Win32.sirefef,malwer-m, rootkit w services, LiveSecurityPlatinum

[ZainfekowanyKuba]

Witam,

 

Próbowałem się uporać z w/w osobnikami jednak nie jestem do końca pewny czy wszystkie infekcje udało mi się usunąć.

Avast już nie zgłasza rozprzestrzeniania.

 

Czy mógłbym prosić o przeanalizowanie logów z combofixa , otl , gmer ?

 

Log z combofix:

Log_combofix.txt

 

Log z OTL:

OTL.Txt

 

Log z gmer:

gmer.txt

 

Dziękuję za pomoc

[picasso]

Niepełny log z OTL, brakuje pliku Extras (opcja "Rejestr - skan dodatkowy" nie została ustawiona na "Użyj filtrowania"). Na przyszłość informacje na temat używania ComboFix w zaciszu domowym: KLIK. Uporanie się z infekcją pozorowane. ComboFix wykrył zainfekowany services.exe i w ogóle go nie podmienił:

 

c:\windows\system32\Services.exe . . . jest zainfekowany!!

 

Zostały skasowane jedynie poboczne elementy. Zmodyfikowany plik systemowy jest głównym motorem tego wariantu infekcji i będzie regenerował wszystko. Proszę o skan dostosowany. Uruchom SystemLook, w oknie wklej:

 

:reg
HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
 
:filefind
services.exe

 

Klik w Look i przedstaw wynikowy raport.

 

 

 

.

[ZainfekowanyKuba]

Dziękuje Ci za zainteresowanie i odpowiedź.

 

Log z SystemLook:

 

SystemLook 30.07.11 by jpshortstuff

Log created at 10:55 on 13/06/2012 by Surax

Administrator - Elevation successful

 

========== reg ==========

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

(Unable to open key - key not found)

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}]

@="Microsoft WBEM New Event Subsystem"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32]

@="%systemroot%\system32\wbem\wbemess.dll"

"ThreadingModel"="Both"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

@="MruPidlList"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]

@="%SystemRoot%\system32\shell32.dll"

"ThreadingModel"="Apartment"

 

 

========== filefind ==========

 

Searching for "services.exe"

C:\Windows\System32\services.exe --a---- 259072 bytes [23:11 13/07/2009] [01:14 14/07/2009] A302BBFF2A7278C0E239EE5D471D86A9

C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_cf36168b2e9c967b\services.exe --a---- 259072 bytes [23:11 13/07/2009] [01:14 14/07/2009] 5F1B6A9C35D3D5CA72D6D6FDEF9747D6

 

-= EOF =-

 

Log z OTL - Extras:

Extras.Txt

[picasso]

Skan z SystemLook tylko potwierdza to co powiedziałam. Plik services.exe jest zainfekowany. Plik należy naprawić:

 

1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator. Wklej komendę:

 

sfc /scanfile=C:\Windows\system32\services.exe

 

Zresetuj system.

 

2. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator. Wklej komendę:

 

findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt

 

Otworzy się log, dołącz go.

 

3. Powtórz szukanie w SystemLook na warunek:

 

:filefind
services.exe

 

 

.

[ZainfekowanyKuba]

Zrobione!

 

Log SFC.txt

sfc.txt

 

Log z systemlook:

SystemLook.txt

[picasso]

Plik pomyślnie wyleczony, pełna zgodność sum kontrolnych. Przechodzimy do kolejnych operacji:

 

1. Czyszczenie szczątków i lokalizacji tymczasowych. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\ProgramData\F4D55F1700018DEF236E449FB4EB238B
C:\Users\Surax\AppData\Local\{c3550699-e0cd-dbf1-308b-1da3878246ab}
 
:Services
cpu
catchme
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami usuwania. Przedstaw ten log.

 

2. Uruchamiałeś ComboFix, który wykonuje pewne naprawy, ale na wszelki wypadek dodaj log z Farbar Service Scanner (wszystkie opcje zaznacz).

 

 

.

[ZainfekowanyKuba]

Wykonałem skrypt, komputer uruchomił się ponownie.

 

Log z OTL:

06132012_121235.txt

 

Log z FSS:

FSS.txt

[picasso]

Skrypt wykonany, to tyle w kwestii ręcznego usuwania. Jednakże log z Farbar Service Scanner wykazuje, że szkody tu są. Konkretnie: całkowicie skasowana z rejestru usługa Zapory systemu Windows MpsSvc. Ponadto, narzędzie notuje politykę IPSEC i nasuwa się pytanie skąd ona tu (czy ręcznie ją wprowadzałeś):

 

ATTENTION!=====> local policy on IP: 
Key: "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local"
Vlue: "ActivePolicy"
Data: "SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{bde75d38-0174-4271-8486-5340d9ab9cad}"

 

1. Jeżeli nie wprowadzałeś polityki IPSEC, usuń ją. Otwórz Notatnik i wklej:

 

Windows Registry Editor Version 5.00
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku Scal

 

2. Wykonaj rekonstrukcję usługi MpsSvc (import do rejestru + uprawnienia SetACL): KLIK.

 

3. Zresetuj system i wygeneruj nowy log z Farbar Service Scanner.

 

 

 

.

[ZainfekowanyKuba]

Wykonane.

 

Log z FFS:

FSS.txt

[picasso]

Polityka zniknęła, usługa Zapory wróciła do rejestru, ale ma status zatrzymany. Czy na pewno przywróciłeś uprawnienia klucza MpsSvc przez SetACL, czy na pewno to log po restarcie systemu? Jeśli oba warunki są spełnione, wejdź do services.msc i spróbuj ręcznie uruchomić usługę Zapora systemu Windows. Podaj jaki błąd zwraca (kod błędu 5?) ta operacja.

[ZainfekowanyKuba]

Faktycznie przy próbie uruchomienia ręcznie zwracany jest kod błędu nr 5 .

 

Podaje jeszcze raz scan FFS:

FSS.txt

 

Bardzo dziękuję Ci za dotychczasową pomoc . Jesteś po prostu najlepsza !

[picasso]

Kod błędu numer 5 = wróć do instrukcji rekonstrukcji Zapory i wykonaj odtwarzanie usługi SharedAccess, tzn. import pliku REG do rejestru + zrzucanie uprawnień przez SetACL. Po tym restart systemu i zweryfikuj w services.msc czy usługa Zapory żyje.

[ZainfekowanyKuba]

Zapora działa. Wszystko gra. Pacjent wyleczony.

 

Dzieki !

[picasso]

Na koniec należy:

 

1. Wykonać prawidłową deinstalację ComboFix (co czyści i foldery Prztwracania systemu). Klawisz z flagą Windows + R i w polu Uruchom wklej:

 

d:\programy\ComboFix.exe /uninstall

 

Gdy polecenie się wykona, możesz zastosować Sprzątanie w OTL. Ręcznie dokasuj inne używane narzędzia.

 

2. Drobne aktualizacje (KLIK), konkretnie mam na myśli te pozycje (wersji Adobe nie widzę = sprawdź ręcznie):

 

Internet Explorer (Version = 8.0.7601.17514)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216026FF}" = Java™ 6 Update 26
"{26A24AE4-039D-4CA4-87B4-2F83217000FF}" = Java™ 7
"{90120000-0015-0415-0000-0000000FF1CE}_ENTERPRISE_{79EB535E-76E4-4356-8146-A24EE55AB69D}" = Microsoft Office 2007 Service Pack 2 (SP2)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Mozilla Thunderbird 12.0.1 (x86 pl)" = Mozilla Thunderbird 12.0.1 (x86 pl)

 

3. Prewencyjna zmiana haseł logowania w serwisach.

 

 

 

.