Sirefef.ez koń trojański

[eliot124]

Witam,

 

ESET NOD32 wykrył u mnie na laptopie sirefef.ez koń trojański, zaraz po zainstalowaniu kodeków do filmu ściągniętego na torrentach (kodeki były razem z filmem). Wybrałem opcję usuń i restart komputera. Po restarcie zaczeły mi wyskakiwać coraz to nowe komunikaty z ESET o nowych lokalizacjach wirusa oraz innych nazwach typu (mogę coś przekręcić) sirefef.ww, sirefef.az, condinem, agent.ba. Kliknięcie opcji usuń doprowadzało do ponownego restartu systemu, i od początku wszystkie komunikaty o obecności wirusa.

Postanowiłem poczytać w google o tym koniu. Jednak zanim doszedłem Tu i przeczytałem Ważne informacje, zdążyłem zainstalować comobfix oraz go uruchomić. Cały proces przebiegł bez problemu, nie miałem nigdy żadnych emulatorów napędów, posiadam log, który załączam. Nim odpaliłem combofix w tle 2 razy próbowała uruchomić się aktualizacja AcrobatReadera, wyłączyłem ją za każdym razem.

Po wygenerowaniu pliku log przez combofix wszystko wydaje się funkcjonować normalnie, zero komunikatów, zero aktualizacji AR, jednak ESET znalazł po ponownym uruchomieniu kilka infekcji. Proszę o pomoc.

 

Pozdrawiam

 

 

Dodam na koniec, że jest to laptop mojej dziewczyny. Ma na nim dużo ważnych plików prywatnych jak i z pracy. Bardzo ważne, aby nie stracić ich.

ComboFix.txt

OTL.Txt

Extras.Txt

[picasso]

ESET NOD32 wykrył u mnie na laptopie sirefef.ez koń trojański, zaraz po zainstalowaniu kodeków do filmu ściągniętego na torrentach (kodeki były razem z filmem).

 

Moje podejrzenie się sprawdziło. Od jakiegoś czasu w tematach z tą infekcją ZeroAccess notowałam jako świeżo zainstalowany podejrzany pakiet Mega Codec Pack. U Ciebie na dysku nadal go widać i będę czyścić.

 

 

Nim odpaliłem combofix w tle 2 razy próbowała uruchomić się aktualizacja AcrobatReadera, wyłączyłem ją za każdym razem.

 

To są oznaki infekcji ZeroAccess.

 

 

o wygenerowaniu pliku log przez combofix wszystko wydaje się funkcjonować normalnie, zero komunikatów, zero aktualizacji AR, jednak ESET znalazł po ponownym uruchomieniu kilka infekcji.

 

Nie podałeś co właściwie wykrył ESET. Natomiast log z ComboFix przedstawia, że był tu wariant ZeroAccess modyfikujący systemowy plik services.exe. Plik został pomyślnie podstawiony, inne komponenty trojana również usunięte, ale nie wszystkie. Będę poprawiać. Poza tym, adware do usunięcia jeszcze mamy.

 

 

1. W Menu Start sprawdź czy jest deinstalator Mega Codec Pack. Przez Panel sterowania odinstaluj adware AVG Security Toolbar, Babylon toolbar on IE, BabylonObjectInstaller, DealPly, McAfee Security Scan Plus, QuickStores-Toolbar 1.2.0, vShare.tv plugin 1.3 oraz zbędny Akamai NetSession Interface. Ten DealPly niestety pociął już ComboFix i tu "deinstalacja" będzie tylko polegać na zatwierdzeniu komunikatu Windows o usuwaniu pustego wpisu.

 

2. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Windows\Installer\{ff7695c2-e61d-c667-e8fe-08b6b47959d7}
C:\Windows\SysWow64\%APPDATA%
C:\ProgramData\Microsoft\Media Tools
C:\Program Files (x86)\Mega Codec Pack
C:\Users\Ania\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mega Codec Pack
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[-HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\0MediaIconsOerlay]
 
:OTL
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678"
IE - HKU\S-1-5-21-2919703550-3443613744-3130986632-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://startsear.ch/?aff=1&q={searchTerms}"
IE - HKU\S-1-5-21-2919703550-3443613744-3130986632-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110819&tt=060612_6_&babsrc=SP_ss&mntrId=e4e2749f0000000000001c659d0becb0"
IE - HKU\S-1-5-21-2919703550-3443613744-3130986632-1000\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "https://isearch.avg.com/search?cid={68D9B8F2-BE7A-4448-A17A-7D1C9C6FF891}&mid=94233bdd34ad47d0b10e1246d7d82c27-29961f5c5be7527a09f2c733a27bdd74becdc737&lang=pl&ds=xn011&pr=sa&d=2012-09-19 22:12:24&v=12.2.5.34&sap=dsp&q={searchTerms}"
IE - HKU\S-1-5-21-2919703550-3443613744-3130986632-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678"
IE - HKU\S-1-5-21-2919703550-3443613744-3130986632-1000\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7"
IE - HKU\S-1-5-21-2919703550-3443613744-3130986632-1000\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - No CLSID value found
O2 - BHO: (DealPly) - {A6174F27-1FFF-E1D6-A93F-BA48AD5DD448} - C:\Program Files (x86)\DealPly\DealPlyIE.dll File not found
O3 - HKU\S-1-5-21-2919703550-3443613744-3130986632-1000\..\Toolbar\WebBrowser: (no name) - {BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} - No CLSID value found.
O3 - HKU\S-1-5-21-2919703550-3443613744-3130986632-1000\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found.
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

4. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

5. Zrób nowy log OTL z opcji Skanuj (już bez Extras) + Farbar Service Scanner. Dołącz log utworzony z usuwania OTL w punkcie 3 + przez AdwCleaner.

 

 

 

.

[eliot124]

Tak owszem zainstalowałem właśnie pakiet Mega Codec Pack.

Wykonałem wszystko wedle instrukcji. Nie do końca wiem co Miałaś na myśli pisząc 'Extras', więc zrobiłem OTL skan wedle ustawień diagnostyki ogólnej.

Nie podałem co mi wykrył ESET ponieważ na 16% zatrzymał się. Nie chciał ruszyć dalej, komputer normalnie funkcjonował.

 

log utworzony z usuwania OTL w punkcie 3

 

========== FILES ==========

C:\Windows\Installer\{ff7695c2-e61d-c667-e8fe-08b6b47959d7}\U folder moved successfully.

C:\Windows\Installer\{ff7695c2-e61d-c667-e8fe-08b6b47959d7}\L folder moved successfully.

C:\Windows\Installer\{ff7695c2-e61d-c667-e8fe-08b6b47959d7} folder moved successfully.

C:\Windows\SysWow64\%APPDATA%\Microsoft\Windows\IETldCache folder moved successfully.

C:\Windows\SysWow64\%APPDATA%\Microsoft\Windows folder moved successfully.

C:\Windows\SysWow64\%APPDATA%\Microsoft folder moved successfully.

C:\Windows\SysWow64\%APPDATA% folder moved successfully.

C:\ProgramData\Microsoft\Media Tools\temp folder moved successfully.

C:\ProgramData\Microsoft\Media Tools\plugins folder moved successfully.

C:\ProgramData\Microsoft\Media Tools folder moved successfully.

C:\Program Files (x86)\Mega Codec Pack\Filters\Haali\temp folder moved successfully.

C:\Program Files (x86)\Mega Codec Pack\Filters\Haali folder moved successfully.

C:\Program Files (x86)\Mega Codec Pack\Filters\FFDShow folder moved successfully.

C:\Program Files (x86)\Mega Codec Pack\Filters folder moved successfully.

C:\Program Files (x86)\Mega Codec Pack folder moved successfully.

C:\Users\Ania\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mega Codec Pack\Filters folder moved successfully.

C:\Users\Ania\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mega Codec Pack folder moved successfully.

========== REGISTRY ==========

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\\"Start Page"|"about:blank" /E : value set successfully!

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main\\"Start Page"|"about:blank" /E : value set successfully!

Registry key HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\0MediaIconsOerlay\ deleted successfully.

========== OTL ==========

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{afdbddaa-5d3f-42ee-b79c-185a7020515b}\ not found.

Registry key HKEY_USERS\S-1-5-21-2919703550-3443613744-3130986632-1000\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.

Registry key HKEY_USERS\S-1-5-21-2919703550-3443613744-3130986632-1000\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}\ not found.

Registry key HKEY_USERS\S-1-5-21-2919703550-3443613744-3130986632-1000\Software\Microsoft\Internet Explorer\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{95B7759C-8C7F-4BF1-B163-73684A933233}\ not found.

Registry key HKEY_USERS\S-1-5-21-2919703550-3443613744-3130986632-1000\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{afdbddaa-5d3f-42ee-b79c-185a7020515b}\ not found.

Registry key HKEY_USERS\S-1-5-21-2919703550-3443613744-3130986632-1000\Software\Microsoft\Internet Explorer\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}\ not found.

Registry value HKEY_USERS\S-1-5-21-2919703550-3443613744-3130986632-1000\Software\Microsoft\Internet Explorer\URLSearchHooks\\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}\ not found.

Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A6174F27-1FFF-E1D6-A93F-BA48AD5DD448}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A6174F27-1FFF-E1D6-A93F-BA48AD5DD448}\ deleted successfully.

Registry value HKEY_USERS\S-1-5-21-2919703550-3443613744-3130986632-1000\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC}\ not found.

Registry value HKEY_USERS\S-1-5-21-2919703550-3443613744-3130986632-1000\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39}\ deleted successfully.

========== COMMANDS ==========

 

OTL by OldTimer - Version 3.2.69.0 log created on 12072012_165756

AdwCleanerS1.txt

FSS.txt

OTL1.Txt

[picasso]

Zadania pomyślnie przeprowadzone. Drobne korekty i kończymy:

 

1. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{BB461F62-BD65-41EE-83A5-371FBD409106}"
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{BB461F62-BD65-41EE-83A5-371FBD409106}"
 
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Akamai NetSession Interface"=-
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"ROC_ROC_NT"=-

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

2. Odinstaluj w prawidłowy sposób ComboFix. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę:

 

D:\Pobrane\ComboFix.exe /uninstall

 

3. W AdwCleaner uruchom Uninstall, w OTL uruchom Sprzątanie, przez SHIFT+DEL skasuj z dysku foldery:

 

C:\Users\Ania\Desktop\Stare dane programu Firefox

C:\Windows\erdnt

 

4. Usuń stare Adobe i Java (zastąp najnowszymi), zaktualizuj Internet Explorer i OpenOffice.org: KLIK. Wg raportu obecnie masz zainstalowane:

 

Internet Explorer (Version = 8.0.7601.17514)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java™ 6 Update 24
"{8727531E-6C58-4852-A90B-39CF45E269A9}" = OpenOffice.org 3.2
"{AC76BA86-7AD7-1033-7B44-AA1000000001}" = Adobe Reader X (10.1.4)
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)

 

Dodatkowo: jest tu potwór Gadu-Gadu 10. Sugeruję wymianę programem alternatywnym z obsługą sieci Gadu: WTW, Kadu, Miranda, AQQ. Do wglądu: KLIK.

 

5. Prewencyjnie zmień hasła logowania w serwisach.

 

 

.

[eliot124]

Wedle instrukcji wszystko zrobione . Zastanawia mnie jeszcze tylko jedna sprawa, gdy włączam ESET aby przeskanował cały komputer to dochodzi do 11% i zatrzymuje się. Brak progresu przez dobre kilka godzin :/

[picasso]

A na czym się zatrzymuje, na jakiej ścieżce?

[eliot124]

Raport ze skanowania. Na jakimś pliku systemowym, nie zwróciłem uwagi jakim.

eset.txt

[picasso]

W logu nie ma nic ciekawego. Nie wykryto zagrożeń, a to że ESET nie umie przetworzyć pliku CAB AutoCAD to już inny temat.

[eliot124]

Rozumiem . Dziękuję w takim razie za pomoc. Będę polecał.

 

Pozdrawiam