Win64:Sirefef-A [Trj]/Win32:Sirefef-AO [Rtk]

[kobieta]

Witam.

Bardzo proszę o pomoc w pozbyciu się zagrożeniu w postaci Win32::Sirefef-AO(Rtk) i Win 64:Sirefef-A(trj)

Zainfekowane pliki ulokowane są w C:\WINDOWS\Installer\{f38f99b4-b539-802b-d990-92cd970b3494}\U

Avast informuje również o procesie C:\Windows\system32\svchost.exe

 

Zamieszczam logi z programów OTL oraz GMER (mam nadzieję, że wszystko zrobiłam jak potrzeba):

 

Z góry dziękuję za pomoc i wyrozumiałość

OTL szybki skan.Txt

Gmer.txt

[Landuss]

Na systemie jest infekcja ZeroAccess co potwierdza też Gmer:

 

---- Processes - GMER 1.0.15 ----

 

Library c:\windows\system32\n (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [992]

 

Standardowo wymagany tu jest jeszcze jeden raport na dodatkowym warunku - uruchom OTL wszystkie opcje ustaw na Żadne + Brak natomiast w okno Własne opcje skanowania / skrypt wklej:

 

HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
/md5start
services.exe
/md5stop

 

Klikasz w Skanuj i prezentujesz wynikowy raport.

[kobieta]

Czy o taki wynik chodziło?

OTL.Txt

[Landuss]

O to chodziło. Teraz można przejść do usuwania.

 

1. Otwórz Notatnik i wklej w nim:

 

reg add HKLM\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /ve /t REG_SZ /d C:\WINDOWS\system32\wbem\wbemess.dll /f

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT

 

Plik umieść wprost na C:\.

 

2. Uruchom BlitzBlank i w karcie Script wklej:

 

DeleteFolder:

C:\WINDOWS\Installer\{f38f99b4-b539-802b-d990-92cd970b3494}
 
Execute:
C:\fix.bat

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Execute Now. Zatwierdź restart komputera. BlitzBlank wygeneruje na dysku C log z usuwania.

 

3. Zaprezentuj raport z BlitzBlank oraz log z OTL na warunku dostosowanym tak jak poprzednio.

[kobieta]

Otrzymane wyniki:

 

 

BlitzBlank 1.0.0.32

 

File/Registry Modification Engine native application

MoveDirectoryOnReboot: sourceDirectory = "\??\c:\windows\installer\{f38f99b4-b539-802b-d990-92cd970b3494}", destinationDirectory = "(null)", replaceWithDummy = 0

MoveFileOnReboot: sourceFile = "\??\c:\windows\installer\{f38f99b4-b539-802b-d990-92cd970b3494}\@", destinationFile = "(null)", replaceWithDummy = 0

MoveDirectoryOnReboot: sourceDirectory = "\??\c:\windows\installer\{f38f99b4-b539-802b-d990-92cd970b3494}\L", destinationDirectory = "(null)", replaceWithDummy = 0

MoveFileOnReboot: sourceFile = "\??\c:\windows\installer\{f38f99b4-b539-802b-d990-92cd970b3494}\n", destinationFile = "(null)", replaceWithDummy = 0

MoveDirectoryOnReboot: sourceDirectory = "\??\c:\windows\installer\{f38f99b4-b539-802b-d990-92cd970b3494}\U", destinationDirectory = "(null)", replaceWithDummy = 0

LaunchOnReboot: launchName = "\fix.bat", commandLine = "c:\fix.bat"

OTL.Txt

[Landuss]

Wszystko poprawnie wykonane i problemy powinny ustąpić. Przejdź do finalizowania:

 

1. Użyj opcji Sprzątanie z OTL.

 

2. Opróżnij folder przywracania systemu: KLIK

 

3. Możesz wykonać skan przez Malwarebytes Anti-Malware

 

4. Zmień hasła logowania do serwisów w sieci.

[kobieta]

1. Sprzątanie za pomocą OTL wykonane.

2. Przywracanie systemu wyłączone.

3. Pełny skan wykonany przez Malwarebytes Anti-Malware, który coś znalazł, ale mam nadzieję, że skutecznie usunął.

4. Z hasłami będzie ciekawie, bo sporo tego jest:)

5. Avast w końcu przestał mi "dokuczać"

 

Jestem mega wdzięczna za fachowe rady. Dziękuję za poświęcony czas i natychmiastową pomoc

Pozdrawiam serdecznie