Sirefef2 wykryty przez Panda Cloud Cleaner

[Danieloski]

Witam. jakieś 4 godziny temu mój komputer został zaatakowany przez "policyjny" trojan cyberprzestępczosć. Z tym sobie (chyba) poradziłem (poprzez przywaracanie sytemu) Używam skanera online Panda Cloud Cleaner i wykrył on dwa zagrażenia. Jedną usunał natomiast nie do ruszenia jest trojan Sirefef2(jeszcze 2-3 dni temu napewno go nie było). Siedze 3 godziny i po kolei próbuje usunąć tego trojana ale żaden program nie jest w stanie tego zrobić. Podobno można to usuinac ręcznie za pomocą OTL ale ja kompletnie sie na tym nie znam. PROSZE O POMOC!!! Wzałączniku skan z OTL.

Extras.Txt

OTL.Txt

[picasso]

W raporcie brak oznak czynnej infekcji (tylko adware i tym zajmę się potem), ale nie podałeś obowiązkowego skanu pod kątem rootkitów: GMER. Uzupełnij.

 

 

jakieś 4 godziny temu mój komputer został zaatakowany przez "policyjny" trojan cyberprzestępczosć. Z tym sobie (chyba) poradziłem (poprzez przywaracanie sytemu)

 

Nie wszystko zostało usunięte. Jeszcze ten plik przez SHIFT+DEL skasuj:

 

[2012-11-06 20:46:08 | 083,023,306 | ---- | M] () -- C:\ProgramData\dsgsdgdsgdsgw.pad

 

 

Używam skanera online Panda Cloud Cleaner i wykrył on dwa zagrażenia. Jedną usunał natomiast nie do ruszenia jest trojan Sirefef2(jeszcze 2-3 dni temu napewno go nie było).

 

Dokładnie przeklej ten wynik w czym to jest widziane, jaka ścieżka dostępu. Póki co, to tu na pewno nie ma Sirefef w wariancie CLSID, czyste klucze w skanie OTL, nic też nie wskazuje by był starszy wariant infekujący sterowniki systemowe (nie podany skan GMER, ale w OTL brak znaków pośrednich). Czyli jedyny wariant Sirefef, który wchodzi w grę, to infekcja pliku services.exe. Dlatego pytam: co widzi skaner.

 

 

 

.

[Danieloski]

plik o, ktorym piszesz skasowałem. dzis rano wykonałem jeszcze 2 skanowania Pandą. Za pierwszy razem wykrył dodatkowo 2x Suspicious Policy (podobno usunął). Za drugim razem już tylko sirefef2(brak zainfekowanych plików, zainfekowany jest tylko wpis do rejestru). Raporty Pandy podaje poniżej nie mogę ich dłoączyć gdyż "Nie mam uprawnień do wysyłania tego typu plików. Skan GMER wykonam po powrocie z pracy.

 

Skanowaniwe nr 1 :

 

Suspicious Policy. POLICY: HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\ADVANCED[sHOWSUPERHIDDEN] to be changed to: 1

 

Suspicious Policy. POLICY: HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\ADVANCED[HIDEFILEEXT] to be changed to: 0

 

Malware. REGKEY: HKLM\SOFTWARE\CLASSES\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\INPROCSERVER32. Variable: (null) To be changed to: C:\Windows\system32\wbem\wbemess.dll

 

 

Skan nr 2

Malware. REGKEY: HKLM\SOFTWARE\CLASSES\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\INPROCSERVER32. Variable: (null) To be changed to: C:\Windows\system32\wbem\wbemess.dll

[Danieloski]

w załączniku wynik skanu gmer.

 

-odnistalowałem daemnona

- odinstalowałem sterownik

- uruchomiłem ponownie komputer

- pobrałem gmera

- wykonałem skan wg instrukcji

bez tytułu.txt

[picasso]

Malware. REGKEY: HKLM\SOFTWARE\CLASSES\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\INPROCSERVER32. Variable: (null) To be changed to: C:\Windows\system32\wbem\wbemess.dll

 

Skan nr 2

Malware. REGKEY: HKLM\SOFTWARE\CLASSES\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\INPROCSERVER32. Variable: (null) To be changed to: C:\Windows\system32\wbem\wbemess.dll

 

Ten wynik Pandy, jeśli w kółko go pokazuje, nie zgadza się zupełnie z logiem OTL. Wg OTL ten klucz jest poprawny:

 

========== ZeroAccess Check ==========
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
"" = %systemroot%\system32\wbem\wbemess.dll -- [2009-07-14 02:16:17 | 000,342,528 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both

 

Jak mówię, nie widzę tu żadnych oznak infekcji ZeroAccess/Sirefef.

 

 

---

Mam nadzieję, że usunąłeś plik infekcji C:\ProgramData\dsgsdgdsgdsgw.pad. Doczyść jeszcze adware, o którym wspominałam, oraz wpisy odpadkowe:

 

1. Przez Panel sterowania odinstaluj adware Ask Toolbar, Ask Toolbar Updater, AVG Security Toolbar, Babylon toolbar on IE.

 

2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

4. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:OTL
O4 - HKLM..\Run: []  File not found
O4 - Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Rejestracja Need for Speed™ Undercover.lnk =  File not found
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab" (Reg Error: Value error.)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys -- (esgiguard)
[2012-11-06 23:02:20 | 000,000,000 | ---D | C] -- C:\Program Files\Enigma Software Group
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany.

 

5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[Danieloski]

Wszystkie akcje wykonane. pliki w załącznikach. Natomiast jakiś czas przed Pani postem użyłem ComboFix'a co na pewno nie jest bez znaczenia niestety nie zapisałem log chociaz jakis zapisał się w folderze Qooboox datą i godziną odpowiada użycie prze mnie daje go też w załączniku. Po użyciu CF Panda nie wykrywa już sirefef2 czyli główny problem zniknął.

 

Tylko jak mam odinstalować ComboFixa ?? Wrzuciełem go na dysk C. bezpośrednio bez żadnych podfolderów ale gdy w uruchom wpiuje C:\ComboFix/u lub C:\ComboFix/nistall to porogram zamiast się odinstalowywać to po prostu się uruchamia. Więc jak mogę go odinstalowac ? Czytałem, że po użyciu koniecznie należy go usnąć.

 

 

i jeszcze jedno pytane co to jest "Suspicious Policy" bo robiąc jeszcze jeden skan znowu wykroło mi to x 2. Usuwa i jest czysto ale od czasu wtorkowego incydentu to chyba 3 raz odkąd panda to wykrywa natomiast wcześniej nie miałem z niczym takim doczynienia

OTL.Txt

AdwCleanerS1.txt

ComboFix2.txt

[picasso]

Natomiast jakiś czas przed Pani postem użyłem ComboFix'a co na pewno nie jest bez znaczenia niestety nie zapisałem log chociaz jakis zapisał się w folderze Qooboox datą i godziną odpowiada użycie prze mnie daje go też w załączniku.

 

Wyraźnie Ci powiedziałam: nie ma tu oznak Sirefef. Uruchomiłeś go już po mojej pierwszej odpowiedzi. Nie polecałam tego działania, bo brak jakichkolwiek podstaw, by uruchamiać tak silne narzędzie. I po co go uruchamiałeś? Żadnych pożądanych skutków. Tylko wymęczyłeś system. Nawet się nie zastanowiłeś, czy przypadkiem nie pokrzyżujesz mi działań w temacie, czy to pożądane.

 

 

Po użyciu CF Panda nie wykrywa już sirefef2 czyli główny problem zniknął.

 

Tylko, że to co wykryła Panda nie było modyfikacją Sirefef.

 

REGKEY: HKLM\SOFTWARE\CLASSES\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\INPROCSERVER32. Variable: (null) To be changed to: C:\Windows\system32\wbem\wbemess.dll

 

Wartość (null), czyli pusta. Sirefef umieszcza tam całkiem inne dane, skierowanie na konkretny plik infekcji. Pusta wartość to owszem nieprawidłowość i należało skorygować, ale dane tej wartości niezgodne z Sirefef. Być może kiedyś dawno temu był i czymś nieumiejętnie usuwano zapominając skorygować wartość, być może wcale go nie było i pusta wartość była konsekwencją całkiem innych działań.

 

 

Tylko jak mam odinstalować ComboFixa ?? Wrzuciełem go na dysk C. bezpośrednio bez żadnych podfolderów ale gdy w uruchom wpiuje C:\ComboFix/u lub C:\ComboFix/nistall to porogram zamiast się odinstalowywać to po prostu się uruchamia. Więc jak mogę go odinstalowac ? Czytałem, że po użyciu koniecznie należy go usnąć.

 

Parametr /u nie istnieje, dawno temu ComboFix go posiadał. Aktualnie prawidłowym parametrem jest /uninstall. Między nazwą pliku (ma być z końcówką exe) a parametrem jest spacja, czyli prawidłowa komenda to:

 

C:\ComboFix.exe /uninstall

 

 

i jeszcze jedno pytane co to jest "Suspicious Policy" bo robiąc jeszcze jeden skan znowu wykroło mi to x 2. Usuwa i jest czysto ale od czasu wtorkowego incydentu to chyba 3 raz odkąd panda to wykrywa natomiast wcześniej nie miałem z niczym takim doczynienia

 

vs.

 

Suspicious Policy. POLICY: HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\ADVANCED[sHOWSUPERHIDDEN] to be changed to: 1

 

Suspicious Policy. POLICY: HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\ADVANCED[HIDEFILEEXT] to be changed to: 0

 

To są wartości odpowiedzialne za pokazywanie rozszerzeń oraz ukrytych plików. Odpowiednik tego: w Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok > Ukryj rozszerzenia znanych typów plików (HideFileExt) + Ukryj chronione pliki systemu operacyjnego (ShowSuperHidden). Te wyniki nie są istotne, to nie jest infekcja. A uruchamianie OTL i ComboFix przestawia te opcje... Być może Panda wychwytuje właśnie te zmiany.

 

 

---

Zalecone przeze mnie operacje wykonane.

 

1. Mini poprawka. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKCU\..\SearchScopes\{BC658103-3E01-43D5-B8CB-E33D345E4A23}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=NDV2&o=15835&src=kw&q={searchTerms}&locale=&apn_ptnrs=D8&apn_dtid=YYYYYYYYPL&apn_uid=05D19088-4F53-4359-8AD8-2F84A45A74D9&apn_sauid=2D853A50-8467-4F64-B4F5-BA5B2E98FAF6&"
O4 - HKLM..\Run: [ROC_roc_ssl_v12] "C:\Program Files\AVG Secure Search\ROC_roc_ssl_v12.exe" / /PROMPT /CMPID=roc_ssl_v12 File not found
[2012-11-08 16:47:05 | 000,004,919 | ---- | M] () -- C:\ProgramData\rznaopga.sea
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\gdrv.sys -- (gdrv)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\user\AppData\Local\Temp\catchme.sys -- (catchme)

 

Klik w Wykonaj skrypt. Tym razem nie będzie restartu.

 

2. Porządki po narzędziach: odinstaluj ComboFix, w OTL uruchom Sprzątanie, w AdwCleaner użyj Uninstall, "Stare dane programu Firefox" na Pulpicie do kosza. Deinstalacje ComboFix + OTL znów przestawią opcje Widoku na domyślne.

 

3. Zaktualizuj wyliczone poniżej programy: KLIK. Wg raportu masz zainstalowane:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31
"{26A24AE4-039D-4CA4-87B4-2F83217007FF}" = Java 7 Update 7
"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.5 - Polish
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)
"Adobe Shockwave Player" = Adobe Shockwave Player 11.6
"Gadu-Gadu" = Gadu-Gadu 7.7
"Spyware Doctor" = Spyware Doctor 6.0
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32_11_4_402_287.dll ()
FF - HKLM\Software\MozillaPlugins\@adobe.com/ShockwavePlayer: C:\Windows\system32\Adobe\Director\np32dsw.dll (Adobe Systems, Inc.)

 

Wszystkie stare Adobe i Java odinstaluj zanim uzupełnisz najnowsze wersje. Odinstaluj sfatygowany Spyware Doctor 6.0.

 

Gadu-Gadu 7.7 też tu zakreślam, bo wersja archaiczna niezdolna poprawnie obsługiwać własną sieć, bardzo słabo zabezpieczona (m.in. brak szyfrowanych połączeń). Zainteresuj się nowoczesnym bezreklamowym WTW, który obsługuje Gadu lepiej niż stare Gadu: KLIK.

 

 

.

[Danieloski]

Wykonałem wszystkie polecenia. bardzo dziękuję Pani za pomoc. Skromną sumą zasiliłem konto serwisu. w razie problemów z infekcjami wiem już gdzię mogę się zwrócić. Jeszcze raz dziękuje.

Edytowane 12 Listopada 2012 przez picasso
Dziękuję za dotację. Temat rozwiązany, zamykam //picasso