Jak usunąć Win32/Sirefef?

[erbi]

Witam.

Od kilku dni mam problem z wyskakującymi powiadomieniami w ESET NOD32 o Win32/Sirefef.

Jeśli jest taka możliwość to proszę o info jak się tego pozbyć.

 

Kilkukrotne próby usunięcia przez Nod'a nic nie dały.

 

W załączeniu obowiązkowe logi oraz plik dziennika z NOD'a.

 

Od pewnego czasu nie działa mi też Outlook - pewnie to jest tego powodem.

 

 

Z góry dzięki za pomoc

OTL.Txt

esetnod32.txt

Extras.Txt

gmer.txt

[Landuss]

Sirefef nie jest tu aktywny i są po nim tylko pozostałości.

 

1. Wejdź w panel usuwania programów i odinstaluj te śmieciarskie wtyczki - vShare Plugin / vShare.tv plugin 1.3

 

2. Uruchom AdwCleaner z opcji Delete

 

3. Opróżnij lokalizacje tymczasowe za pomocą TFC - Temp File Cleaner

 

4. Reset Winsock: Start > Uruchom > cmd i wpisz komendę netsh winsock reset. Zresetuj system.

 

5. Prezentujesz nowe logi z OTL.

[erbi]

Dzięki za odpowiedź.

 

OTL w załączeniu.

OTL.Txt

[picasso]

Zedytowałeś przed chwilą post (dlaczego?), a było w nim to:

 

3. Skan Nod'em - nic nie wykrył

4. Po jakimś czasie Nod wypluł znowu info o tym samym zagrożeniu.

 

Mam wątpliwości czy Sirefef został tu zlikwidowany, mimo że GMER był jakoby "czysty" i Winsock dał się zresetować. Wg logów skaner ESET widział tylko zainfekowaną pamięć operacyjną cudzych procesów i plik desktop.ini, nic poza tym. Natomiast to co nie było wykryte w skanie to punkt ładowania Sirefef, to co go wstrzykuje do pamięci procesów. Za znaczące uznaję to co zacytowałam, skaner znów to wykrył po jakimś czasie. Twoja poprzednia już wymazana wypowiedź mniej więcej sugeruje coś takiego: skanujesz NODem ręcznie i nic nie wykrywa, po czasie osłona rezydentna reaguje i zgłasza problem (pamięć operacyjna zainfekowana). Nie bez znaczenia mogą tu być procedury zabijania procesów wbudowane w AdwCleaner i TFC = to może ukrywać problem.

 

Proszę o dodatkowy skan. Uruchom OTL, wszystkie opcje ustaw na Brak + Żadne, w polu Własne opcje skanowania / skrypt wklej:

 

HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
/md5start
services.exe
/md5stop

 

Klik w Skanuj.

 

 

 

.

[erbi]

Tak zedytowałem bo po napisaniu posta i wrzuceniu OTL'a zauważyłem, że nie zrobiłem netsh winsock reset i robiłem jeszcze raz OTL.

 

Za pierwszym razem post wyglądał tak:

 

Najpierw zrobiłem nie po kolei:

1. TFC

2. AdwCleaner

3. bez netsh winsock reset

4. Skan nodem ok.

5. Po jakimś czasie nod pokazał alert.

 

Później:

1. AdwCleaner

2. TFC

3. skan ok

4. OTL

później zauważyłem ten ostatni punkt

 

zedytowałem post

zrobiłem netsh winsock reset

nowy OTL

 

 

W załączeniu OTL wg wskazówek.

OTL.Txt

[picasso]

Sprawdziły się moje przypuszczenia:

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32]
"ThreadingModel" = Both
"" = C:\Documents and Settings\r.bednarz\Ustawienia lokalne\Dane aplikacji\{adabd0f3-9ded-4bad-1437-2ab0e2ea7041}\n.

 

Trojan jest skonfigurowany do ładowania, to wyjaśnia reakcje ESET, który jednak ma zbyt słaby wzrok i nie widzi tego, tylko skutki działania infekcji (pamięć operacyjna + poboczny plik desktop.ini).

 

1. Otwórz Notatnik i wklej w nim:

 

reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f

 

Adnotacja dla innych czytających: batch unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT

 

Plik umieść wprost na C:\.

 

2. Uruchom BlitzBlank i w karcie Script wklej:

 

DeleteFolder: 

"C:\Documents and Settings\r.bednarz\Ustawienia lokalne\Dane aplikacji\{adabd0f3-9ded-4bad-1437-2ab0e2ea7041}"
 
Execute: 
C:\fix.bat

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Execute Now. Zatwierdź restart komputera. Przed ekranem z logo Windows powinien pojawić się ekran z działaniami BlitzBlank. Finalnie BlitzBlank wygeneruje na dysku C log.

 

3. Wklej wprost do posta zawartość raportu BlitzBlank (krótki). Zrób szukanie w SystemLook wklejając do okna:

 

:reg

HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
 
:folderfind
{adabd0f3-9ded-4bad-1437-2ab0e2ea7041}

 

Klik w Look. Przedstaw raport wynikowy.

 

 

 

.

[erbi]

BlitzBlank 1.0.0.32

 

File/Registry Modification Engine native application

MoveDirectoryOnReboot: sourceDirectory = "\??\c:\documents and settings\r.bednarz\ustawienia lokalne\dane aplikacji\{adabd0f3-9ded-4bad-1437-2ab0e2ea7041}", destinationDirectory = "(null)", replaceWithDummy = 0

MoveFileOnReboot: sourceFile = "\??\c:\documents and settings\r.bednarz\ustawienia lokalne\dane aplikacji\{adabd0f3-9ded-4bad-1437-2ab0e2ea7041}\@", destinationFile = "(null)", replaceWithDummy = 0

MoveDirectoryOnReboot: sourceDirectory = "\??\c:\documents and settings\r.bednarz\ustawienia lokalne\dane aplikacji\{adabd0f3-9ded-4bad-1437-2ab0e2ea7041}\L", destinationDirectory = "(null)", replaceWithDummy = 0

MoveFileOnReboot: sourceFile = "\??\c:\documents and settings\r.bednarz\ustawienia lokalne\dane aplikacji\{adabd0f3-9ded-4bad-1437-2ab0e2ea7041}\L\00000004.@", destinationFile = "(null)", replaceWithDummy = 0

MoveFileOnReboot: sourceFile = "\??\c:\documents and settings\r.bednarz\ustawienia lokalne\dane aplikacji\{adabd0f3-9ded-4bad-1437-2ab0e2ea7041}\L\00000008.@", destinationFile = "(null)", replaceWithDummy = 0

MoveDirectoryOnReboot: sourceDirectory = "\??\c:\documents and settings\r.bednarz\ustawienia lokalne\dane aplikacji\{adabd0f3-9ded-4bad-1437-2ab0e2ea7041}\U", destinationDirectory = "(null)", replaceWithDummy = 0

MoveFileOnReboot: sourceFile = "\??\c:\documents and settings\r.bednarz\ustawienia lokalne\dane aplikacji\{adabd0f3-9ded-4bad-1437-2ab0e2ea7041}\U\00000004.@", destinationFile = "(null)", replaceWithDummy = 0

MoveFileOnReboot: sourceFile = "\??\c:\documents and settings\r.bednarz\ustawienia lokalne\dane aplikacji\{adabd0f3-9ded-4bad-1437-2ab0e2ea7041}\U\00000008.@", destinationFile = "(null)", replaceWithDummy = 0

MoveFileOnReboot: sourceFile = "\??\c:\documents and settings\r.bednarz\ustawienia lokalne\dane aplikacji\{adabd0f3-9ded-4bad-1437-2ab0e2ea7041}\U\000000cb.@", destinationFile = "(null)", replaceWithDummy = 0

LaunchOnReboot: launchName = "\fix.bat", commandLine = "c:\fix.bat"

 

 

SystemLook 30.07.11 by jpshortstuff

Log created at 10:23 on 06/06/2012 by r.bednarz

Administrator - Elevation successful

 

========== reg ==========

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

(Unable to open key - key not found)

 

========== folderfind ==========

 

Searching for "{adabd0f3-9ded-4bad-1437-2ab0e2ea7041}"

No folders found.

 

-= EOF =-

[picasso]

Usuwanie pomyślnie wykonane. I teraz okresowe alerty ESET powinny ustać. Przeskanuj nim jeszcze raz, skanowanie pełne a nie ekspresowe, może coś znaleźć, ale to już nie będzie się odtwarzać. Zgłoś się tu z wynikami.

 

EDIT

 

Nie przeglądnęłam zbyt uważnie poprzednich materiałów. W Twoich pełnych logach z OTL, pochodzych sprzed usuwania BlitzBlank, był jeszcze ten podejrzany obiekt:

 

O4 - HKLM..\Run: [wmasl] C:\Documents and Settings\r.bednarz\Ustawienia lokalne\Temp\wmasl.dll (DT Soft Ltd)

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKLM..\Run: [wmasl] C:\Documents and Settings\r.bednarz\Ustawienia lokalne\Temp\wmasl.dll (DT Soft Ltd)
@Alternate Data Stream - 24 bytes -> C:\WINDOWS:0FCA0E78035093D8
 
:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{4BAC46DA-18EE-4549-9A4E-0878751CD0AE}"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{4BAC46DA-18EE-4549-9A4E-0878751CD0AE}"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0E60FE92-D127-4D0A-9219-EBA96F833F01}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{0E60FE92-D127-4D0A-9219-EBA96F833F01}]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami.

 

2. W Google Chrome ostała się wtyczka vShare. Jej usunięcie wymaga edycji pliku Preferences wg kroków nakreślonych tu w punkcie 3: KLIK.

 

3. Wygeneruj nowy log z OTL z opcji Skanuj (na ustawieniach standardowych). Dołącz log z wynikami usuwania z punktu 1.

 

 

.

[erbi]

pkt 3 to:

 

 

 

3. Szczególnych działań wymaga wycięcie z Google Chrome odnośników aktywnych pluginów vShare. Google Chrome nie może być załadowane. W pasku adresów Windows eksplorer wklej %localappdata%\Google\Chrome\User Data\Default i ENTER. W folderze tym otwórz w Notatniku plik o nazwie Preferences, w nim wyszukaj ustęp "plugins": i wytnij te dwie partie (uważaj na zaknięcia {}, musisz zachować formułę listowania wtyczek wynikającą z ciągłości):

 

 

{

"enabled": true,

"name": "vShare.tv plug-in",

"path": "C:\\Program Files (x86)\\Mozilla Firefox\\plugins\\npvsharetvplg.dll",

"version": "1.3.0.1"

},

 

 

+

 

 

{

"enabled": true,

"name": "vShare.tv plug-in"

},

 

 

Zapisz zmiany w pliku.

 

 

 

Zamknąłem chroma (odpalam ie)

- teraz mam problem co to windows explorer

- wklejam do paska Windows internet explorer i do eksplorator windows

- za każdym razem wyskakuje ten sam komunikat: system windows nie może odnaleźć %localappdata%\Google\Chrome\User Data\Default sprawdź pisownię i spróbuj ponownie...

[picasso]

- wklejam do paska Windows internet explorer i do eksplorator windows

 

Co tu robi pasek "Internet Explorer"? Ścieżka ma być wklejona w Windows Explorer (czyli okna Mój komputer etc.) a nie Internet Explorer. Poza tym, %localappdata% to zmienna z Vista / Windows 7. Wklej tę ścieżkę:

 

C:\Documents and Settings\r.bednarz\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Default

 

 

.

[erbi]

Cały czas wypluwało błąd, w końcu znalazłem to ręcznie. Ścieżka to

C:\Documents and Settings\r.bednarz\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default

 

znalazłem, wyedytowałem, zapisałem.

w załączeniu logi.

Log z wykonania skryptu nie chciał się załączyć

skopiowałem do notatnika i wszystko jest w log.txt

OTL.Txt

log.txt

[picasso]

Przepraszam, z pośpiechu przekleiłam ścieżkę. Skrypt pomyślnie wykonany, już nic podejrzanego nie widzę. Czy to na pewno log z OTL po edycji Preferences Google Chrome? W logu nadal widać wtyczkę vShare:

 

========== Chrome  ==========
 
CHR - plugin: vShare.tv plug-in (Enabled) = C:\Documents and Settings\r.bednarz\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\kpionmjnkbpcdpcflammlgllecmejgjj\1.3_0\chvsharetvplg.dll

 

I czy zrobiłeś skanowanie za pomocą ESET? Dodatkowo, zrób pełny skan za pomocą Malwarebytes Anti-Malware i przedstaw wynikowy raport.

 

 

 

.

[erbi]

1. Źle zrobiłem edycję preferences - zapisał się po edycji jako txt

2. Poprawiłem to i teraz jest już porządku

3. Log z OTL po usunięciu wpisów w preferences w załączeniu.

 

4. Skanowanie Malwarebytes wykazało 2 problemy - usunięte

5. Logi po skanowaniu i po usunięciu w załączeniu.

 

6. Po restarcie zrobiłem jeszcze raz skanowania:

- eset - czysto

- malwarebytes - czysto

 

Chyba nam to kończy temat.

Dzięki za pomoc.

 

Zabieram się za zmiany haseł...

mbam-log-2012-06-07 (18-40-59).txt

mbam-log-2012-06-07 (19-20-30).txt

OTL.Txt

[picasso]

Ten pierwszy wynik pochodzi z kwarantanny OTL (katalog C:\_OTL), toteż się nie liczy. Drugi kieruje na KeyProwler Keylogger, którego zresztą widzę na liście zainstalowanych (to celowa instalacja?). Wykonaj końcowe porządki:

 

1. W OTL uruchom Sprzątanie, w AdwCleaner zastosuj Uninstall.

 

2. Wyczyść foldery Przywracania systemu: KLIK

 

3. Wykonaj podstawowe aktualizacje: KLIK. Wyciąg wersji z Twojej listy zainstalowanych:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java™ 6 Update 24
"{AA59DDE4-B672-4621-A016-4C248204957A}" = Skype™ 5.5
"{AC76BA86-7AD7-1045-7B44-A90100000001}" = Adobe Reader 9.0.1 - Polish
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player 11.5
"Foxit Reader" = Foxit Reader
"KLiteCodecPack_is1" = K-Lite Codec Pack 5.4.4 (Basic)

 

Przy okazji, otrzymałeś instrukcję deinstalacji wszystkich wystąpień vShare, ale na liście jest trzeci do tanga z tej serii = LiveVDO plugin 1.3.

 

 

 

.

[erbi]

1. OTL sprzątanie, Adw uninstall - zrobione

2. przywracanie zrobione

3. aktualizacje zaraz zrobię

4. Mam natomiast problem z liveVDO - Nie ma go w zakładce plugins w pliku preferences.

[picasso]

4. Mam natomiast problem z liveVDO - Nie ma go w zakładce plugins w pliku preferences.

 

Mówiłam o liście zainstalowanych w Panelu sterowania.

[erbi]

W dodaj usuń programy nie ma czegoś takiego ani niczego podobnego.

[picasso]

Pierwszy OTL Extras to pokazywał, były trzy wtyczki na liście deinstalacyjnej:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"LiveVDO plugin" = LiveVDO plugin 1.3
"vShare" = vShare Plugin
"vShare.tv plugin" = vShare.tv plugin 1.3

 

Zostały zadane do usunięcia tylko vShare. Ale skoro nie widzisz pozycji LiveVDO, to możliwe, że usunął to AdwCleaner, z którego loga do oceny nie przedstawiłeś wtedy.

 

 

.

[erbi]

Czyli wygląda, że wszystko już ok.

Dzięki za pomoc

Temat do zamknięcia.