krzemyk Opublikowano 17 Czerwca 2012 Zgłoś Udostępnij Opublikowano 17 Czerwca 2012 Witam. Dziś po włączeniu komputera Avast wykrył, że mam następujące trojany: Win32:Malware-gen Win32:Sirefef-AO [Rtk] Win64:Sirefef-A [Trj] Proszę o pomoc. Dołączam logi, które są potrzebne: OTL.Txt Extras.Txt gmer.txt Odnośnik do komentarza
Landuss Opublikowano 17 Czerwca 2012 Zgłoś Udostępnij Opublikowano 17 Czerwca 2012 W logach ZeroAccess (Sirefef) w najnowszej wersji co potwierdza Gmer: Library c:\windows\system32\n (*** hidden *** ) @ C:\WINDOWS\Explorer.EXE [756] Co ciekawe tu jest też ślad starszej wersji tej infekcji - link symboliczny: ========== Hard Links - Junction Points - Mount Points - Symbolic Links ========== [C:\WINDOWS\$NtUninstallKB24475$] -> Error: Cannot create file handle -> Unknown point type Na początek należy zacząć od pokazania dodatkowego raportu - Uruchom SystemLook, w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look i przedstaw wynikowy log. Odnośnik do komentarza
krzemyk Opublikowano 17 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 17 Czerwca 2012 Dzięki za szybką odpowiedź. Proszę, oto log: SystemLook 30.07.11 by jpshortstuff Log created at 18:25 on 17/06/2012 by Krzemyk Administrator - Elevation successful ========== reg ========== [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] (No values found) [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32] "ThreadingModel"="Both" @="C:\Documents and Settings\Krzemyk\Local Settings\Application Data\{03c2c37e-7aba-17ff-5e6e-a890f7cf63c3}\n." [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}] @="Microsoft WBEM New Event Subsystem" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] @="C:\WINDOWS\system32\wbem\wbemess.dll" "ThreadingModel"="Both" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] (Unable to open key - key not found) ========== filefind ========== Searching for "services.exe" C:\WINDOWS\ServicePackFiles\i386\services.exe -----c- 108544 bytes [00:12 14/04/2008] [00:12 14/04/2008] 0E776ED5F7CC9F94299E70461B7B8185 C:\WINDOWS\system32\services.exe --a---- 110592 bytes [10:00 04/08/2004] [11:11 06/02/2009] 65DF52F5B8B6E9BBD183505225C37315 C:\WINDOWS\system32\dllcache\services.exe -----c- 110592 bytes [07:09 16/04/2009] [11:11 06/02/2009] 65DF52F5B8B6E9BBD183505225C37315 -= EOF =- Odnośnik do komentarza
Landuss Opublikowano 17 Czerwca 2012 Zgłoś Udostępnij Opublikowano 17 Czerwca 2012 1. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] @="MruPidlList" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] @=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\ 00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,00,68,00,\ 64,00,6f,00,63,00,76,00,77,00,2e,00,64,00,6c,00,6c,00,00,00 "ThreadingModel"="Apartment" Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik 2. Uruchom GrantPerms, w oknie wklej: C:\WINDOWS\$NtUninstallKB24475$ C:\Windows\System32\drivers\etc\hosts Klik w Unlock. 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files attrib -r -s -h C:\Windows\System32\drivers\etc\hosts /C C:\Windows\system32\fsutil.exe reparsepoint delete C:\WINDOWS\$NtUninstallKB24475$ /C rd /s /q C:\Windows\$NtUninstallKB24475$ /C reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f /C C:\Documents and Settings\All Users\Application Data\F4D55F0E000D3E5D00715E6CD151FC84 C:\Documents and Settings\Krzemyk\Local Settings\Application Data\{03c2c37e-7aba-17ff-5e6e-a890f7cf63c3} :OTL FF - prefs.js..browser.search.defaultenginename: "iMesh Web Search" FF - prefs.js..browser.search.order.1: "iMesh Web Search" FF - prefs.js..keyword.URL: "http://search.imesh.com/web?src=ffb&systemid=1&q=" O2 - BHO: (MediaBar) - {ABB49B3B-AB7D-4ED0-9135-93FD5AA4F69F} - d:\PROGRA~1\IMESHA~1\MediaBar\ToolBar\iMeshMediaBarDx.dll File not found O3 - HKLM\..\Toolbar: (MediaBar) - {ABB49B3B-AB7D-4ED0-9135-93FD5AA4F69F} - d:\PROGRA~1\IMESHA~1\MediaBar\ToolBar\iMeshMediaBarDx.dll File not found O4 - Startup: C:\Documents and Settings\Krzemyk\Start Menu\Programs\Startup\Wilq - Kalendarz 2011.lnk = File not found :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A59}] [HKEY_USERS\S-1-5-21-329068152-220523388-725345543-1004\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_USERS\S-1-5-21-329068152-220523388-725345543-1004\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A59}] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Powstanie log, który zachowaj. 4. Pokazujesz log z usuwania w punkcie 3, nowy log z OTL ze skanu (bez ekstras) oraz nowy log z SystemLook. Odnośnik do komentarza
krzemyk Opublikowano 17 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 17 Czerwca 2012 Zrobiłem punkt 1 i 2. Natomiast w punkcie pierwszym po wklejeniu skryptu i kliknięciu "Wykonaj skrypt" System przestał odpowiadać. Wygląda tak jakby zniknął explorer. (brak paska zadań i ikon na pulpicie).Nie widać było paska postępu w OTL. Jak długo powinien się wykonywać taki skrypt? Więcej niż pół godziny? Co powinienem teraz zrobić? Odnośnik do komentarza
Landuss Opublikowano 17 Czerwca 2012 Zgłoś Udostępnij Opublikowano 17 Czerwca 2012 Wygląda, ze OTL się zawiesił. Nie ma na co czekać. Zastartuj do trybu awaryjnego Windows i wykonaj skrypt. Odnośnik do komentarza
krzemyk Opublikowano 17 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 17 Czerwca 2012 Ok. Dało radę przeskanować i zrobiłem wszystko jak prosiłeś. Oto logi: SystemLook 30.07.11 by jpshortstuff Log created at 20:49 on 17/06/2012 by Krzemyk Administrator - Elevation successful ========== reg ========== [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] (Unable to open key - key not found) [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}] @="Microsoft WBEM New Event Subsystem" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] @="C:\WINDOWS\system32\wbem\wbemess.dll" "ThreadingModel"="Both" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] (Unable to open key - key not found) ========== filefind ========== Searching for "services.exe" C:\WINDOWS\ServicePackFiles\i386\services.exe -----c- 108544 bytes [00:12 14/04/2008] [00:12 14/04/2008] 0E776ED5F7CC9F94299E70461B7B8185 C:\WINDOWS\system32\services.exe --a---- 110592 bytes [10:00 04/08/2004] [11:11 06/02/2009] 65DF52F5B8B6E9BBD183505225C37315 C:\WINDOWS\system32\dllcache\services.exe -----c- 110592 bytes [07:09 16/04/2009] [11:11 06/02/2009] 65DF52F5B8B6E9BBD183505225C37315 -= EOF =- wykonanie skryptu.txt OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 17 Czerwca 2012 Zgłoś Udostępnij Opublikowano 17 Czerwca 2012 Nie wszystko zostało tu wykonane. Powtórz punkt 1, który dawałem wcześniej bo klucz nadal nie istnieje według SystemLook a tak być nie może. Import nie został wykonany poprawnie. Także powtórz skrypt do OTL o takiej zawartości: :Files C:\Windows\system32\fsutil.exe reparsepoint delete C:\WINDOWS\$NtUninstallKB24475$ /C rd /s /q C:\Windows\$NtUninstallKB12850$ /C :Services UIUSys EagleXNt :OTL O2 - BHO: (no name) - {ABB49B3B-AB7D-4ED0-9135-93FD5AA4F69F} - No CLSID value found. :Commands [reboot] Do oceny nowy log z OTLl i SystemLook. Odnośnik do komentarza
krzemyk Opublikowano 17 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 17 Czerwca 2012 Powtórzony punkt 1 oraz skrypt do OTL o podanej zawartości. Oto logi: SystemLook 30.07.11 by jpshortstuff Log created at 22:01 on 17/06/2012 by Krzemyk Administrator - Elevation successful ========== reg ========== [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] (Unable to open key - key not found) [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}] @="Microsoft WBEM New Event Subsystem" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] @="C:\WINDOWS\system32\wbem\wbemess.dll" "ThreadingModel"="Both" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] @="MruPidlList" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] @="%SystemRoot%\system32\shdocvw.dll" "ThreadingModel"="Apartment" ========== filefind ========== Searching for "services.exe" C:\WINDOWS\ServicePackFiles\i386\services.exe -----c- 108544 bytes [00:12 14/04/2008] [00:12 14/04/2008] 0E776ED5F7CC9F94299E70461B7B8185 C:\WINDOWS\system32\services.exe --a---- 110592 bytes [10:00 04/08/2004] [11:11 06/02/2009] 65DF52F5B8B6E9BBD183505225C37315 C:\WINDOWS\system32\dllcache\services.exe -----c- 110592 bytes [07:09 16/04/2009] [11:11 06/02/2009] 65DF52F5B8B6E9BBD183505225C37315 -= EOF =- OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 17 Czerwca 2012 Zgłoś Udostępnij Opublikowano 17 Czerwca 2012 Teraz wszystko wykonane jak należy. Infekcja wygląda na pomyślnie usuniętą. Możesz przejść do finalizacji: 1. Użyj opcji Sprzątanie z OTL. Upewnij się też czy został usunięty folder C:\WINDOWS\$NtUninstallKB24475$, jesli nie to usuń ręcznie. 2. Opróżnij folder przywracania systemu: KLIK 3. Odinstaluj niepotrzebny Spybot - Search & Destroy. Program przestarzały i nie nadaje się już w dzisiejszych czasach jako ochrona. 4. Zaktualizuj Jave i Adobe Readera do najnowszych wersji: KLIK. Do aktualizacji też stary Avast 4(!) do najnowszej wersji 7: KLIK 5. Wykonaj skan za pomocą Malwarebytes Anti-Malware. Jeśli coś wykryje zaprezentuj raport. 6. W związku z infekcją z wysokiej półki zmień dla bezpieczeństwa hasła logowania do serwisów w sieci. Odnośnik do komentarza
krzemyk Opublikowano 17 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 17 Czerwca 2012 Przeskanowałem dysk Malwarebytes i wykryło jeden błąd. Oto log: mbam-log-2012-06-18 (00-14-43).txt Odnośnik do komentarza
Landuss Opublikowano 18 Czerwca 2012 Zgłoś Udostępnij Opublikowano 18 Czerwca 2012 Możesz usunąć, to nic szczególnego. Pytanie więc czy jest jeszcze jakiś problem? Jeśli nie to sprawę zamykamy. Odnośnik do komentarza
krzemyk Opublikowano 18 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 18 Czerwca 2012 Co jakiś czas Avast mówi, że jest zablokowany złośliwy adres URL. To co wyskakuje: Infection Details URL: "http://megaupload.com/file/id" Process: C:%5CWINDOWS%5Csystem32%5Crundll32.exe Infection: URL:Mal Nie wiem czy to ma coś wspólnego z tymi trojanami co usuneliśmy, ale wcześniej nic takiego nie wyskakiwało. Odnośnik do komentarza
Landuss Opublikowano 18 Czerwca 2012 Zgłoś Udostępnij Opublikowano 18 Czerwca 2012 Jak dla mnie to nic szczególnego i nie wygląda groźnie. Logi nic już nie wykazały, MBAM również. Avasta zaktualizowałeś (mam nadzieję) i to może być tego kwestia, że wcześniej nie wykrywał bo był w starej wersji. Odnośnik do komentarza
krzemyk Opublikowano 18 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 18 Czerwca 2012 Avast zaaktualizowany do najnowszej wersji. Co jakiś czas ten alert wyskakuje. No nic. Jeśli to nic poważnego to dziękuję serdecznie.Wątek do zamknięcia. Odnośnik do komentarza
Rekomendowane odpowiedzi