Skocz do zawartości

Skanowanie antywirusem wykazało trojana Sirefef


Rekomendowane odpowiedzi

Zauważyłem niepokojące objawy komputera, więc zdecydowałem się przeskanować komputer Malware... znalazł infekcje odpowiedzialną za przekierowania na inne strony i niechciane reklamy, oraz trojana siredef, skonowałem go 3 razy -

 

1- http://wklej.org/id/1663680/

2. http://wklej.org/id/1663683/

3. http://wklej.org/id/1663684/

 Za 4 razem pokazał, że w 25 folderach został sam trojan siredef. Na innym forum zaproponowano mi eset siredef removal, jednak nic nie znalazł - http://wklej.org/id/1663685/

 

Z tego co czytałem to backdoor, odradza się, że jedyną wyjściem jest format dysku, dlatego proszę o sprawdzenie logów, czy on jest cały czas w systemie

frst - http://wklej.org/id/1663701/

addition - http://wklej.org/id/1663702/

gmer - http://wklej.org/id/1663706/

 

Poza tym proszę adminstratora o sprawdzenie, czy nie logował się na moje konto jakiś obcy numer IP. Proszę także o stwierdzenie, czy mam teraz zmieniać wszystkie hasła?

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Wiem, że każda sprawa infekcji dla każdego jest ważna, proszę jednak o odpowiedź i udzielenie pomocy. Dziś podczas próby wysłania maila z załącznikiem opcji dodaj załącznik nie było, szkoda, że nie zrobiłem screena. Chciałem pozamykać porty 139 i 445,ale wwdc nie uruchamiał się, skanowanie programem net tools było wprost niiemożliwe, coś jednak udało mi się zrobić

 

troj_png_300x300_q85.jpg

troj1_png_300x300_q85.jpg 

 

Moje IP wewnętrzne to 1992.168.1.6. To jest kontynuacja tego tematu https://www.fixitpc.pl/topic/26363-mam-kłopot-z-zainstalowaniem-net-tools/ Jeszcze raz scanowałem go adwcleanerem

 

http://wklej.org/id/1664564/ nic, cały czas jest w systemie. Proszę o pomoc.

Odnośnik do komentarza

Wiem, że każda sprawa infekcji dla każdego jest ważna, proszę jednak o odpowiedź i udzielenie pomocy

Inni Użytkownicy czekają na odpowiedx juz ok. dwóch tygodni, i nie wiadomo, kiedy dostaną tę odpowiedź. Pewnie wielu zrezygnowało z czekania i sformatowało dysk.

Nic na to nie można poradzić, bo @Picasso nie ma teraz możliwości zajęcia sie pomaganiem.

 

Wg mnie, to wykrycie Sirefef jest fałszywe, bo w logach nie widzę żadnych oznak obecności tej infekcji.

 

Natomiast za przekierowania odpowiedzialne jest to rozszerzenie w Firefoxie:

 

FF Extension: Roll Around - C:\Users\HP\AppData\Roaming\Mozilla\Firefox\Profiles\iyizz6tj.default\Extensions\{c9c8f370-8dff-4fc1-99e4-8495d1aa79c4}.xpi [2015-03-12]

 

jessi

Odnośnik do komentarza

Obrazki w poście numer 2 nieczytelne - to zlinkowane miniatury. Brak trzeciego obowiązkowego pliku FRST Shortcut.

 

 

Dziś podczas próby wysłania maila z załącznikiem opcji dodaj załącznik nie było, szkoda, że nie zrobiłem screena.

Problemy z siecią i instalacjami, błędy "Odmowa dostępu" / "Access denied" = prędzej podejrzany COMODO Firewall z Defense+. Nawiasem mówiąc, nie wygląda, by były tu dwa antywirusy, jak sugerowane wcześniej - na liście zainstalowanych jest wyliczany COMODO Firewall (a nie antywirus), takie rejestracje są też w obszarach WMI Centrum zabezpieczeń.

 

 

Chciałem pozamykać porty 139 i 445,ale wwdc nie uruchamiał się

Na nowych systemach nie ma już potrzeby "zamykania portów" i nie należy stosować tego starego programu na systemach Vista i nowszych. WWDC jest przystosowany do starych XP, na nowszych platformach, które mają zupełnie inną strukturę, czyni szkody - przestaje działać Harmonogram zadań i pada mnóstwo funkcji pod niego podpiętych. Przykłady z forum: KLIK, KLIK. Niestety już zdążyłeś sobie zaszkodzić - Dziennik zdarzeń wyraźnie zgłasza naruszenie Harmonogramu spowodowane WWDC:

 

Application errors:

==================

Error: (03/15/2015 06:16:30 PM) (Source: Schedule) (EventID: 0) (User: )

Description: Schedule error: 0Initialize call failed, bailing out

 

 

Za 4 razem pokazał, że w 25 folderach został sam trojan siredef. Na innym forum zaproponowano mi eset siredef removal, jednak nic nie znalazł

W raportach nie ma żadnych oznak infekcji Sirefef / ZeroAccess - ta infekcja jest zresztą martwa (nieaktywny botnet) i spotyka się ją obecnie na systemach, na których w przeszłości jej nie wyczyszczono. Detekcje Trojan.Siredef.C na Twoim komputerze się nie liczą. To wyniki z Kosza systemowego, które nawet nie odpowiadają wzorowi Sirefef. Wszystko wygląda jak usunięty do Kosza jakiś nieszkodliwy katalog z folderami językowymi, wykrywany fałszywie jako "Sirefef" ze względu na specyficzne frazy w ścieżce (np. to samotne "L"). Zważ też na to, że wyniki te pojawiły się dopiero w drugim skanie MBAM, co sugeruje że w międzyczasie coś po prostu kasowałeś. Wystarczy opróżnić Kosz.

 

Trojan.Siredef.C, c:\$recycle.bin\s-1-5-21-950601680-909652224-4197209155-1003\$rt84zzp\l\ar-xm, , [fbae160c533768ce21ec58a9a759946c],

 

Reszta wyników z AdwCleaner i MBAM to adware. Z tym że w wynikach AdwCleaner wszystkie pozycje mające w nazwie "AdTrustMedia" to fałszywy alarm i błędna detekcja AdwCleaner (jakiś czas temu to zgłaszałam autorowi) - to są składniki COMODO PrivDog.

 

 

Poza tym proszę adminstratora o sprawdzenie, czy nie logował się na moje konto jakiś obcy numer IP. Proszę także o stwierdzenie, czy mam teraz zmieniać wszystkie hasła?

Logowanie IP jest nie do sprawdzenia przy udziale podanych raportów. Zresztą moim zdaniem tu nie ma żadnego problemu tego typu, brak śladów infekcji wykradającej hasła, tylko adware.

 

 


W raportach nie ma oznak globalnej infekcji - jest tylko adware w Firefox, działanie zawężone tylko do przeglądarki Firefox (brak wpływu na inne obszary systemowe). Czyli do usunięcia to adware, wpisy typu odpadkowego i odkręcenie szkód poczynionych WWDC:

 

1. Odinstaluj stare wersje: Adobe Flash Player 15 Plugin, Adobe Flash Player 16 ActiveX, Adobe Shockwave Player 11.6.

 

2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.

 

3. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
Task: {257B92DB-7FAB-4984-BB62-6819BC0210B7} - System32\Tasks\Norton Internet Security\Norton Error Processor => C:\Program Files (x86)\Norton Internet Security\Engine\19.9.1.14\SymErr.exe
Task: {6391BBDB-119A-4335-A67C-7E3BBD15B019} - System32\Tasks\Norton WSC Integration => C:\Program Files (x86)\Norton Internet Security\Engine\19.9.1.14\WSCStub.exe
Task: {F6874E05-3A9B-40E9-8C4C-D45CF5DD15DE} - System32\Tasks\Norton Internet Security\Norton Error Analyzer => C:\Program Files (x86)\Norton Internet Security\Engine\19.9.1.14\SymErr.exe
Task: C:\Windows\Tasks\DriverToolkit Autorun.job => C:\Program Files (x86)\DriverToolkit\DriverToolkit.exe
Task: C:\Windows\Tasks\Opera N.job => C:\Program Files (x86)\Opera\launcher.exe
Startup: C:\Users\elmaestro\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dropbox.lnk
S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X]
S3 vmci; \SystemRoot\system32\DRIVERS\vmci.sys [X]
S3 VMnetAdapter; system32\DRIVERS\vmnetadapter.sys [X]
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
HKU\S-1-5-21-950601680-909652224-4197209155-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki
Toolbar: HKU\S-1-5-21-950601680-909652224-4197209155-1000 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File
C:\Program Files (x86)\DriverToolkit
C:\Program Files (x86)\oTweak
C:\ProgramData\APN
C:\Users\HP\AppData\Local\DriverToolkit
C:\Users\HP\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\oTweak Software
C:\Users\HP\AppData\Roaming\RHEng
C:\Users\HP\Desktop\VOPackage.exe
C:\Windows\System32\Tasks\Norton Internet Security
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Norton Internet Security
Reg: reg delete HKCU\Software\DriverToolkit /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{EE932B49-D5C0-4D19-A3DA-CE0849258DE6} /f
Reg: reg delete HKCU\Software\oTweak /f
Reg: reg delete HKCU\Software\Softonic /f
Reg: reg query HKLM\SOFTWARE\Microsoft\Ole /s
Reg: reg query HKLM\SOFTWARE\Microsoft\Rpc /s
Reg: reg add HKLM\SOFTWARE\Microsoft\Ole /v EnableDCOM /t REG_SZ /d Y /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Rpc\Internet /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Report" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SoftonicAssistant" /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Wyłącz COMODO, gdyż zablokuje FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

4. Zrób nowy log FRST z opcji Scan na następujących warunkach: w sekcji Internet odznacz Whitelist oraz zaznacz pole Shortcut, by powstał brakujący log. Dołącz też plik fixlog.txt.

Odnośnik do komentarza

Załączam logi

shortcut - http://wklej.org/id/1665766/

 

addition - http://wklej.org/id/1665773/

 

frst - http://wklej.org/id/1665770/

 

Niestety, wybacz,ale na wynik fixloga czekałem 2 godziny program nie odpowiadał, więc zrezygnowałem.Z przeglądarką postąpiłem, tak jak kazałaś, podczas scanowania frst wyłączyłem Comodo. W trakcie  odinstawania tych Adobe każe mi zamknąć przeglądarkę. Zrobię to po skończeniu tego posta. Proszę Cię, wyjaśnij mi kilka kwestii,zanim całkiem nie popadnę w paranoje.

Net tools podczas scanowania trojan hunter zgłasza obecność hosta 192.168.1.7, mój numer IP to 192.168.1.6 i że nasłuchuje na porcie 27374, sensor monitor zgłasza nasłuch na tym samym porcie, wyje i wyje. W sieci nie ma nikogo, oprócz 192.168.1.6. Skoro nie ma infekcji, to jak to wyjaśnić? Przepraszam Cię, ale nie umiem tego wytłumaczyć. Poza tym,dlaczego dołączone screeny są takie małe, przecież nic nie zaznaczałem, nic nie zmieniam, to są screeny z painta, nie wiem. Dlaczego na liście tematów dotyczących infekcji, nie ma mojego tematu i Twojej odpowiedzi, specjalnie cofam się do15.03 i nic. Dzwoniłem do kolegi, dlaczego nie wysłał mi maila, twierdzi, że wysłał, a jednak go nie ma. Usuwane są z przeglądarki zapisane strony. Przepraszam za "marudzenie" pomóż mi to wyjaśnić.

Jest i fixlog, udało się

http://wklej.org/id/1666021/

Odnośnik do komentarza

Nie wszystko wykonało się - nadal są niepożądane ustawienia wprowadzone przez nieszczęsny WWDC. Poprawki:

 

1. Otwórz Notatnik i wklej w nim:

 

DeleteKey: HKLM\SOFTWARE\Microsoft\Rpc\Internet
Reg: reg add HKLM\SOFTWARE\Microsoft\Rpc /v "DCOM Protocols" /t REG_MULTI_SZ /d ncacn_ip_tcp /f
Reg: reg query HKLM\SOFTWARE\Microsoft\Ole /s
Reg: reg query HKLM\SOFTWARE\Microsoft\Rpc /s
Reboot:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows, by COMODO nie przeszkadzał. Uruchom FRST i kliknij w Fix. Gdy Fix ukończy pracę, nastąpi restart, opuść Tryb awaryjny. Powstanie kolejny plik fixlog.txt.

 

2. W ostatnim dostarczonym FRST brak oznak wykonania tego i to do zrobienia:

 

2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.

3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

 

 

 

Usuwane są z przeglądarki zapisane strony.

Potencjalne przyczyny: uszkodzony cały profil, albo uszkodzony / skasowany plik places.sqlite (w nim Firefox trzyma Bookmarki i Historię), blokada zapisu (np. pochodząca od COMODO Defense+).

 

 

Net tools podczas scanowania trojan hunter zgłasza obecność hosta 192.168.1.7, mój numer IP to 192.168.1.6 i że nasłuchuje na porcie 27374, sensor monitor zgłasza nasłuch na tym samym porcie, wyje i wyje. W sieci nie ma nikogo, oprócz 192.168.1.6. Skoro nie ma infekcji, to jak to wyjaśnić?

Jak mówię, dostarcz poprawne zrzuty ekranu to pokazujące, bo coś mi się wydaje, że następuje tu jakiś błąd interpretacji.

 

 

Poza tym,dlaczego dołączone screeny są takie małe, przecież nic nie zaznaczałem, nic nie zmieniam, to są screeny z painta, nie wiem.

Takie małe są, bo takie dostarczyłeś. Popatrz do czego linkujesz:

 

hxxp://wstaw.org/m/2015/03/17/troj_png_300x300_q85.jpg

hxxp://wstaw.org/m/2015/03/17/troj1_png_300x300_q85.jpg

hxxp://wstaw.org/m/2015/03/12/cba_png_300x300_q85.jpg

 

Pliki zuploadowałeś na serwis zewnętrzny i podałeś linki do miniatur utworzonych przez serwis wstaw.org, a nie obrazków oryginalnego rozmiaru. Tu nikt nie manipulował.

 

 

Dlaczego na liście tematów dotyczących infekcji, nie ma mojego tematu i Twojej odpowiedzi, specjalnie cofam się do15.03 i nic.

Pokaż na zrzucie ekranu gdzie Ty to konkretnie sprawdzasz...

 

 

Dzwoniłem do kolegi, dlaczego nie wysłał mi maila, twierdzi, że wysłał, a jednak go nie ma.

Różne wyjaśnienia tego mogą być. Np. e-mail w ogóle nie doszedł, e-mail omyłkowo wylądował w folderze typu Spam lub COMODO Firewall zablokował odbiór.

 

 

Podkreślam: nie ma tu oznak infekcji rodzaju który insynuujesz. Opisywane zjawiska mogą mieć całkiem inne uzasadnienie. Na razie to kilka problemów (problem z połączeniem sieciowym, błędy "Odmowa dostępu") dzwoni zbyt przedsiębiorczym COMODO Firewall i Defense+, aniżeli infekcją. I sugeruję od razu na próbę odinstalować ten program, by się przekonać które problemy nadal będą mieć miejsce.

Odnośnik do komentarza

Zrobiłem fixlog, jednak, mimo, że robiłem go w trybie awaryjnym z konta administratora wydaje się, że został zrobiony  z konta ograniczonego - http://http://wklej.org/id/1667984/

 

Wykonałem także scan frst - http://wklej.org/id/1668412/

Wyjaśnienie problemu z przeglądarką jest racjonalne, proszę Cię  wytłumacz mi jeszcze, dlaczego zginęło selektywnie ok. 40 zapisanych stron dotyczących określonego zagadnienia, a niie wszystkie. Poza tym proszę Cię o wyjaśnienie, dlaczego 2 komputery jeden po drugim tracą możliwość monitorowania sieci, ponieważ sterowniki do kart bezprzewodowych uległy uszkodzeniu, tak przynajmniej informuje system Windows - http://wstaw.org/m/2015/03/22/karta.png

 

Chciałem także zmienić hasło w routerze do sieci WI-FI, najpierw bez połączenia internetowego przy włączonym routerze, ale odłączonym przewodzie, nie było to jednak możliwe, próba zmiany hasła do WI-FI tez konczy się "niepowodzeniem" - http://wstaw.org/m/2015/03/22/roter.png

 

Podczas pracy net tools otrzymuje wynik, z którego wynika, że w sieci znajduje host 192.168.1.7 (karta bezprzewodowa) mój numer to 192.168.1.6 (przewód) - http://wstaw.org/m/2015/03/22/troj.png  http://wstaw.org/m/2015/03/22/trojanhunter.png

 

Wytłumacz mi, jak to możliwe skoro sterownik jest uszkodzony, w panelu administracyjnym routera w zakładce urządzenia autoryzowane nikogo zalogowanego nie widać. Mojego tematu także nie było widać, zaklinam się na wszystkie świętości, poza tym, podczas pisania tej odpowiedzi,zauważyłem straszne utrudnienia ( samoistne przełączanie na inne strony, utrata zapisanych treści, wyłączyłem zatem internet.)

 

Wytłumacz mi  także taką kwestie, zapisuje ściągnięty plik z internetu w lokalizacji pulpit, widzę mnóstwo plików graficznych, których nie ma, nie widzę na pulpicie, dlaczego? Na podstawie Twoich obserwacji i doświadczenia w temacie, można stwierdzić, że w widocznych plikach i systemie nie ma infekcji. Może zatem, trojan został ukryty, np. w strumieniach dysku NTFS, slack space? Przepraszam Cię za snucie jakiś teorii spiskowych, nie wiem i nie umiem tego wytłumaczyć. Żeby to sprawdzić, chciałem użyć wiersza poleceń, ale też został tak pomniejszony, że nic niewidać. Po modyfikacji i wpisaniu zwykłej komendy ipconfig /all nie ma nr IP komputera, tylko adres bramy. NIe zrobiłem screenu, teraz już tego nie ma. Proszę Cię o wyjaśnienie.

Odnośnik do komentarza

Przepraszam, ze bez polskich znakow, pisze z dystrybucji Linux. Kolejne scanowanie wykazalo trojana patched.ren.gen oraz crypt.pack.gen, w sumie bylo ich 24, nie pamietam sciezki, ale o ile pamietam w c:\page.dll.................. Czy te logi tego nie pokazyway? Tak zaciemnione? Z tego co czytalem o tym patched.ren.gen ukrywa sie, kradnie poufne informacje, wylacza firewalla i antywirusa, zapewnia zdalne zarzadzanie komputerem, ten crypt kradnie m. inn.hasla. O szkodach pisalem, ale podsumujmy:reklamy i przekierowania na dziwne strony, usuniecie zapisanych stron w przegladarce- drugi raz, zmiany w konfiguracji routera, wolny internet. Zarzekam sie,  przez dwa dni byly problemy techniczne u dostawcy internetu i go nie bylo, od czasu ostatniego postu korzystalem z linuksa w trybie forensic, tylko do odczytu, wiec nie moglem narobic szkod. Generalnie pytanie brzmi, co nalezy teraz uczynic,chodzi o pewnosc, ze jest czysty. Probowalem scanowac go z zewnatrz Kasperskim, Bitdefender, nie startowaly. Nagrywane na tym komputerze jakies 1,5 roku temu. Uszkodzone?

 

antywirus - http://wstaw.org/m/2015/03/27/avira2.png

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...