marmiste Opublikowano 25 Czerwca 2012 Zgłoś Udostępnij Opublikowano 25 Czerwca 2012 Witam. Zwracam sie z prosba o pomoc wusunieciu wirusów. Program GData AV IS 2011 raportuje, że znalazł: - Trojan.Sirefef.GA - Win32.Atraps-PF - Win64.Sirefef-A Objawy: - spowolnienie pracy systemu (wg. subiektywnych obserwacji użytkownika) - innych anomalii nie zaobserwowano Logi z OTL wklejam ponizej. OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 25 Czerwca 2012 Zgłoś Udostępnij Opublikowano 25 Czerwca 2012 Potrzebny dodatkowy skan na punkt ładowania malware. Uruchom SystemLook, w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look. Przedstaw wynikowy raport. . Odnośnik do komentarza
marmiste Opublikowano 25 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 25 Czerwca 2012 Załączam plik raportu: SystemLook 30.07.11 by jpshortstuff Log created at 15:12 on 25/06/2012 by Gl_Ksieg Administrator - Elevation successful ========== reg ========== [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] (No values found) [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32] "ThreadingModel"="Both" @="C:\Documents and Settings\Gl_Ksieg\Ustawienia lokalne\Dane aplikacji\{4e91aa34-8e87-2cdf-ec9c-41de4e88886b}\n." [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}] @="Microsoft WBEM New Event Subsystem" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] @="\\.\globalroot\systemroot\Installer\{4e91aa34-8e87-2cdf-ec9c-41de4e88886b}\n." "ThreadingModel"="Both" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] @="MruPidlList" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] @="%SystemRoot%\system32\shdocvw.dll" "ThreadingModel"="Apartment" ========== filefind ========== Searching for "services.exe" C:\WINDOWS\ServicePackFiles\i386\services.exe ------- 109056 bytes [14:40 03/02/2010] [21:51 14/04/2008] 3E3AE424E27C4CEFE4CAB368C7B570EA C:\WINDOWS\system32\services.exe --a---- 111104 bytes [12:00 04/08/2004] [11:25 09/02/2009] 02A467E27AF55F7064C5B251E587315F C:\WINDOWS\system32\dllcache\services.exe -----c- 111104 bytes [15:01 03/02/2010] [11:25 09/02/2009] 02A467E27AF55F7064C5B251E587315F -= EOF =- Odnośnik do komentarza
picasso Opublikowano 25 Czerwca 2012 Zgłoś Udostępnij Opublikowano 25 Czerwca 2012 Dysponujesz tzw. wariantem CLSID tej infekcji, ładowanym przez klasy. 1. Otwórz Notatnik i wklej w nim: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f reg add HKLM\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /ve /t REG_SZ /d C:\WINDOWS\system32\wbem\wbemess.dll /f Adnotacja dla innych czytających: batch unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Plik umieść wprost na C:\. 2. Uruchom BlitzBlank i w karcie Script wklej: DeleteFolder: C:\WINDOWS\Installer\{4e91aa34-8e87-2cdf-ec9c-41de4e88886b} "C:\Documents and Settings\Gl_Ksieg\Ustawienia lokalne\Dane aplikacji\{4e91aa34-8e87-2cdf-ec9c-41de4e88886b}" Execute: C:\fix.bat Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Execute Now. Zatwierdź restart komputera. Przed ekranem z logo Windows powinien pojawić się ekran z działaniami BlitzBlank. Finalnie BlitzBlank wygeneruje na dysku C log. 3. Start > Uruchom > cmd i wpisz komendę netsh winsock reset, zatwierdź resetart komputera. 4. Przez Panel sterowania odinstaluj pasek sponsoringowy Ask Toolbar + Ask Toolbar Updater. Popraw przez AdwCleaner z opcji Delete. 5. Wklej do posta zawartość raportu BlitzBlank i załącz log z AdwCleaner. Zrób nowy log z SystemLook na warunki: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s Również nowy log OTL z opcji Skanuj oraz Farbar Service Scanner z wszystkimi opcjami zaznaczonymi. . Odnośnik do komentarza
marmiste Opublikowano 25 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 25 Czerwca 2012 Poniżej wklejam logi. Przyznaję, że w pośpiechu zrobiłem błąd, przed wykonaniem BlitzBlank nie umiescilem pliku fix.bat na C:\ Po restarcie systemu, BlitzBlank wykonał się częściowo (jak się domyślam). Po zalogowaniu się na konto, wykonałęm polecenia z fix.bat ręcznie z trybu konsoli (cmd) Poniżej logi: BlitzBlank 1.0.0.32 File/Registry Modification Engine native application MoveDirectoryOnReboot: sourceDirectory = "\??\c:\windows\installer\{4e91aa34-8e87-2cdf-ec9c-41de4e88886b}", destinationDirectory = "(null)", replaceWithDummy = 0 MoveFileOnReboot: sourceFile = "\??\c:\windows\installer\{4e91aa34-8e87-2cdf-ec9c-41de4e88886b}\@", destinationFile = "(null)", replaceWithDummy = 0 MoveDirectoryOnReboot: sourceDirectory = "\??\c:\windows\installer\{4e91aa34-8e87-2cdf-ec9c-41de4e88886b}\L", destinationDirectory = "(null)", replaceWithDummy = 0 MoveFileOnReboot: sourceFile = "\??\c:\windows\installer\{4e91aa34-8e87-2cdf-ec9c-41de4e88886b}\L\00000004.@", destinationFile = "(null)", replaceWithDummy = 0 MoveFileOnReboot: sourceFile = "\??\c:\windows\installer\{4e91aa34-8e87-2cdf-ec9c-41de4e88886b}\n", destinationFile = "(null)", replaceWithDummy = 0 MoveDirectoryOnReboot: sourceDirectory = "\??\c:\windows\installer\{4e91aa34-8e87-2cdf-ec9c-41de4e88886b}\U", destinationDirectory = "(null)", replaceWithDummy = 0 MoveFileOnReboot: sourceFile = "\??\c:\windows\installer\{4e91aa34-8e87-2cdf-ec9c-41de4e88886b}\U\00000004.@", destinationFile = "(null)", replaceWithDummy = 0 MoveFileOnReboot: sourceFile = "\??\c:\windows\installer\{4e91aa34-8e87-2cdf-ec9c-41de4e88886b}\U\00000008.@", destinationFile = "(null)", replaceWithDummy = 0 MoveFileOnReboot: sourceFile = "\??\c:\windows\installer\{4e91aa34-8e87-2cdf-ec9c-41de4e88886b}\U\000000cb.@", destinationFile = "(null)", replaceWithDummy = 0 MoveFileOnReboot: sourceFile = "\??\c:\windows\installer\{4e91aa34-8e87-2cdf-ec9c-41de4e88886b}\U\80000000.@", destinationFile = "(null)", replaceWithDummy = 0 MoveDirectoryOnReboot: sourceDirectory = "\??\c:\documents and settings\gl_ksieg\ustawienia lokalne\dane aplikacji\{4e91aa34-8e87-2cdf-ec9c-41de4e88886b}", destinationDirectory = "(null)", replaceWithDummy = 0 MoveFileOnReboot: sourceFile = "\??\c:\documents and settings\gl_ksieg\ustawienia lokalne\dane aplikacji\{4e91aa34-8e87-2cdf-ec9c-41de4e88886b}\@", destinationFile = "(null)", replaceWithDummy = 0 MoveDirectoryOnReboot: sourceDirectory = "\??\c:\documents and settings\gl_ksieg\ustawienia lokalne\dane aplikacji\{4e91aa34-8e87-2cdf-ec9c-41de4e88886b}\L", destinationDirectory = "(null)", replaceWithDummy = 0 MoveFileOnReboot: sourceFile = "\??\c:\documents and settings\gl_ksieg\ustawienia lokalne\dane aplikacji\{4e91aa34-8e87-2cdf-ec9c-41de4e88886b}\n", destinationFile = "(null)", replaceWithDummy = 0 MoveDirectoryOnReboot: sourceDirectory = "\??\c:\documents and settings\gl_ksieg\ustawienia lokalne\dane aplikacji\{4e91aa34-8e87-2cdf-ec9c-41de4e88886b}\U", destinationDirectory = "(null)", replaceWithDummy = 0 LaunchOnReboot: launchName = "\fix.bat", commandLine = "c:\fix.bat" AdwCleanerS1Wynik.txt FSS.Wynik.txt OTL.Wynik.Txt SystemLook.Wynik.txt Odnośnik do komentarza
picasso Opublikowano 25 Czerwca 2012 Zgłoś Udostępnij Opublikowano 25 Czerwca 2012 Infekcja pomyślnie usunięta. Kolejna porcja zadań: 1. Usunięcie odpadkowej wyszukiwarki Ask i czyszczenie lokalizacji tymczasowych. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{40586BD1-F50D-4028-9282-E43CD89968BD}] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Wystarczy tylko ten log do oceny. 2. Wykonaj skanowanie za pomocą Malwarebytes Anti-Malware. Przedstaw wynikowy raport, o ile coś zostanie wykryte. 3. Infekcja skasowała z rejestru dane Zapory (SharedAccess) oraz Centrum zabezpieczeń (wscsvc). Zrekonstruuj obie usługi: KLIK. . Odnośnik do komentarza
marmiste Opublikowano 25 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 25 Czerwca 2012 Jest w porządku. Dziękuję za pomoc. Odnośnik do komentarza
picasso Opublikowano 25 Czerwca 2012 Zgłoś Udostępnij Opublikowano 25 Czerwca 2012 Na zakończenie: 1. W OTL uruchom Sprzątanie + ręcznie dokasuj inne używane narzędzia. 2. Aktualizacje: KLIK. Tu wyciąg z Twojej listy zainstalowanych: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java 6 Update 29"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight"{90110415-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX"KLiteCodecPack_is1" = K-Lite Codec Pack 5.7.0 (Full)"Microsoft SQL Server 10" = Microsoft SQL Server 2008 Nie wygląda na to, by był zainstalowany SP3 dla Office 2003. Ponadto łatanie Microsoft SQL Server 2008: KB968382. 3. Prewencyjna wymiana haseł logowania w serwisach. . Odnośnik do komentarza
marmiste Opublikowano 25 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 25 Czerwca 2012 3. Prewencyjna wymiana haseł logowania w serwisach. Jasne, to zalecenie już "podpatrzyłem" w podobnych wątkach. Przyjrzę się też aktualizacjom. Raz jeszcze dzięki. P.S. Przy okazji zapytam: czy są szanse na to, że ktoś spisał wiedzę dotyczącą interpretacji logów z poleconych tu narzędzi (oraz paru innych narzędzi zalecanych w tym serwisie) i udostępnia ją w postaci ogólnodostępnej instrukcji dla potomnych? Odnośnik do komentarza
picasso Opublikowano 25 Czerwca 2012 Zgłoś Udostępnij Opublikowano 25 Czerwca 2012 P.S. Przy okazji zapytam: czy są szanse na to, że ktoś spisał wiedzę dotyczącą interpretacji logów z poleconych tu narzędzi (oraz paru innych narzędzi zalecanych w tym serwisie) i udostępnia ją w postaci ogólnodostępnej instrukcji dla potomnych? To jest awykonalne, bo musiałbyś po prostu spisać obsługę systemu operacyjnego i pół rejestru, oraz archiwum wszystkich możliwych infekcji / modyfikacji które mogą zajść w systemie. Te narzędzia to uproszczenie pewnych rzeczy, które wybiegają poza te narzędzia. Logi to rzecz podrzędna, tylko (mocno skrócony i zniekształcony umową skrótów) wykaz tego co jest w systemie. Przy znajomości platformy operacyjnej interpretacja danych nie jest trudnością. Wypowiadałam się w tej kwestii: KLIK. To co na Google znajdziesz: - Jest oficjalny tutorial opisujący identyfikatory OTL, ale: osobie która naprawdę się na tym zna jest zbędny (i jedynie komendy natywne narzędzia do poznania, bo się po prostu nie wymyśli cudzych komend), gdyż to oczywiste czego tyczą skróty w logu, a tej która ma poważne braki nie pomoże nabyć określonych właściwości bez poszerzania swej wiedzy o Windows. - Jest tutorial ze spisem komend SystemLook, ale: to obsługa narzędzia, ale co wprowadzać w narzędziu to już kwestia znajomości systemu i wyobraźni w diagnostyce. - Brak tutoriala do obsługi BlitzBlank, tylko spis komend. Całkiem słusznie, bo to niepotrzebne w zestawieniu z grupą docelową. Co wprowadzać w komendach = wracamy do punktu wyjścia. . Odnośnik do komentarza
marmiste Opublikowano 26 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 26 Czerwca 2012 Wszystko jasne. Pozdrawiam. Odnośnik do komentarza
Rekomendowane odpowiedzi