Infekcja Sirefef

[wampirus]

Witam. Mam podobny problem jak jeden z waszych forumowiczów:

 

 

Wczoraj od godzin południowych awast co kilka minut dawał mi komunikat o zagrożeniu i przeniesieniu zainfekowanego pliku do kwarantanny. Były to naprzemiennie Win32::Sirefef-AO(Rtk) i Win 64:Sirefef-A(trj)

Wszystkie ulokowane w C:\Windows\Installer\ciąg cyfr i liter\U Avast informuje,że jest to Proces : C:\Windows\system32\services.exe a po resecie komputera zmienił sie proces na C;\Windows\system32\svchost.exe

W sumie tych blokowań za cały dzień buło około 150. W międzyczasie skanowałam komputer programem antizeroacces i TDSSKiller:

 

Avast go usuwał ale bezskutecznie i ciągle co 1 minute mam alaram. Bardzo proszę o radę jak to usunąć.

Proszę o cierpliwość i wyrozumiałoć jestem początkującym w tym temacie:)

[Landuss]

Masz nową wersję infekcji ZeroAccess (Sirefef), która zaprawia także plik services.exe. Potrzebne będą raporty.

 

1. Wykonaj standardowe logi z OTL + Gmer

 

2. Wykonaj log z OTL na warunku dostosowanym - wszystkie opcje ustaw na Brak + Żadne, w sekcji Własne opcje skanowania / skrypt wklej:

 

HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
/md5start
services.exe
/md5stop

 

Klik w Skanuj i przedstaw raport.

[wampirus]

Skany jak poniżej - nie wiem czy było prawidłowo bo robiłem to pierwszy raz ale z góry dzięi za szybką interwencję. Nie wiem czy to nie przez Diablo 3 te ROOKITY co kolwiek to jest

otl.txt

gmer.txt

[Landuss]

Jeszcze brakuje logów standardowych z OTL a więc wszystkie opcje ustawione na "Użyj filtrowania" oraz "Pliki młodsze niż 30 dni"

 

Logi wstawiaj opcją załączniki na forum.

[wampirus]

Skanowałem całość informacji

otl.txt

[Landuss]

Jeszcze o logu extras zapomniałeś... I miałeś dać log jako załącznik. Poprawiam za ciebie. Na teraz można przejść do usuwania.

 

1. Otwórz Notatnik i wklej w nim:

 

reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f
reg add HKLM\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /ve /t REG_SZ /d C:\WINDOWS\system32\wbem\wbemess.dll /f

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT

 

Plik umieść wprost na C:\.

 

2. Uruchom BlitzBlank i w karcie Script wklej:

 

DeleteFolder:

C:\WINDOWS\Installer\{ee007b84-9316-a947-f4a4-b2dc194fef69}
"C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\{ee007b84-9316-a947-f4a4-b2dc194fef69}"
 
Execute:
C:\fix.bat

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Execute Now. Zatwierdź restart komputera. BlitzBlank wygeneruje na dysku C log z usuwania.

 

3. Zaprezentuj raport z BlitzBlank oraz log z OTL na warunku dostosowanym tak jak poprzednio.

[wampirus]

Generalnie avast już nie krzyczy więc chyba się udało. Niezły z Ciebie Matrix - ja tu nic nie kumam. Wielkie DZIĘKI. Gdzie mam słać piwko ? Przyda się na EURO

 

 

BlitzBlank 1.0.0.32

File/Registry Modification Engine native application

MoveDirectoryOnReboot: sourceDirectory = "\??\c:\windows\installer\{ee007b84-9316-a947-f4a4-b2dc194fef69}", destinationDirectory = "(null)", replaceWithDummy = 0

MoveFileOnReboot: sourceFile = "\??\c:\windows\installer\{ee007b84-9316-a947-f4a4-b2dc194fef69}\@", destinationFile = "(null)", replaceWithDummy = 0

MoveDirectoryOnReboot: sourceDirectory = "\??\c:\windows\installer\{ee007b84-9316-a947-f4a4-b2dc194fef69}\L", destinationDirectory = "(null)", replaceWithDummy = 0

MoveFileOnReboot: sourceFile = "\??\c:\windows\installer\{ee007b84-9316-a947-f4a4-b2dc194fef69}\n", destinationFile = "(null)", replaceWithDummy = 0

MoveDirectoryOnReboot: sourceDirectory = "\??\c:\windows\installer\{ee007b84-9316-a947-f4a4-b2dc194fef69}\U", destinationDirectory = "(null)", replaceWithDummy = 0

MoveFileOnReboot: sourceFile = "\??\c:\windows\installer\{ee007b84-9316-a947-f4a4-b2dc194fef69}\U\00000001.@", destinationFile = "(null)", replaceWithDummy = 0

MoveDirectoryOnReboot: sourceDirectory = "\??\c:\documents and settings\administrator\ustawienia lokalne\dane aplikacji\{ee007b84-9316-a947-f4a4-b2dc194fef69}", destinationDirectory = "(null)", replaceWithDummy = 0

MoveFileOnReboot: sourceFile = "\??\c:\documents and settings\administrator\ustawienia lokalne\dane aplikacji\{ee007b84-9316-a947-f4a4-b2dc194fef69}\@", destinationFile = "(null)", replaceWithDummy = 0

MoveDirectoryOnReboot: sourceDirectory = "\??\c:\documents and settings\administrator\ustawienia lokalne\dane aplikacji\{ee007b84-9316-a947-f4a4-b2dc194fef69}\L", destinationDirectory = "(null)", replaceWithDummy = 0

MoveFileOnReboot: sourceFile = "\??\c:\documents and settings\administrator\ustawienia lokalne\dane aplikacji\{ee007b84-9316-a947-f4a4-b2dc194fef69}\n", destinationFile = "(null)", replaceWithDummy = 0

MoveDirectoryOnReboot: sourceDirectory = "\??\c:\documents and settings\administrator\ustawienia lokalne\dane aplikacji\{ee007b84-9316-a947-f4a4-b2dc194fef69}\U", destinationDirectory = "(null)", replaceWithDummy = 0

LaunchOnReboot: launchName = "\fix.bat", commandLine = "c:\fix.bat"

OTL.Txt

[Landuss]

Brak uprawnień oznacza, że próbujesz załączać plik z rozszerzeniem .log a nie .txt. Wystarczy zmienić rozszerzenie. Poza tym to jeszcze nie koniec.

 

Dla potwierdzenia wykonaj log z OTL na warunku - wszystkie opcje ustaw na Brak + Żadne, w sekcji Własne opcje skanowania / skrypt wklej:

 

HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s

[wampirus]

W załączeniu zgodnie z zaleceniami.

Czy wszystko jest ok?

OTL.Txt

[Landuss]

Jest prawie OK. Teraz jeszcze trzeba tu wyczyścić inne odpadki.

 

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)"
FF - prefs.js..browser.search.defaulturl: "http://search.babylo...search&AF=15627"
FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"
FF - prefs.js..browser.search.selectedEngine: "Search the web (Babylon)"
FF - prefs.js..keyword.URL: "http://search.babylo...rtrp&AF=15627="
[2011-10-03 01:07:37 | 000,000,000 | ---D | M] (SFT_Polska Community Toolbar) -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\jf59azqd.default\extensions\{5c5b9468-d672-4eb7-b52f-b5afabf28c5b}
[2009-10-31 11:20:50 | 000,002,255 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\jf59azqd.default\searchplugins\askcom.xml
[2009-11-03 09:58:41 | 000,002,059 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\jf59azqd.default\searchplugins\daemon-search.xml
[2009-06-14 15:44:42 | 000,000,000 | ---D | M] (ArcaBit Ext.) -- C:\Program Files\Mozilla Firefox\extensions\arcabit@www.arcabit.pl
[2011-01-22 23:20:21 | 000,002,226 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml
O3 - HKU\S-1-5-21-1275210071-839522115-698054696-500\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O4 - HKU\S-1-5-21-1275210071-839522115-698054696-500..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\DTLite.exe" -autorun File not found
O4 - HKU\S-1-5-21-1275210071-839522115-698054696-500..\Run: [EA Core] "C:\Program Files\Electronic Arts\EADM\Core.exe" -silent File not found
O4 - HKU\S-1-5-21-1275210071-839522115-698054696-500..\Run: [RegistryBooster] "C:\Program Files\Uniblue\RegistryBooster\launcher.exe" delay 20000  File not found
O4 - HKU\S-1-5-21-1275210071-839522115-698054696-500..\Run: [Rubin] C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Rubin\rubin.exe silent File not found
[2012-06-04 23:23:44 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Menu Start\Programy\Sophos
[2012-06-04 23:23:43 | 000,000,000 | ---D | C] -- C:\Program Files\Sophos
 
:Services
RichVideo
nSvcIp
IDriverT
ForceWare Intelligent Application Manager (IAM)
CTAudSvcService
Creative Service for CDROM Access
Creative Media Toolbox 6 Licensing Service
Creative Audio Engine Licensing Service
AVTasks2
Sunkfiltp
SunkFilt62
SunkFilt6
sptd
NVTCP
npkcrypt
MEMSWEEP2
MagicTune
fwnciaob
EagleNT
DVC
cpuz132
 
:Reg
[-HKEY_USERS\S-1-5-21-1275210071-839522115-698054696-500\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}]
[-HKEY_USERS\S-1-5-21-1275210071-839522115-698054696-500\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}]
[-HKEY_USERS\S-1-5-21-1275210071-839522115-698054696-500\Software\Microsoft\Internet Explorer\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}]
[-HKEY_USERS\S-1-5-21-1275210071-839522115-698054696-500\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez ekstras)

[wampirus]

Wszystko wykonałem tylko na końcu nie chciał się wylogować komputer czekałem 7 minut i go zresetowałem mam nadzieje, że to nie spowodowało zakłuceń.

Podaje log z OTL z uastawieniami brak i żaden - nie wiem co oznacza - "bez ekstras". Dodatkowo cosik się zapisało w notatniku po restarcie to też wklejam.

Jakiś usb mi usunął ale to sobie dogram.

 

Czy teraz śmiga maszynka prawidłowo ?

PS. Widze, że dla Ciebie 6 rano to chleb powszedni, ja to jeszcze o tej godzinie mam restart mojego zaśimieconego procesorka Zakładam, że jesteś po 40 i mało pijesz alkoholu:)

 

Po tych zmianach pojawił się mały problem związany z ikonami na pulpicie. Ciągle wyrównuje mi do lewej strony - do siatki. Jak zmieniam opcje na pulpicie we właściwościach - odznaczam wyrównaj do siatki to po odświeżeniu dalej wyrónuje do lewej strony. Po restarcie kompa zwsze zmienia mi wyrównaj do siatki. Jak to zmienić ?

OTL.Txt

TXT.txt

[wampirus]

Zrobiłem przywracanie systemu z przed tej ostatniej zmiany bo pojawiło się jeszcze innych pare drobnych problemów - między innymi dxwiek na telwizorze zanikł i torrent nie działa. I tu mam pytanie czy jak zostawie kompa bez czyszczenia innych odpadków to będzie ok ? Czy jednak lepiej oczyścić te pozostałości ?

[Landuss]

Skoro było tu użyte Przywracanie systemu to wykonaj mi aktualne nowy log z OTL.

[wampirus]

To jest nowy log z OTL po przywróceniu systemu.

OTL.Txt

[Landuss]

Mój skrypt kilka postów wyżej aktualny. Na chwilę obecną musisz go wykonać ponownie. Jak wykonasz zaprezentuj nowy log.

[wampirus]

Zrobiłem jak wyżej. I znowu ikonki sie na stałe przestawiły jak w wojsku Ale ok daje log:

OTL.Txt

[Landuss]

Z ikonami to żaden problem - PPM na Pulpicie > Widok i wyłącz "Autorozmieszczanie ikon" + "Wyrównaj do siatki"

 

Skrypt zaś pomyślnie wykonany. Można kończyć sprawę.

 

1. Użyj opcji Sprzątanie z OTL.

 

2. Opróżnij folder przywracania systemu: KLIK

 

3. Jako, ze był tu rootkit zmień sobie hasła logowania do serwisów w sieci

[wampirus]

No właśnie te ikonki mimo wyłączenie tych 2 opcji dalej po restarcie i odświeżeniu wracjają na lewą stronę i chyba ściągne jakiś program do utrzymania ich w ryzach.

 

Pozdrawiam i dzięki za wszystko.

[Landuss]

A opcję "Wyrównaj do siatki" zaznacz i sprawdź efekty.

[wampirus]

http://forum.dobrepr...ny-t272968.html

 

Cały czas po odświeżeniu skaczą na lewą stronę. Zrobiłem wszystko z linka ale dalej też nic. Morał z tego taki że to eksplorator uszkodzony ale nie mam windowsa do swojego to nie naprawie. Pozostanei mi program iconrestore jaki sobie wgrałem ale za każdym włączeniem kompa będę musiał go włączać.

 

Dlatego zastanawiałem się czy te ostatnie zaproponowane przez Ciebie czyszczenie jest konieczne. Ale zostawie tak jak jest.

[Landuss]

Po infekcji zawsze powinno się opróżniać przywracanie bo tam są kopie szkodników zapisywane. Ja nic nie podaje bez powodów. A może spróbuj takiego małego programu DeskSave: http://www.desksave....dex.php?lang=en

[wampirus]

Działa na tej samej zasadzie jak wcześniejszy ale dzięki. Lepiej zrobić jeden restart przy włączeniu niż mieć wirusa tym bardziej, że Diablo 3 niedługo będzie. Dzięki za wszystko.

[picasso]

Post #11:

 

Po tych zmianach pojawił się mały problem związany z ikonami na pulpicie. Ciągle wyrównuje mi do lewej strony - do siatki. Jak zmieniam opcje na pulpicie we właściwościach - odznaczam wyrównaj do siatki to po odświeżeniu dalej wyrónuje do lewej strony. Po restarcie kompa zwsze zmienia mi wyrównaj do siatki. Jak to zmienić ?

 

Post #22:

 

Cały czas po odświeżeniu skaczą na lewą stronę. Zrobiłem wszystko z linka ale dalej też nic. Morał z tego taki że to eksplorator uszkodzony ale nie mam windowsa do swojego to nie naprawie. Pozostanei mi program iconrestore jaki sobie wgrałem ale za każdym włączeniem kompa będę musiał go włączać.

 

Te rzeczy z linka w ogóle tu nie pasują, a explorer.exe nie jest wcale uszkodzony. Ten defekt produkuje właśnie klucz HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} trojana ZeroAcceess, tematy z forum: KLIK + KLIK. U Ciebie ten klucz został już usunięty. Ale wystąpiła dodatkowa usterka, Landuss się pomylił i w poście numer #10 usunął z rejestru prawidłowy klucz MruPidlList (ma ten sam numer co ten od ZeroAccess, ale jest w innym miejscu HKEY_LOCAL_MACHINE):

 

:Reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

 

To jest przyczyna niemożności zapamiętania widoku / układu ikon. Rekonstrukcja wpisu:

 

1. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]
@="MruPidlList"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\
  00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,00,68,00,\
  64,00,6f,00,63,00,76,00,77,00,2e,00,64,00,6c,00,6c,00,00,00
"ThreadingModel"="Apartment"

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik

 

2. Zresetuj system.

 

 

.

[wampirus]

WOW. To faktycznie pomogło. Chylę czoła. Czułem, że Landuss cosik przeoczył, ale co się dziwić jak codziennie o 6 rano wstaje .

 

Naprawdę wam dziękuję za pomoc i poświęcony dla mnie czas. Wysłał bym wam sms za 5 zł dziękując za pomoc ale nie wiem czy macie taką opcję, może warto o tym pomyśleć.

 

Hejka - ta ikonka była najfajniejsza:)

[picasso]

Wysłał bym wam sms za 5 zł dziękując za pomoc ale nie wiem czy macie taką opcję, może warto o tym pomyśleć.

 

Forum można wspomóc przez dotacje.

 

Temat rozwiązany, zamykam.

 

 

 

.