Sirefef

[McPicante]

mam to co inni, czyli Sirefef. Przeskanowałem komputer OTL z ustawieniami zalecanymi innym użytkownikom tego wirusa, poniżej wklejam log:

 

OTL logfile created on: 06-06-2012 08:07:13 - Run 1

OTL by OldTimer - Version 3.2.46.1 Folder = C:\Documents and Settings\Florida\Desktop

Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 8.0.6001.18702)

Locale: 00000415 | Country: Poland | Language: PLK | Date Format: dd-MM-yyyy

 

511,36 Mb Total Physical Memory | 128,55 Mb Available Physical Memory | 25,14% Memory free

1,22 Gb Paging File | 0,64 Gb Available in Paging File | 52,73% Paging File free

Paging file location(s): C:\pagefile.sys 768 1536 [binary data]

 

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Program Files

Drive C: | 37,26 Gb Total Space | 14,85 Gb Free Space | 39,86% Space Free | Partition Type: NTFS

Drive D: | 37,26 Gb Total Space | 25,11 Gb Free Space | 67,38% Space Free | Partition Type: NTFS

 

Computer Name: LAPTOP | User Name: Florida | Logged in as Administrator.

Boot Mode: Normal | Scan Mode: Current user

Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days

 

========== Custom Scans ==========

 

< HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s >

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32]

"ThreadingModel" = Both

"" = C:\Documents and Settings\Florida\Local Settings\Application Data\{a4d12235-cb25-5b0d-d1e1-3bc591372c76}\n. -- [2009-02-09 12:20:33 | 000,053,248 | -HS- | M] ()

 

< HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s >

"" = Microsoft WBEM New Event Subsystem

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32]

"" = \\.\globalroot\systemroot\Installer\{a4d12235-cb25-5b0d-d1e1-3bc591372c76}\n.

"ThreadingModel" = Both

< End of report >

[picasso]

mam to co inni, czyli Sirefef. Przeskanowałem komputer OTL z ustawieniami zalecanymi innym użytkownikom tego wirusa

 

Proszę nie iść na skróty, zasady działu (KLIK) i ustęp "Zarzucić całkowicie wzornictwo na innych tematach". Startowo są obowiązkowe logi pełne (ogólne sprawdzenie pod kątem widoczności innych infekcji / adware / ustawień systemu), skan punktowy jest zadawany dopiero w dalszej fazie. Wybrałeś sobie tylko ten skan, a Sirefef to nie tylko te składniki, są możliwe dodatkowe modyfikacje. Musi być pełny ogląd.

- Czyli OTL ma być skonfigurowany wg wytycznych w przyklejonym temacie (KLIK) tzn. wszystkie opcje na Użyj filtrowania, i oprócz tego wklejasz do okna to co tu już robiłeś. Wynikowo powstaną dwa logi.

- Obowiązkowy jest pełny skan na rootkity GMER

 

Wszystkie logi proszę wstaw jako załączniki w pierwszym poście, a ja zedytuję tu swój ustosunkowując się do tego co widzę.

 

 

 

.

[McPicante]

Przeskanowałem Gmerem i OTL i jak mam załączyć logi ?

[picasso]

W edytorze > Więcej opcji > funkcja załączania plików.

[McPicante]

Załączam raporty

OTL.Txt

Extras.Txt

gmer.txt

[picasso]

Ten system jest zaśmiecony także odpadkami innych wcześniejszych i niedokładnie wyczyszczonych infekcji.

 

 

1. Otwórz Notatnik i wklej w nim:

 

reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f
reg add HKLM\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /ve /t REG_SZ /d C:\WINDOWS\system32\wbem\wbemess.dll /f
red delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyServer /f
reg delete "HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Shell /f
reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Taskman /f
reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v kulor /f
reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v UIUCU /f
reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v dagipoo /f
reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v ClearLogicStartUp /f
reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v KernelFaultCheck /f
reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v NWEReboot /f
reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{CCA281CA-C863-46ef-9331-5C8D4460577F}" /f
sc delete u7oyecyy
sc delete na6y7vea9hxjou
sc delete axaoo3ewlpvme
sc delete eabfiltr
sc delete BTWDNDIS
sc delete BTSLBCSP
sc delete BTSERIAL
sc delete BTKRNL
sc delete BTDriver
sc delete vsdatant

 

Adnotacja dla innych czytających: batch unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT

 

Plik umieść wprost na C:\.

 

2. Uruchom BlitzBlank i w karcie Script wklej:

 

DeleteFolder: 

"C:\Documents and Settings\Florida\Local Settings\Application Data\{a4d12235-cb25-5b0d-d1e1-3bc591372c76}"
C:\Windows\Installer\{a4d12235-cb25-5b0d-d1e1-3bc591372c76}
 
Execute: 
C:\fix.bat

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Execute Now. Zatwierdź restart komputera. Przed ekranem z logo Windows powinien pojawić się ekran z działaniami BlitzBlank. Finalnie BlitzBlank wygeneruje na dysku C log.

 

3. Zastosuj AdwCleaner z opcji Delete.

 

4. Wklej do posta zawartość raportu BlitzBlank, dołącz log wygenerowany przez AdwCleaner. Zrób nowe logi: OTL z opcji Skanuj, Farbar Service Scanner z wszystkimi opcjami zaznaczonymi oraz szukanie w SystemLook na warunki:

 

:folderfind

{a4d12235-cb25-5b0d-d1e1-3bc591372c76}
 
:regfind
{a4d12235-cb25-5b0d-d1e1-3bc591372c76}

 

 

.

[McPicante]

Tylko dla SystemLook zrobiłem warunki. Dla OTL, FSS nie wstawiałem tych warunków. Czy dobrze ?

Steave Jobs zatrudniłby Ciebie na stanowisku dyrektora :-)

 

SystemLook 30.07.11 by jpshortstuff

Log created at 23:30 on 12/06/2012 by Florida

Administrator - Elevation successful

 

========== folderfind ==========

 

Searching for "{a4d12235-cb25-5b0d-d1e1-3bc591372c76}"

No folders found.

 

========== regfind ==========

 

Searching for "{a4d12235-cb25-5b0d-d1e1-3bc591372c76}"

No data found.

 

-= EOF =-

AdwCleanerS1.txt

blitzblank.txt

FSS.txt

OTL.Txt

Extras.Txt

[picasso]

Tak, tylko do SystemLook miały zostać wklejone warunki. Usuwanie pomyślnie wykonane. Kolejny etap to odtworzenie usług skasowanych przez trojana.

 

1. Drobna poprawka. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
 
:OTL
SRV - File not found [Auto | Stopped] -- C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe -- (btwdins)
FF - prefs.js..extensions.enabledItems: ffxtlbr@babylon.com:1.2.0
O4 - HKLM..\Run: []  File not found
O4 - HKCU..\Run: []  File not found
O8 - Extra context menu item: Send To &Bluetooth - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm File not found
O20 - Winlogon\Notify\dimsntfy: DllName - (Reg Error: Value error.) - Reg Error: Value error. File not found
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami.

 

2. Zrekonstruuj Zaporę systemu Windows i Centrum zabezpieczeń: KLIK.

 

3. Zresetuj system i zrób nowy log z Farbar Service Scanner. Dołącz log z usuwania OTL powstały w punkcie 1.

 

 

 

.

[McPicante]

nowe logi OTL i FSS

OTL.Txt

FSS.txt

[picasso]

Skrypt przetworzony. Natomiast log z Farbar Service Scanner pokazuje, że jest wyłączony system Przywracania systemu (to celowe?) oraz skasowana z rejestru usługa Centrum zabezpieczeń (to raczej robota infekcji). Odtwórz usługę Centrum zabezpieczeń:

 

1. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc]
"Type"=dword:00000020
"Start"=dword:00000002
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"DisplayName"="Centrum zabezpieczeń"
"DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,77,00,69,00,6e,00,\
  6d,00,67,00,6d,00,74,00,00,00,00,00
"ObjectName"="LocalSystem"
"Description"="Monitoruje ustawienia zabezpieczeń i konfiguracje systemu."
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Parameters]
"ServiceDll"=hex(2):25,00,53,00,59,00,53,00,54,00,45,00,4d,00,52,00,4f,00,4f,\
  00,54,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
  77,00,73,00,63,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
  00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
  00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
  05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
  20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
  00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
  00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Enum]
"0"="Root\\LEGACY_WSCSVC\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik

 

2. Zresetuj system i ponownie wygeneruj log z Farbar Service Scanner.

 

 

 

.

[McPicante]

witam,

Przywracanie systemu włączyłem. Avast nie wykrywa mi już wirusów.

FSS.txt

[picasso]

Usługa prawidłowo odbudowana. Końcowe czyszczenie:

 

1. Porządki po narzędziach: w AdwCleaner użyj Uninstall + w OTL uruchom Sprzątanie. Ręcznie dokasuj pozostałe używane narzędzia.

 

2. Potwierdzający skan: czy w Avast robiłeś tzw. pełne skanowanie a nie ekspresowe? Dodatkowo, przeskanuj jeszcze system Malwarebytes Anti-Malware i zgłoś się tu z wynikami.

 

 

 

.

[McPicante]

Avast w pełnym skanowaniu nie znalazł niczego.

Natomiast Malwarebytes znalazł 3 trojany. Załaczam jego log

mbam-log-2012-06-14 (23-14-53).txt

[picasso]

To wyniki z Kosza. Skasuj cały Kosz (zregeneruje się przy próbie usuwania czegoś):

 

Start > Uruchom > cmd i wpisz komendę: rd /s /q C:\RECYCLER

 

Jako ukończenie tematu jest wymagane:

 

1. Aktualizacje: KLIK. Krytyczny poziomu zabezpieczeń systemowych, tylko SP2 (!), pozostałe programy też do aktualizacji:

 

Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31
"{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.8
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player 11.6
"Mozilla Firefox 12.0 (x86 pl)" = Mozilla Firefox 12.0 (x86 pl)

 

2. Na wszelki wypadek wymiana haseł logowania w serwisach.

 

 

 

.

[McPicante]

Te trojany usunałem bezposrednio tym programem antywirusowym i załączam log, który po usunieciu się wygenerował. Ten program jest lepszy od Avasta, jako zabezpieczenie kompa, skoro wykrył ?

mbam-log-2012-06-14 (22-07-29).txt

[picasso]

Log mi już z tego nie był potrzebny. A cały katalog Kosza mimo wszystko usuń jak mówię powyżej.

 

 

Ten program jest lepszy od Avasta, jako zabezpieczenie kompa, skoro wykrył ?

 

Nie. To jest nieco inny typ programu niż klasyczny antywirus. Może stanowić uzupełnienie do Avasta (okresowe skanowanie ręczne), ale nie jego zastępstwo.

 

 

.

[McPicante]

gdy wpisalem komendę na czyszczenie kosza, uzyskałem odpowiedź:

c:\recycler\s-1-5-~3\Dc3 - Acces is denied

c:\recycler\s-1-5-~3\Dc4 - Acces is denied

[picasso]

W linii komend wklej po kolei te komendy:

 

cacls C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\Dc3 /E /G Everyone:F

cacls C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\Dc4 /E /G Everyone:F

 

Po tym ponów komendę usuwania folderu Kosza.

 

 

 

.

[McPicante]

uzyskuję komunikaty:

"The system cannot find the path specified"

 

po zainstalowaniu nowego IE, nie otwierają się strony https://

Strony http:// otwierają się normalnie

[picasso]

McPicante, do uzupełniania odpowiedzi, gdy nikt jeszcze nie odpisał, służy opcja Edytuj. Posty sklejam.

 

 

uzyskuję komunikaty:

"The system cannot find the path specified"

 

Podaj dir katalogu Kosza. Start > Uruchom > cmd i wklej komendę:

 

dir /a C:\RECYCLER > C:\LOG.TXT

 

Przeklej do posta zawartość pliku C:\LOG.TXT.

 

po zainstalowaniu nowego IE, nie otwierają się strony https://

Strony http:// otwierają się normalnie

 

Jaki błąd? Zrób przerejestrowanie bibliotek IE za pomocą tego skryptu: KLIK.

 

 

.

Edytowane 27 Sierpnia 2012 przez picasso
27.08.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso