Po usunięciu trojana Sirefef.BV brak połączenia z siecią

[jorzez]

Komputer został zainfekowany trojanem sirefef.BV

f-secure (skaner a-vir i backlight) wykrywał i usuwał wirusa ale po restarcie się odtwarzał

użyłem narzędzia eset/sirefef trojan remover z waszej strony

znalazł wirusa w pliku netbt.sys (zainfekowane pliki nazwy zmienione netbt.sys.old i netbt.sys.vir - usunięte z komputera); oryginalny sterownik przywrócony

 

ale pojawił się PROBLEM - komputer nie łączy się z siecią - cały czas pobiera adres sieciowy

 

przeszedłem wasz FAQ "nie można uruchomić klienta DHCP"

NetBios przez TCP/IP jest zatrzymany

próba uruchomienia generuje komunikat "system napotkał bład podczas uruchamiania; Określony sterownik jest nieprawidłowy"

w zakładce szczegóły: identyfikator wystąpienia urządzenia "\Root\LEGACY_NETBT\0000"

zawartość tego klucza rejestru w załączniku

 

w załaczeniu logi

GMER po skopiowaniu powoduje na koniec zawieszenie komputera - komunikat "brak zasobów systemowych" i konieczność twardego resetu

checkup.txt

gmer_log.txt

OTL.Txt

registry_netbt.txt

[picasso]

Podałeś niepełny OTL, brakuje pliku Extras (opcja "Rejestr - skan dodatkowy" nie została ustawiona na "Użyj filtrowania"). Ogólnie co widzę teraz: infekcja ZeroAccess/Sirefef nie jest wyczyszczona do końca. Nadal jest łącze symboliczne C:\WINDOWS\$NtUninstallKB12077$ i pliki poboczne rootkita, naruszony Winsock, a także dostatkowo zestaw plików AT*.job. W pierwszej kolejności zajmę się dokończeniem czyszczenia, następnie będę diagnozować status sieci.

 

 

1. Uruchom GrantPerms, w oknie wklej:

 

C:\WINDOWS\$NtUninstallKB12077$

 

Klik w Unlock.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files

C:\WINDOWS\$NtUninstallKB12077$
C:\WINDOWS\Tasks\At*.job
C:\WINDOWS\System32\dds_trash_log.cmd
C:\Documents and Settings\All Users\Dane aplikacji\Ask
netsh winsock reset /c
 
:OTL
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\simbad.dll -- (WINUSB)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\speedfan.dll -- (whoisd32)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\mrvw245.dll -- (VX3000)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\TPwSav.dll -- (vrmonsvc)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\vaiomediaplatform-integratedserver-upnp.dll -- (vc8secs)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\pelusblf.dll -- (VC6SecS)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\dsbrokerservice.dll -- (usr11g)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\VRFIL.dll -- (TeamViewer)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\s217mgmt.dll -- (symmpi)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\eabfiltr.dll -- (StkScan)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\Bcim.dll -- (SNDO763)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\vncmirror.dll -- (smapint)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\Sntnlusb.dll -- (se26unic)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\Ktp.dll -- (SaiMini)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\BrPar.dll -- (omnidrv)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\vaiomediaplatform-photoserver-appserver.dll -- (NvNdis)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\ASLDRService.dll -- (nmsaccess)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\uphclean.dll -- (nim32)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\ldap.dll -- (MXOFX)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\emproxy.dll -- (MSSQL$MSSMLBIZ)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\CX23880.dll -- (mcupdmgr.exe)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\jaguar.dll -- (mcontrol)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\VrAcFil.dll -- (MASPINT)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\dimension4.dll -- (Machnm32)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\atitunep.dll -- (lxby_device)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\basic2.dll -- (lilsgt)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\CT20XUT.DLL.dll -- (klblmain)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\ANC.dll -- (k750mgmt)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\itchfltr.dll -- (iclarityqosservice)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\SerTVOutCtlr.dll -- (iAimTV5)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\unlockerdriver5.dll -- (hpwirelessmgr)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\FreeTdi.dll -- (hpdj)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\elnkservice.dll -- (ehstart)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\sysmgmthp.dll -- (dlpwd)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\lfsfilt.dll -- (Dfs)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\CTEAPSFX.DLL.dll -- (dcevt32)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\WMIService.dll -- (DCamUSBMke2)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\SunkFilt.dll -- (datasvr2)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\uiusys.dll -- (CXAVXBAR)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\de_serv.dll -- (CTDevice_Srv)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\lkcitadelserver.dll -- (cmuda3)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\s116mdfl.dll -- (citrixwmiservice)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\mfcom.dll -- (ccsetmgr)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\lirsgt.dll -- (CBN)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\utilman.dll -- (blueservice)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\nvax.dll -- (bgsvcgen)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\Afc.dll -- (bcoreusb)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\SWNC8U51.dll -- (AX88772)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\ha10kx2k.dll -- (atalk)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\nHancer.dll -- (AMDPCI)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\xaudioservice.dll -- (AFGMp50)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\TPPWRIF.dll -- (aexnsclient)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\SABSVC.dll -- (AeLookupSvc)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\int15.dll -- (adobeactivefilemonitor5.0)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\lkclassads.dll -- (ADIDTSFiltService)
DRV - File not found [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\Drivers\SSPORT.sys -- (SSPORT)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys -- (esgiguard)
O3 - HKU\S-1-5-21-1645522239-823518204-682003330-1003\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O4 - HKLM..\Run: [NWEReboot]  File not found
IE - HKU\S-1-5-21-1645522239-823518204-682003330-1003\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=75E01628-AAE7-471C-8006-F79C8AC66A1F&apn_sauid=A0C3AA2D-F919-43D7-82DF-0DEF8AAED8A6&"
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami usuwania.

 

3. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00

 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]
"netsvcs"=hex(7):36,00,74,00,6f,00,34,00,00,00,41,00,70,00,70,00,4d,00,67,00,\
  6d,00,74,00,00,00,41,00,75,00,64,00,69,00,6f,00,53,00,72,00,76,00,00,00,42,\
  00,72,00,6f,00,77,00,73,00,65,00,72,00,00,00,43,00,72,00,79,00,70,00,74,00,\
  53,00,76,00,63,00,00,00,44,00,4d,00,53,00,65,00,72,00,76,00,65,00,72,00,00,\
  00,44,00,48,00,43,00,50,00,00,00,45,00,52,00,53,00,76,00,63,00,00,00,45,00,\
  76,00,65,00,6e,00,74,00,53,00,79,00,73,00,74,00,65,00,6d,00,00,00,46,00,61,\
  00,73,00,74,00,55,00,73,00,65,00,72,00,53,00,77,00,69,00,74,00,63,00,68,00,\
  69,00,6e,00,67,00,43,00,6f,00,6d,00,70,00,61,00,74,00,69,00,62,00,69,00,6c,\
  00,69,00,74,00,79,00,00,00,48,00,69,00,64,00,53,00,65,00,72,00,76,00,00,00,\
  49,00,61,00,73,00,00,00,49,00,70,00,72,00,69,00,70,00,00,00,49,00,72,00,6d,\
  00,6f,00,6e,00,00,00,4c,00,61,00,6e,00,6d,00,61,00,6e,00,53,00,65,00,72,00,\
  76,00,65,00,72,00,00,00,4c,00,61,00,6e,00,6d,00,61,00,6e,00,57,00,6f,00,72,\
  00,6b,00,73,00,74,00,61,00,74,00,69,00,6f,00,6e,00,00,00,4d,00,65,00,73,00,\
  73,00,65,00,6e,00,67,00,65,00,72,00,00,00,4e,00,65,00,74,00,6d,00,61,00,6e,\
  00,00,00,4e,00,6c,00,61,00,00,00,4e,00,74,00,6d,00,73,00,73,00,76,00,63,00,\
  00,00,4e,00,57,00,43,00,57,00,6f,00,72,00,6b,00,73,00,74,00,61,00,74,00,69,\
  00,6f,00,6e,00,00,00,4e,00,77,00,73,00,61,00,70,00,61,00,67,00,65,00,6e,00,\
  74,00,00,00,52,00,61,00,73,00,61,00,75,00,74,00,6f,00,00,00,52,00,61,00,73,\
  00,6d,00,61,00,6e,00,00,00,52,00,65,00,6d,00,6f,00,74,00,65,00,61,00,63,00,\
  63,00,65,00,73,00,73,00,00,00,53,00,63,00,68,00,65,00,64,00,75,00,6c,00,65,\
  00,00,00,53,00,65,00,63,00,6c,00,6f,00,67,00,6f,00,6e,00,00,00,53,00,45,00,\
  4e,00,53,00,00,00,53,00,68,00,61,00,72,00,65,00,64,00,61,00,63,00,63,00,65,\
  00,73,00,73,00,00,00,53,00,52,00,53,00,65,00,72,00,76,00,69,00,63,00,65,00,\
  00,00,54,00,61,00,70,00,69,00,73,00,72,00,76,00,00,00,54,00,68,00,65,00,6d,\
  00,65,00,73,00,00,00,54,00,72,00,6b,00,57,00,6b,00,73,00,00,00,57,00,33,00,\
  32,00,54,00,69,00,6d,00,65,00,00,00,57,00,5a,00,43,00,53,00,56,00,43,00,00,\
  00,57,00,6d,00,69,00,00,00,57,00,6d,00,64,00,6d,00,50,00,6d,00,53,00,70,00,\
  00,00,77,00,69,00,6e,00,6d,00,67,00,6d,00,74,00,00,00,77,00,73,00,63,00,73,\
  00,76,00,63,00,00,00,78,00,6d,00,6c,00,70,00,72,00,6f,00,76,00,00,00,6e,00,\
  61,00,70,00,61,00,67,00,65,00,6e,00,74,00,00,00,68,00,6b,00,6d,00,73,00,76,\
  00,63,00,00,00,42,00,49,00,54,00,53,00,00,00,77,00,75,00,61,00,75,00,73,00,\
  65,00,72,00,76,00,00,00,53,00,68,00,65,00,6c,00,6c,00,48,00,57,00,44,00,65,\
  00,74,00,65,00,63,00,74,00,69,00,6f,00,6e,00,00,00,68,00,65,00,6c,00,70,00,\
  73,00,76,00,63,00,00,00,57,00,6d,00,64,00,6d,00,50,00,6d,00,53,00,4e,00,00,\
  00,00,00

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik

 

4. Odbuduj brakujący plik HOSTS. Włącz pokazywanie rozszerzeń w Mój komputer > Narzędzia > Opcje folderów > Widok > odznacz Ukrywaj rozszerzenia znanych typów. Otwórz Notatnik i wklej w nim:

 

127.0.0.1       localhost

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz pod nazwą hosts bez żadnego rozszerzenia

 

Plik wstaw do folderu C:\Windows\system32\drivers\etc.

 

5. Wygeneruj nowy log z OTL z opcji Skanuj (przypominam o Extras) oraz log z Farbar Service Scanner z wszystkimi opcjami zaznaczonymi. Dodaj log z przetwarzania skryptu OTL wygenerowany w punkcie 2.

 

 

 

.

[jorzez]

Dziękuję

po wykonaniu poleceń - logi w załączeniu

pliki at*.job usunąłem ręcznie ze schedulera

połączenia z siecią w dalszym ciągu brak - cały czas pobieranie adresu sieciowego

FSS.txt

OTL 3.Txt

Extras 3.Txt

OTL 05082012_184234.txt

[picasso]

Nie wykonała się jedna rzecz, usuwanie łącza symbolicznego rootkit (zapomniałam to też rozlinkować).

 

1. Powtórz operację w GrantPerms.

 

2. Start > Uruchom > cmd i wpisz komendę:

 

fsutil reparsepoint delete C:\WINDOWS\$NtUninstallKB12077$

 

3. Jeśli zwrot z komendy w punkcie 2 będzie pomyślny, spróbuj ręcznie usunąć folder C:\WINDOWS\$NtUninstallKB12077$

 

 

połączenia z siecią w dalszym ciągu brak - cały czas pobieranie adresu sieciowego

 

Wiem o tym, podane wyżej operacje nawet nie ruszyły obszaru sterowników sieciowych. Pisałam wyraźnie: "W pierwszej kolejności zajmę się dokończeniem czyszczenia, następnie będę diagnozować status sieci.". I dlatego prosiłam o log z Farbar Service Scanner, który sprawdza podstawowe atrybuty usług i MD5 plików. Na podstawie wyników z tego raportu pojawia się pytanie:

 

znalazł wirusa w pliku netbt.sys (zainfekowane pliki nazwy zmienione netbt.sys.old i netbt.sys.vir - usunięte z komputera); oryginalny sterownik przywrócony

(...)

NetBios przez TCP/IP jest zatrzymany

próba uruchomienia generuje komunikat "system napotkał bład podczas uruchamiania; Określony sterownik jest nieprawidłowy"

 

Skąd brałeś plik netbt.sys? Plik ten u Ciebie ma następujące parametry:

 

C:\WINDOWS\system32\Drivers\netbt.sys
[2006-03-02 14:00] - [2008-04-13 21:21] - 0162816 ____A (Microsoft Corporation) 24F375311431870457C3E2610E0BE61A

 

Suma kontrolna tego pliku jest zupełnie inna niż suma pliku wypakowanego z pakietu SP3 dla XP. Mój plik z polskiego SP3 ma sumę: 74B2B2F5BEA5E9A3DC021D685551BD3D. Ustalmy w pierwszej kolejności źródło Twojego pliku.

 

 

 

 

.

[jorzez]

punkty 1-3 wykonane

netbt.sys jest albo z katalogu c:\windows\ServicePackFiles\i386 albo z innego komputera

sprawdzałem tylko to co jest widoczne w zakładce właściwości pliku (wersja, data, wielkość)

nie wiem jak sprawdzić sumę kontrolną żeby jednoznacznie odpowiedzieć

 

PS

na komputerze z którego mogłem brać sterownik, FSS zwraca taki log

 

C:\WINDOWS\system32\Drivers\afd.sys => MD5 is legit

C:\WINDOWS\system32\Drivers\netbt.sys => MD5 is legit

C:\WINDOWS\system32\Drivers\tcpip.sys => MD5 is legit

C:\WINDOWS\system32\Drivers\ipsec.sys => MD5 is legit

 

najprawdopodobniej netbt.sys jest z katalogu c:\windows\ServicePackFiles\i386

[picasso]

Jak mówię, suma jest inna niż plik wypakowany wprost z instalatora polskiego SP3 (nie z działającego systemu, lecz instalatora). Proponuję zamienić plik kopią otrzymaną ode mnie.

 

1. Przesyłam: KLIK. Ulokuj go wprost na C:\, gdyż ta ścieżka jest uwzględniona w skrypcie.

 

2. Przejdź w Tryb awaryjny Windows bez obsługi sieci. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Processes
killallprocesses
 
:Files
C:\WINDOWS\system32\drivers\netbt.sys|C:\netbt.sys /replace
C:\WINDOWS\system32\dllcache\netbt.sys|C:\netbt.sys /replace

 

Klik w Wykonaj skrypt.

 

3. Przejdź w Tryb normalny Windows i zweryfikuj status sieci. Przedstaw log z wynikami przetwarzania skryptu uzyskany w punkcie 2.

 

 

 

 

.

[jorzez]

wykonane; log w załączeniu

sieć działa

pliki tymczasowe usunięte, przywracanie systemu ponownie uruchomione

czy są jeszcze potrzebne jakieś działania?

 

Dziękuję

OTL 05092012_105727.txt

[picasso]

pliki tymczasowe usunięte, przywracanie systemu ponownie uruchomione

czy są jeszcze potrzebne jakieś działania?

 

1. W OTL uruchom Sprzątanie likwidujące OTL z przyległościami. Ręcznie usuń pozostałe używane narzędzia.

 

2. Na wszelki wypadek wykonaj pełny skan za pomocą Malwarebytes Anti-Malware. Przedstaw raport, o ile coś wykryje.

 

Dokładnie też sprawdź czy działają wszystkie funkcje relatywne do bezpieczeństwa: Zapora systemowa, Centrum zabezpieczeń, Windows Update.

 

 

 

.

[jorzez]

wszystko działa, brak wirusów

 

jeszcze raz dziękuję

[picasso]

W ramach finalizacji:

 

1. Wykonaj aktualizacje oprogramowania: KLIK. Tu z Twojej listy zainstalowanych wersje:

 

Internet Explorer (Version = 7.0.5730.13)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31
"{3248F0A8-6813-11D6-A77B-00B0D0150000}" = J2SE Runtime Environment 5.0
"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish
"{AC76BA86-7AD7-5464-3428-900000000004}" = Spelling Dictionaries Support For Adobe Reader 9
"{AC76BA86-7AD7-5760-0000-900000000003}" = Japanese Fonts Support For Adobe Reader 9
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX

 

2. Prewencyjnie zmień hasła logowania w serwisach.

 

 

 

.