Infekcja Win64:Sirefef-A [Trj] & win32:DNSChanger-VJ [trj]

[sangha]

Witam. Avast oco parę minut wykrywa u mnie wirusy Win64:Sirefef-A [Trj] & win32:DNSChanger-VJ [trj] które przenosi do kwarantanny.

 

 

Logi:

GMER: http://wklej.org/id/763249/

OTL: http://wklej.org/id/763252/

 

 

Proszę o pomoc.

[Landuss]

Logi z OTL powinny być dwa. Zbrakło raportu extras. Podczas skanowania opcja "Rejestr - skan dodatkowy" ma być zaznaczona na "Użyj filtrowania" Uzupełnij ten log w kolejnym poście.

 

W kwestii obecnych raportów - jest najnowsza wersja infekcji ZeroAccess i potrzebny będzie jeszcze jeden log na warunku dostosowanym - Uruchom SystemLook, w oknie wklej:

 

:reg
HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s

 

Klik w Look. Przedstaw log wynikowy.

[sangha]

SystemLook: http://wklej.org/id/763415/

OTL (Extras): http://wklej.org/id/763421/

OTL: http://wklej.org/id/763423/

[Landuss]

1. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[-HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Plik FIX.REG umieść wprost na C:\.

 

2. Uruchom Avenger i do okna wklej:

 

Folders to delete:

C:\WINDOWS\Installer\{e4981fe8-4ab1-a455-c002-18d628c085ef}
C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\{e4981fe8-4ab1-a455-c002-18d628c085ef}
 
 
Programs to launch on reboot:
regedit /s C:\FIX.REG

 

Klik w Execute. Zatwierdź restart komputera. Po restarcie powinieneś uzyskać log z wynikami narzędzia.

 

3. Prezentujesz log z Avengera z usuwania z punktu 2 oraz nowy log z SystemLook zrobiony na warunku:

 

:reg
HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
 
:regfind
{e4981fe8-4ab1-a455-c002-18d628c085ef}
 
:folderfind
{e4981fe8-4ab1-a455-c002-18d628c085ef}

[sangha]

Avenger: http://wklej.org/id/763473/

SystemLook: http://wklej.org/id/763476/

[Landuss]

Folder nie został usunięty i będzie poprawka. Wklej do Avenger ten tekst:

 

Folders to delete:
C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\{e4981fe8-4ab1-a455-c002-18d628c085ef}

 

Robisz to samo co poprzednio i prezentujesz wynikowy log z Avenger i nowy z SystemLook na tym samym warunku.

[sangha]

2. Avenger: http://wklej.org/id/763772/

SystemLook: http://wklej.org/id/763774/

[Landuss]

Folder ciągle siedzi jak przylepiony, nie mam pojęcia dlaczego. Zmiana metody.

 

Uruchom BlitzBlank i w karcie Script wklej:

 

DeleteFolder:
"C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\{e4981fe8-4ab1-a455-c002-18d628c085ef}"

 

Kliknij w Execute Now. Zatwierdź restart komputera. Program wygeneruje na dysku C log, który pokażesz na forum oraz nowy log z SystemLook.

[sangha]

Po wklejeniu

DeleteFolder:

C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\{e4981fe8-4ab1-a455-c002-18d628c085ef}

] i naciśnięciu Execute Now wyświetla się błąd "Syntax error in line 2, Invalid folder path."

 

ps. a usuwany adres ne powinien wyglądać tak?:

C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\{e4981fe8-4ab1-a455-c002-18d628c085ef}

[Landuss]

Racja, błąd w ścieżce. Już to poprawiłem w poprzednim poście więc powtórz operację.

[sangha]

Nadal w BlitzBlank wyświetla sie błąd "Syntax error in line 2, Invalid folder path."

 

Może powtórzyć operacje w Avenger na poprawnym kodzie?

[Landuss]

Lokalizacja ma spacje, więc ma być wzięta w cudzysłów:

 

"C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\{e4981fe8-4ab1-a455-c002-18d628c085ef}"

[sangha]

BlitzBlank: http://wklej.org/id/763792/

SystemLook: http://wklej.org/id/763794/

[Landuss]

Jest w porządku, infekcja usunięta. Teraz można zająć się drobniejszymi rzeczami.

 

1. Wejdź w panel usuwania programów i odinstaluj sponsoring Babylon toolbar on IE

 

2. Zastosuj AdwCleaner z opcji Delete

 

3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
IE - HKU\S-1-5-21-606747145-1060284298-1801674531-500\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http: //findgala.com/?&uid=2247&q={searchTerms}
IE - HKU\S-1-5-21-606747145-1060284298-1801674531-500\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http: //search.babylon.com/?q={searchTerms}&AF=100482&babsrc=SP_ss&mntrId=c468477c000000000000005345000000
FF - prefs.js..browser.search.selectedEngine: "search"
[2012-01-25 22:01:15 | 000,000,000 | ---D | M] (Babylon) -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\sndxq7jp.default\extensions\ffxtlbr@babylon.com
O4 - HKU\S-1-5-21-606747145-1060284298-1801674531-500..\Run: [KPeerNexonEU] C:\Nexon\NEXON_EU_Downloader\nxEULauncher.exe File not found
O4 - HKU\S-1-5-21-606747145-1060284298-1801674531-500..\Run: [RMF FM Miasto Muzyki] File not found
O4 - HKU\S-1-5-21-606747145-1060284298-1801674531-500..\Run: [uTorrent] "C:\Program Files\uTorrent\uTorrent .exe" File not found
[2012-05-30 15:01:00 | 000,000,250 | ---- | M] () -- C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job
 
:Files
netsh winsock reset /C
 
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"c:\program files\relevantknowledge\rlvknlg.exe"=-
 
:Services
EagleXNt
ISODrive
 
:Commands
[emptytemp]

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez ekstras)

[sangha]

OTL: http://wklej.org/id/763823/

[Landuss]

Skrypt zupełnie nie wykonany. Avast ma być wyłączony na czas wykonywania.

[sangha]

Skrypt nie chce coś sie wykonać. Zatrzymuje sie na 2 lini

DRV - File not found [File_System | On_Demand | Stopped] -- C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\RarSFX0\drivers\ISODrive.sys -- (ISODrive)

i żadnego postępu.

[Landuss]

Skrypt nieco zmodyfikowałem wyżej więc spróbuj teraz ze świeżym skryptem to wykonać.

[sangha]

Tym razem skrypt ruszył.

OTL: http://wklej.org/id/763837/

[Landuss]

Wszystko wykonane. Pozostają czynności finalne.

 

1. Użyj opcji Sprzątanie z OTL oraz pousuwaj wszystkie inne narzędzia (SystemLook, Avenger, BlitzBlank)

 

2. Opróżnij folder przywracania systemu: KLIK

 

3. System nie ma pliku HOSTS co było widoczne w logach. Należy go utworzyć. Włącz pokazywanie rozszerzeń: w Panel sterowania > Opcje folderów i wyszukiwania > Widok > odznacz Ukrywaj rozszerzenia znanych typów. Otwórz Notatnik i wklej w nim:

 

127.0.0.1 localhost

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz pod nazwą hosts bez żadnego rozszerzenia

 

Plik wstaw do katalogu C:\Windows\system32\drivers\etc.

 

4. Zaktualizuj Jave i Adobe Readera do najnowszych wersji: KLIK

 

5. W celu bezpieczeństwa zmień hasła logowania do serwisów w sieci.

[sangha]

Zrobione. Wielkie dzięki za pomoc Landuss.