Infekcja Win64:Sirefef-A [Trj]

[lisciu24]

Witam

Mam problem trojanem : Win64:Sirefef-A [Trj] i rootkit Win32:Sirefef-AO [Rtk]

ktore znajduja sie w C:\RECYCLER\S-1-5-18\

Probowalem usunac avastem ale virusy sie odnawiaja i nie wiem co z tym zrobic teraz

 

Prosze o pomoc bo te viry mnie wykoncza , wczoraj dopiero co pozbylem sie security progressive protection a dzisiaj to

z gory dzieki

pozdro

 

Tu moje logi :

OTL

http://wklej.org/id/877821/

 

EXTRAS

http://wklej.org/id/877822/

[Landuss]

System masz zainfekowany najnowszą wersją trojana ZeroAccess. Wykonuj kolejno poniższe kroki.

 

1. Otwórz Notatnik i wklej w nim:

 

reg delete HKCU\Software\Classes\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9} /f
reg add HKLM\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InprocServer32 /ve /t REG_SZ /d C:\Windows\system32\wbem\fastprox.dll /f

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT

 

Uruchom ten plik. Zrestartuj komputer.

 

2. Otwórz Notatnik i wklej w nim:

 

cacls C:\RECYCLER\S-1-5-18 /E /G Wszyscy:F

cacls C:\RECYCLER\S-1-5-21-1060284298-113007714-1417001333-1003\$0714e15102c7fdb4d00c100ad515d887
/E /G Wszyscy:F
rd /s /q C:\RECYCLER
pause

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT

 

Uruchom plik. Zrestartuj komputer.

 

3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL

DRV - File not found [Kernel | Auto | Stopped] -- System32\Drivers\Scutum50.sys -- (Scutum50)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\rt2870.sys -- (rt2870)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\mbamswissarmy.sys -- (MBAMSwissArmy)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbdev.sys -- (hwusbdev)
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://start.facemoods.com/?a=ddr&s={searchTerms}&f=4"
IE - HKCU\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=ddr&s={searchTerms}&f=4"
IE - HKCU\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=YYYYYYYYNL&apn_uid=6A843AF5-57BA-404E-929E-3EA3D4682A5F&apn_sauid=6FB1BA7F-27FC-4E9B-A5CD-2D2ABEEC4799"
IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB9}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}"
IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2304157"
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found
O4 - HKLM..\Run: [sonyAgent] C:\WINDOWS\Temp\temp18.exe ()
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

4. Przez Panel sterowania odinstaluj: Ask Toolbar / Ask Toolbar Updater / DAEMON Tools Toolbar / XfireXO Toolbar

 

Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

5. Uruchom AdwCleaner z opcji Delete

 

6. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) oraz log z Farbar Service Scanner

[lisciu24]

Wszystko zrobilem wedlug instrukcji i narazie wyglada ze spowrotem wszystko jest OK

Zaraz zrobie jeszcze skana avastem

 

Tu logi:

OTL

http://wklej.org/id/877904/

 

Farbar

http://wklej.org/id/877907/

[Landuss]

Infekcja zdjęta i można przejść dalej.

 

1. Uruchom narzędzie ServicesRepair w celu naprawienia usług systemowych.

 

2. Wejdź w ustawienia Google Chrome i przestaw domyślną wyszukiwarkę na Google, a obecną tam facemoods usuń z listy.

 

3. Pokazujesz nowy log z OTL i FSS.

Edytowane 1 Lutego 2013 przez picasso
1.02.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso