Windows x64 trojan sirefef. hd i hc

[Budi78]

Witam,

czy ktoś mógł by mi pomóc jak zlikwidować to dziadostwo.

Zupełnie nie wiem jak sobie z tym poradzić, a nie wiem czy zamieszczone przykłady mogę zastosować w swoim przypadku.

Pozdrawiam i czekam na odpowiedź

Extras.Txt

OTL.Txt

[Landuss]

Zanim przejdziemy do usuwania wykonasz raport dodatkowy pod kątem tej infekcji.

 

Uruchom SystemLook x64 i do okna wklej:

 

:reg
HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
 
:filefind
services.exe

 

Klik w Look i przedstaw wynikowy raport.

[Budi78]

Dziękuję za szybką odpowiedź. Na prawdę nie wiedziałem do kogo się zwrócić.

Oto raport:

 

SystemLook 30.07.11 by jpshortstuff

Log created at 00:27 on 01/07/2012 by ADAM

Administrator - Elevation successful

 

========== reg ==========

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

(No values found)

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32]

"ThreadingModel"="Both"

@="C:\Users\ADAM\AppData\Local\{ec3342c4-c6ef-4644-0ac3-ad4d01f39806}\n."

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}]

@="Microsoft WBEM New Event Subsystem"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32]

@="%systemroot%\system32\wbem\wbemess.dll"

"ThreadingModel"="Both"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

@="MruPidlList"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]

@="%SystemRoot%\system32\shell32.dll"

"ThreadingModel"="Apartment"

 

 

========== filefind ==========

 

Searching for "services.exe"

C:\Windows\System32\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 014A9CB92514E27C0107614DF764BC06

C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB

 

-= EOF =-

[Landuss]

Jest infekcja services.exe. Wykonaj poniższe kroki:

 

1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator. Wklej komendę:

 

sfc /scanfile=C:\Windows\system32\services.exe

 

Zresetuj system.

 

2. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator. Wklej komendę:

 

findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt

 

Otworzy się log, który zachowaj i pokaż na forum.

[Budi78]

Proszę, oto co wyskoczyło:

 

2012-07-01 19:30:55, Info    CSI    00000009 [sR] Verifying 1 components

2012-07-01 19:30:55, Info CSI 0000000a [sR] Beginning Verify and Repair transaction

2012-07-01 19:30:55, Info CSI 0000000c [sR] Repairing corrupted file [ml:520{260},l:46{23}]"\??\C:\Windows\System32"\[l:24{12}]"services.exe" from store

2012-07-01 19:30:55, Info CSI 0000000e [sR] Verify complete

2012-07-01 19:30:55, Info CSI 0000000f [sR] Repairing 1 components

2012-07-01 19:30:55, Info CSI 00000010 [sR] Beginning Verify and Repair transaction

2012-07-01 19:30:55, Info CSI 00000012 [sR] Repairing corrupted file [ml:520{260},l:46{23}]"\??\C:\Windows\System32"\[l:24{12}]"services.exe" from store

2012-07-01 19:30:55, Info CSI 00000014 [sR] Repair complete

2012-07-01 19:30:55, Info CSI 00000015 [sR] Committing transaction

2012-07-01 19:30:55, Info CSI 00000019 [sR] Unable to complete Verify and Repair transaction because some of the files that need to be repaired are in use. A reboot is required to complete this operation.

2012-07-01 19:30:55, Info CSI 0000001a [sR] Repairing 1 components

2012-07-01 19:30:55, Info CSI 0000001b [sR] Beginning Verify and Repair transaction

2012-07-01 19:30:56, Info CSI 0000001d [sR] Repairing corrupted file [ml:520{260},l:46{23}]"\??\C:\Windows\System32"\[l:24{12}]"services.exe" from store

2012-07-01 19:30:56, Info CSI 0000001f [sR] Repair complete

[Landuss]

1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator i przeklej kolejno te polecenia:

 

reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f

 

2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http: //search.babylon.com/?q={searchTerms}&AF=108921&babsrc=SP_ss&mntrId=6cbe70e9000000000000001fd0223e81
FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)"
FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"
FF - prefs.js..keyword.URL: "http://search.babylon.com/?AF=108921&babsrc=adbartrp&mntrId=6cbe70e9000000000000001fd0223e81&q="
[2010-12-08 01:36:17 | 000,001,860 | ---- | M] () -- C:\Users\ADAM\AppData\Roaming\Mozilla\Firefox\Profiles\eeoi4sx0.default\searchplugins\search.xml
[2011-12-13 19:28:15 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files (x86)\mozilla firefox\extensions\ffxtlbr@babylon.com
[2011-12-13 19:28:06 | 000,002,310 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml
O4 - HKLM..\Run: [DivX Download Manager] "C:\Program Files (x86)\DivX\DivX Plus Web Player\DDmService.exe" start File not found
O4 - HKCU..\Run: [ALLUpdate] "C:\Program Files (x86)\ALLPlayer\ALLUpdate.exe" "sleep" File not found
O4 - HKCU..\Run: [ares] "C:\Program Files (x86)\Ares\Ares.exe" -h File not found
O4 - HKCU..\Run: [DATE863.tmp.exe] C:\Users\ADAM\AppData\Local\Temp\DATE863.tmp.exe File not found
 
:Files
C:\Windows\Installer\{ec3342c4-c6ef-4644-0ac3-ad4d01f39806}
C:\Users\ADAM\AppData\Local\{ec3342c4-c6ef-4644-0ac3-ad4d01f39806}
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

3. Pokazujesz nowy log z OTL z opcji Skanuj (bez ekstras), z SystemLook oraz z Farbar Service Scanner (zaznacz wszystko do skanowania)

[Budi78]

Niestety po wpisaniu drugiego wiersz wyrzuca "Błąd:odmowa dostępu"

[Landuss]

Mój błąd, tego wiersza ma nie być. Już go wymazałem. Leć dalej.

[Budi78]

Załączam logi:

 

SystemLook 30.07.11 by jpshortstuff

Log created at 22:06 on 01/07/2012 by ADAM

Administrator - Elevation successful

 

========== reg ==========

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

(Unable to open key - key not found)

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}]

@="Microsoft WBEM New Event Subsystem"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32]

@="%systemroot%\system32\wbem\wbemess.dll"

"ThreadingModel"="Both"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

@="MruPidlList"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]

@="%SystemRoot%\system32\shell32.dll"

"ThreadingModel"="Apartment"

 

 

========== filefind ==========

 

Searching for "services.exe"

C:\Windows\System32\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB

C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB

 

-= EOF =-

FSS.txt

OTL.Txt

[Landuss]

Infekcja zdjęta, teraz musisz naprawić inne szkody - skasowane usługi.

 

1. Odbuduj skasowane usługi omijając polecenie sfc /scannow:

• Rekonstrukcja usług Zapory systemu Windows (MpsSvc + bfe + SharedAccess): KLIK.
  
• Rekonstrukcja usługi Centrum zabezpieczeń: KLIK.
  
• Rekonstrukcja usługi Windows Defender: KLIK.
  
• Rekonstrukcja usługi Aktualizacje automatyczne (wuauserv + BITS): Pobierz fixa i zaimportuj: KLIK
  

2. Pokazujesz nowy log z FSS po wykonaniu wszystkiego.

[Budi78]

"Rekonstrukcja usługi Aktualizacje automatyczne (wuauserv + BITS): Pobierz fixa i zaimportuj" jak zaimportować?

Acha, i co to znaczy "z prawokliku Scal"????

[Landuss]

"Rekonstrukcja usługi Aktualizacje automatyczne (wuauserv + BITS): Pobierz fixa i zaimportuj" jak zaimportować?

 

Zmień rozszerzenie z TXT na REG i po prostu uruchom ten plik.

 

Acha, i co to znaczy "z prawokliku Scal"????

 

Nie rozumiem pytania. Prawym przyciskiem myszki > opcja Scal. Takie trudne?

[Budi78]

Dobra, już się połapałem, po co te nerwy :-)))

Załączam Fss:

FSS.txt

[Landuss]

Zapora nadal nie została naprawiona a więc MpsSvc + bfe + SharedAccess do wykonania ponownie. Nie zaimportowałeś do rejestru wpisów na co wskazuje log z FSS. Zrób to jak należy i wklej nowy log.

[Budi78]

Niestety chyba coś nie działa tak jak powinno.

Przy robieniu Podstawowy aparat filtrowania (BFE) pojawia się to:

BFE.txt

przy Zapora systemu Windows (MpsSvc):

MpsSvc.txt

a przyUdostępnianie połączenia internetowego (ICS) (SharedAccess) to:

SharedAccess.txt

 

Utknąłem

 

Mam jeszce jedno pytanie. Przy pierwszym etapie, czyli rekonstrukcji kluczy usług, po zmianie nazwy rozszeżenia poszczególnych plików na ".reg" gdzie mam je zapisać?

Jestem laikiem i może stąd te prostackie moje pytania za które z góry przepraszam

[picasso]

Budi78 w ogóle nie wygląda na to, że wykonałeś pierwszą część zadania, czyli import plików REG usług BFE + MpsSvc + SharedAccess.

 

 

Mam jeszce jedno pytanie. Przy pierwszym etapie, czyli rekonstrukcji kluczy usług, po zmianie nazwy rozszeżenia poszczególnych plików na ".reg" gdzie mam je zapisać?

 

Gdzie zapisać te pliki = dowolne miejsce. To pytanie potwierdza powyższe, Ty się najwyraźniej dopiero do tego przymierzasz. To musi być zrobione przed operacją z SetACL, nie wolno przestawić tej kolejności, bo się nic nie wykona. SetACL nie może przywracać uprawnień na nieistniejące rzeczy.

 

.

[Budi78]

Mam nadzieję, że teraz wykonałem wszystko poprawnie. Nowy log:

Czy mogę prosić o potwierdzenie?

Pozdrawiam

FSS.txt

[picasso]

Wszystko wygląda na wykonane. Finiszuj:

 

1. W GrantPerms x64 wklej:

 

C:\Windows\system32\%APPDATA%

 

Klik w Unlock. Po tym przez SHIFT+DEL skasuj ten folder z dysku.

 

2. W OTL uruchom Sprzątanie, które usuwanie z dysku OTL i jego kwarantannę.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Wykonaj pełne (nie ekspresowe) skanowanie w Malwarebytes Anti-Malware. Przedstaw raport, o ile coś zostanie wykryte.

 

 

 

.

[Budi78]

Skanowanie nie wykazało żadnych zagrożeń.

Chciałem Państwu bardzo serdecznie podziękować za pomoc. Będę się starał nie przysparzać Państwu więcej kłopotów.

Jeszcze raz dziękuję i pozdrawiam.

[picasso]

Na zakończenie:

 

1. Drobne aktualizacje / weryfikacje wersji oprogramowania: KLIK. Wyciąg z Twojej listy zainstalowanych:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F86416022FF}" = Java™ 6 Update 22 (64-bit)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin

 

2. Prewencyjna wymiana haseł logowania w serwisach.

 

 

 

.