rzeczą, którą uruchomiłem na kompie był eksplorator Windows, żeby przekopiować pliki.

Raporty w załączeniu.

Dalej nie da się włączyć Windows Defendera, ani systemowego firewalla.

Pozdrawiam.

OTL raport po skrypcie i restarcie.txt

OTL3.Txt

GMER4.txt

GMER5.txt

FSS2.txt

[picasso]

To jest inny wariant (rootkit trybu user mode a nie kernel), są generowane inne foldery na dysku, nie infekuje sterowników / usług, powinien za to być punkt ładowania w rejestrze w klasach (plus zmodyfikowany odnośnik do systemowej biblioteki wbemess.dll): KLIK. ComboFix tego nie rozpoznaje (jeszcze). I wątpliwe, by skrypty OTL coś zdziałały, to jednak jest rootkit.

 

Podaj dodatkowe skany. Uruchom OTL, wszystkie opcje ustaw na Brak + Żadne, w sekcji Własne opcje skanowania / skrypt wklej:

 

HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s

 

Klik w Skanuj i przedstaw wynikowy log.

 

 

 

.

[stachy]

Log w załączeniu.

Czy mialem wcześniej kliknąć "wykonaj skrypt"? Bo nie kliknąłęm, tylko po wklejeniu dałem od razu "skanuj", jak było napisane. Jezeli źle, to powtórzę.

 

Pozdrawiam

OTL4.Txt

[picasso]

Wyraźnie napisałam: Skanuj. Wykonaj skrypt służy do usuwania. Log z OTL pokazuje tylko jeden klucz infekcji punktujący do folderu C:\Users\user\AppData\Local\{debfad03-d2f9-03b6-7907-8b14c0f7b8ec}. Drugi klucz systemowego WBEM nie wykazuje modyfikacji.

 

1. Uruchom BlitzBlank i w karcie Script wklej:

 

DeleteFolder: 
C:\Users\user\AppData\Local\{debfad03-d2f9-03b6-7907-8b14c0f7b8ec}
 
DeleteRegKey: 
HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}

 

Klik w Execute Now. Zatwierdź restart komputera. BlitzBlank wygeneruje na dysku C log, który zaprezentujesz.

 

2. Uruchom SystemLook i do okna wklej:

 

:reg

HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
 
:folderfind
{debfad03-d2f9-03b6-7907-8b14c0f7b8ec}

 

Kliknij w Look i przedstaw raport.

 

 

 

.

[stachy]

Gotowe

blitzblanktxt.txt

SystemLook.txt

[picasso]

Usuwanie połowiczne. BlitzBlank wywalił folder, ale klucz infekcji tylko rzekomo. On nadal jest.

 

1. Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Aministrator. Wyszukaj i skasuj klucz:

 

HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}

 

2. Zresetuj system. Powtórz szukanie w SystemLook na te same warunki co poprzednio.

 

 

.

[stachy]

Klucz skasowałem. Raport poniżej

SystemLook2.txt

[picasso]

Skan z SystemLook wygląda dobrze, nic nie zostało znalezione, po usunięciu klucz się nie odtworzył. W związku z tym pytania: czy skaner ESET się uspokoił + czy funkcje Centrum Zabezpieczeń / Zapora systemu Windows / Windows Defender ożywiły się? Kolejne kroki do wykonania:

 

1. Drobniutka korekta na jeden z kluczy powiązań rozszerzeń. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O37 - HKCU\...com [@ = ComFile] -- Reg Error: Key error. File not found

 

Klik w Wykonaj skrypt. Akcja wykona się błyskawicznie i bez restartu.

 

2. Odinstaluj w prawidłowy sposób ComboFix, co zresetuje też foldery Przywracania systemu. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę:

 

C:\Users\user\Desktop\ComboFix.exe /uninstall

 

Gdy zadanie ukończy się, możesz użyć Sprzątanie w OTL usuwające składniki programu oraz ręcznie przez SHIFT+DEL dokasować folder kopii rejestru C:\Windows\ERDNT wygenerowany przez ComboFix.

 

 

 

 

.

[stachy]

ESET się uspokoił.

 

Centrum zabezpieczeń dalej nie działa. Zapora i Defender są wyłączone. Defendera da się włączyć "z palca", ale po każdym restarcie jest znowu nieaktywny. Zapory nie da się włączyć w ogóle, wyskakuje komunikat, że "nie można uruchomić".

 

Po wszystkich tych przejściach zauważyłem jeszcze jedną dziwną rzecz: Wcześniej po uruchomieniu komputer zazwyczaj "łapał" sieć w parę sekund. Teraz zajmuje to 3-4 minuty zanim się połączy, w tym czasie nie da się otworzyć Centrum Sieci.

 

Sprzątanie wykonałem tak, jak napisałaś.

[picasso]

Centrum zabezpieczeń dalej nie działa.

 

Jaki błąd jest zwracany?

 

 

Defendera da się włączyć "z palca", ale po każdym restarcie jest znowu nieaktywny.

 

Start > w polu szukania wpisz services.msc > z prawokliku Uruchom jako Administrator. Dwuklik na usługę Windows Defender i Typ uruchomienia przestaw z aktualnie figurującego Ręcznego na Automatyczny.

 

 

Zapory nie da się włączyć w ogóle, wyskakuje komunikat, że "nie można uruchomić".

 

Nie jest podany żaden kod błędu? Skorzystaj z automatycznego diagnostyka MS: KLIK.

 

 

Po wszystkich tych przejściach zauważyłem jeszcze jedną dziwną rzecz: Wcześniej po uruchomieniu komputer zazwyczaj "łapał" sieć w parę sekund. Teraz zajmuje to 3-4 minuty zanim się połączy, w tym czasie nie da się otworzyć Centrum Sieci.

 

Może to tylko kolejny wariant problemu ze startem Zapory systemu Windows.

 

 

 

 

.

[stachy]

Już wszystko jest ok, FixIt pomógł, Twoja porada też. Centrum działa, zapora działa, defender się uruchamia, WLAN również zaczął łączyć od razu, więc chyba faktycznie było to powiązane.

 

Wielkie dzięki za pomoc i poświęcony czas

 

Mam jeszcze kilka pytań, może głupich, ale jestem zwykłym laikiem:

1. Jak mogłem złapać ten syf? Defender wywalił pierwszy komunikat o trojanie po przegladaniu www, tuż po zamknięciu przegladarki (zaznaczam, że były to teoretycznie normalne, porządne strony, nie jakieś pornusy, czy inne podejrzane badziewie). Jedyne co się wydarzyło, to komunikat o aktualizacji Flash Playera, który odruchowo kliknąłem "ok".

2. Jak to się przenosi? Czy mogło zainfekować np. podpinane dyski zewnętrzne, albo inne kompy np. w sieci biurowej?

3. Jakie są konsekwencje z tytułu "posiadania" tej infekcji dla przeciętnego, mało zaawansowanego użytkownika? Chodzi mi o kwestie realnego zagrożenia, takiego jak zniszczenie/przechwycenie danych albo wpisów klawiatury. Jest to możliwe, czy to tylko jakiś mało szkodliwy "złośliwiec"?

 

Pozdrawiam

[picasso]

Na zakończenie:

 

1. Na wszelki wypadek zmień hasła logowania w serwisach.

 

2. Wykonaj aktualizacje oprogramowania: KLIK. Na Twojej liście zainstalowanych widnieją następujące wersje:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216025FF}" = Java™ 6 Update 25
"{5335DADB-34BA-4AE8-A519-648D78498846}" = Skype™ 5.3
"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish

 

 

1. Jak mogłem złapać ten syf? Defender wywalił pierwszy komunikat o trojanie po przegladaniu www, tuż po zamknięciu przegladarki (zaznaczam, że były to teoretycznie normalne, porządne strony, nie jakieś pornusy, czy inne podejrzane badziewie). Jedyne co się wydarzyło, to komunikat o aktualizacji Flash Playera, który odruchowo kliknąłem "ok".

 

Z opisu wynika, że nabawiłeś się tego właśnie z którejś strony. Reputacja strony nie jest już żadną gwarancją. Nieszkodliwa strona może stać się szkodliwą na skutek słabych zabezpieczeń / ataków / luk serwerowych, do jej kodu może zostać wklejony skrypt wykonujący łączenie na szkodliwy URL. Po stronie użytkownika jest istotnym posiadać maksymalnie zaktualizowane przeglądarki i ich wtyczki. Tu masz pierwszy z brzegu przykład, że jest możliwa nawet bezplikowa infekcja, która działa "w RAM", szmugluje się wprost do procesu przestarzałej Java: KLIK. Nie bez przyczyny obowiązkiem po ukończeniu czyszczenia systemu jest aktualizacja tego typu komponentów.

 

 

2. Jak to się przenosi? Czy mogło zainfekować np. podpinane dyski zewnętrzne, albo inne kompy np. w sieci biurowej?

 

To nie jest typ "przeskakujący".

 

 

3. Jakie są konsekwencje z tytułu "posiadania" tej infekcji dla przeciętnego, mało zaawansowanego użytkownika? Chodzi mi o kwestie realnego zagrożenia, takiego jak zniszczenie/przechwycenie danych albo wpisów klawiatury. Jest to możliwe, czy to tylko jakiś mało szkodliwy "złośliwiec"?

 

Nie daję gwarancji, toteż właśnie dlatego prewencyjnie zmienisz hasła.

 

 

 

.

[stachy]

Ok. Jeszcze raz dzięki i pozdrowienia.