Sirefef.GA, -A, Atraps-PF, prośba o pomoc w usuwaniu

[marmiste]

Witam. Zwracam sie z prosba o pomoc wusunieciu wirusów.

 

Program GData AV IS 2011 raportuje, że znalazł:

 

- Trojan.Sirefef.GA

- Win32.Atraps-PF

- Win64.Sirefef-A

 

Objawy:

- spowolnienie pracy systemu (wg. subiektywnych obserwacji użytkownika)

- innych anomalii nie zaobserwowano

 

Logi z OTL wklejam ponizej.

OTL.TxtPobieranie informacji ...

Extras.TxtPobieranie informacji ...

[picasso]

Potrzebny dodatkowy skan na punkt ładowania malware. Uruchom SystemLook, w oknie wklej:

 

:reg
HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
 
:filefind
services.exe

 

Klik w Look. Przedstaw wynikowy raport.

 

 

 

.

[marmiste]

Załączam plik raportu:

 

SystemLook 30.07.11 by jpshortstuff

Log created at 15:12 on 25/06/2012 by Gl_Ksieg

Administrator - Elevation successful

 

========== reg ==========

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

(No values found)

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32]

"ThreadingModel"="Both"

@="C:\Documents and Settings\Gl_Ksieg\Ustawienia lokalne\Dane aplikacji\{4e91aa34-8e87-2cdf-ec9c-41de4e88886b}\n."

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}]

@="Microsoft WBEM New Event Subsystem"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32]

@="\\.\globalroot\systemroot\Installer\{4e91aa34-8e87-2cdf-ec9c-41de4e88886b}\n."

"ThreadingModel"="Both"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

@="MruPidlList"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]

@="%SystemRoot%\system32\shdocvw.dll"

"ThreadingModel"="Apartment"

 

 

========== filefind ==========

 

Searching for "services.exe"

C:\WINDOWS\ServicePackFiles\i386\services.exe ------- 109056 bytes [14:40 03/02/2010] [21:51 14/04/2008] 3E3AE424E27C4CEFE4CAB368C7B570EA

C:\WINDOWS\system32\services.exe --a---- 111104 bytes [12:00 04/08/2004] [11:25 09/02/2009] 02A467E27AF55F7064C5B251E587315F

C:\WINDOWS\system32\dllcache\services.exe -----c- 111104 bytes [15:01 03/02/2010] [11:25 09/02/2009] 02A467E27AF55F7064C5B251E587315F

 

-= EOF =-

[picasso]

Dysponujesz tzw. wariantem CLSID tej infekcji, ładowanym przez klasy.

 

1. Otwórz Notatnik i wklej w nim:

 

reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f
reg add HKLM\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /ve /t REG_SZ /d C:\WINDOWS\system32\wbem\wbemess.dll /f

 

Adnotacja dla innych czytających: batch unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT

 

Plik umieść wprost na C:\.

 

2. Uruchom BlitzBlank i w karcie Script wklej:

 

DeleteFolder: 

C:\WINDOWS\Installer\{4e91aa34-8e87-2cdf-ec9c-41de4e88886b}
"C:\Documents and Settings\Gl_Ksieg\Ustawienia lokalne\Dane aplikacji\{4e91aa34-8e87-2cdf-ec9c-41de4e88886b}"
 
Execute: 
C:\fix.bat

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Execute Now. Zatwierdź restart komputera. Przed ekranem z logo Windows powinien pojawić się ekran z działaniami BlitzBlank. Finalnie BlitzBlank wygeneruje na dysku C log.

 

3. Start > Uruchom > cmd i wpisz komendę netsh winsock reset, zatwierdź resetart komputera.

 

4. Przez Panel sterowania odinstaluj pasek sponsoringowy Ask Toolbar + Ask Toolbar Updater. Popraw przez AdwCleaner z opcji Delete.

 

5. Wklej do posta zawartość raportu BlitzBlank i załącz log z AdwCleaner. Zrób nowy log z SystemLook na warunki:

 

:reg

HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s

 

Również nowy log OTL z opcji Skanuj oraz Farbar Service Scanner z wszystkimi opcjami zaznaczonymi.

 

 

 

.

[marmiste]

Poniżej wklejam logi.

 

Przyznaję, że w pośpiechu zrobiłem błąd, przed wykonaniem BlitzBlank nie umiescilem pliku fix.bat na C:\

Po restarcie systemu, BlitzBlank wykonał się częściowo (jak się domyślam). Po zalogowaniu się na konto, wykonałęm polecenia z fix.bat ręcznie z trybu konsoli (cmd)

 

Poniżej logi:

 

 

BlitzBlank 1.0.0.32

 

File/Registry Modification Engine native application

MoveDirectoryOnReboot: sourceDirectory = "\??\c:\windows\installer\{4e91aa34-8e87-2cdf-ec9c-41de4e88886b}", destinationDirectory = "(null)", replaceWithDummy = 0

MoveFileOnReboot: sourceFile = "\??\c:\windows\installer\{4e91aa34-8e87-2cdf-ec9c-41de4e88886b}\@", destinationFile = "(null)", replaceWithDummy = 0

MoveDirectoryOnReboot: sourceDirectory = "\??\c:\windows\installer\{4e91aa34-8e87-2cdf-ec9c-41de4e88886b}\L", destinationDirectory = "(null)", replaceWithDummy = 0

MoveFileOnReboot: sourceFile = "\??\c:\windows\installer\{4e91aa34-8e87-2cdf-ec9c-41de4e88886b}\L\00000004.@", destinationFile = "(null)", replaceWithDummy = 0

MoveFileOnReboot: sourceFile = "\??\c:\windows\installer\{4e91aa34-8e87-2cdf-ec9c-41de4e88886b}\n", destinationFile = "(null)", replaceWithDummy = 0

MoveDirectoryOnReboot: sourceDirectory = "\??\c:\windows\installer\{4e91aa34-8e87-2cdf-ec9c-41de4e88886b}\U", destinationDirectory = "(null)", replaceWithDummy = 0

MoveFileOnReboot: sourceFile = "\??\c:\windows\installer\{4e91aa34-8e87-2cdf-ec9c-41de4e88886b}\U\00000004.@", destinationFile = "(null)", replaceWithDummy = 0

MoveFileOnReboot: sourceFile = "\??\c:\windows\installer\{4e91aa34-8e87-2cdf-ec9c-41de4e88886b}\U\00000008.@", destinationFile = "(null)", replaceWithDummy = 0

MoveFileOnReboot: sourceFile = "\??\c:\windows\installer\{4e91aa34-8e87-2cdf-ec9c-41de4e88886b}\U\000000cb.@", destinationFile = "(null)", replaceWithDummy = 0

MoveFileOnReboot: sourceFile = "\??\c:\windows\installer\{4e91aa34-8e87-2cdf-ec9c-41de4e88886b}\U\80000000.@", destinationFile = "(null)", replaceWithDummy = 0

MoveDirectoryOnReboot: sourceDirectory = "\??\c:\documents and settings\gl_ksieg\ustawienia lokalne\dane aplikacji\{4e91aa34-8e87-2cdf-ec9c-41de4e88886b}", destinationDirectory = "(null)", replaceWithDummy = 0

MoveFileOnReboot: sourceFile = "\??\c:\documents and settings\gl_ksieg\ustawienia lokalne\dane aplikacji\{4e91aa34-8e87-2cdf-ec9c-41de4e88886b}\@", destinationFile = "(null)", replaceWithDummy = 0

MoveDirectoryOnReboot: sourceDirectory = "\??\c:\documents and settings\gl_ksieg\ustawienia lokalne\dane aplikacji\{4e91aa34-8e87-2cdf-ec9c-41de4e88886b}\L", destinationDirectory = "(null)", replaceWithDummy = 0

MoveFileOnReboot: sourceFile = "\??\c:\documents and settings\gl_ksieg\ustawienia lokalne\dane aplikacji\{4e91aa34-8e87-2cdf-ec9c-41de4e88886b}\n", destinationFile = "(null)", replaceWithDummy = 0

MoveDirectoryOnReboot: sourceDirectory = "\??\c:\documents and settings\gl_ksieg\ustawienia lokalne\dane aplikacji\{4e91aa34-8e87-2cdf-ec9c-41de4e88886b}\U", destinationDirectory = "(null)", replaceWithDummy = 0

LaunchOnReboot: launchName = "\fix.bat", commandLine = "c:\fix.bat"

AdwCleanerS1Wynik.txtPobieranie informacji ...

FSS.Wynik.txtPobieranie informacji ...

OTL.Wynik.TxtPobieranie informacji ...

SystemLook.Wynik.txtPobieranie informacji ...

[picasso]

Infekcja pomyślnie usunięta. Kolejna porcja zadań:

 

1. Usunięcie odpadkowej wyszukiwarki Ask i czyszczenie lokalizacji tymczasowych. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{40586BD1-F50D-4028-9282-E43CD89968BD}]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Wystarczy tylko ten log do oceny.

 

2. Wykonaj skanowanie za pomocą Malwarebytes Anti-Malware. Przedstaw wynikowy raport, o ile coś zostanie wykryte.

 

3. Infekcja skasowała z rejestru dane Zapory (SharedAccess) oraz Centrum zabezpieczeń (wscsvc). Zrekonstruuj obie usługi: KLIK.

 

 

 

.

[marmiste]

Jest w porządku.

Dziękuję za pomoc.

[picasso]

Na zakończenie:

 

1. W OTL uruchom Sprzątanie + ręcznie dokasuj inne używane narzędzia.

 

2. Aktualizacje: KLIK. Tu wyciąg z Twojej listy zainstalowanych:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java™ 6 Update 29
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{90110415-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003
"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX
"KLiteCodecPack_is1" = K-Lite Codec Pack 5.7.0 (Full)
"Microsoft SQL Server 10" = Microsoft SQL Server 2008

 

Nie wygląda na to, by był zainstalowany SP3 dla Office 2003. Ponadto łatanie Microsoft SQL Server 2008: KB968382.

 

3. Prewencyjna wymiana haseł logowania w serwisach.

 

 

 

.

[marmiste]

  W dniu 25.06.2012 o 16:25, picasso napisał(a):

3. Prewencyjna wymiana haseł logowania w serwisach.

 

Jasne, to zalecenie już "podpatrzyłem" w podobnych wątkach.

 

Przyjrzę się też aktualizacjom.

Raz jeszcze dzięki.

 

P.S. Przy okazji zapytam: czy są szanse na to, że ktoś spisał wiedzę dotyczącą interpretacji logów z poleconych tu narzędzi (oraz paru innych narzędzi zalecanych w tym serwisie) i udostępnia ją w postaci ogólnodostępnej instrukcji dla potomnych?

[picasso]

  Cytat

P.S. Przy okazji zapytam: czy są szanse na to, że ktoś spisał wiedzę dotyczącą interpretacji logów z poleconych tu narzędzi (oraz paru innych narzędzi zalecanych w tym serwisie) i udostępnia ją w postaci ogólnodostępnej instrukcji dla potomnych?

 

To jest awykonalne, bo musiałbyś po prostu spisać obsługę systemu operacyjnego i pół rejestru, oraz archiwum wszystkich możliwych infekcji / modyfikacji które mogą zajść w systemie. Te narzędzia to uproszczenie pewnych rzeczy, które wybiegają poza te narzędzia. Logi to rzecz podrzędna, tylko (mocno skrócony i zniekształcony umową skrótów) wykaz tego co jest w systemie. Przy znajomości platformy operacyjnej interpretacja danych nie jest trudnością. Wypowiadałam się w tej kwestii: KLIK.

 

To co na Google znajdziesz:

- Jest oficjalny tutorial opisujący identyfikatory OTL, ale: osobie która naprawdę się na tym zna jest zbędny (i jedynie komendy natywne narzędzia do poznania, bo się po prostu nie wymyśli cudzych komend), gdyż to oczywiste czego tyczą skróty w logu, a tej która ma poważne braki nie pomoże nabyć określonych właściwości bez poszerzania swej wiedzy o Windows.

- Jest tutorial ze spisem komend SystemLook, ale: to obsługa narzędzia, ale co wprowadzać w narzędziu to już kwestia znajomości systemu i wyobraźni w diagnostyce.

- Brak tutoriala do obsługi BlitzBlank, tylko spis komend. Całkiem słusznie, bo to niepotrzebne w zestawieniu z grupą docelową. Co wprowadzać w komendach = wracamy do punktu wyjścia.

 

 

 

.

[marmiste]

Wszystko jasne.

Pozdrawiam.