Agent Sirefef Conedex w Installer

[Grafi]

Cześć!

 

Od kilku godzin Eset pokazuje mi co jakiś czas wykryte zagrożenia Conedex. Sirefefi. i Agent. (wszystkie z literkami A,B bądź, C, po kropce). wszystko w folderze C:\Windows\Installer\... Esset nie potrafi sobie poradzić program tdskiller znajduje lecz nie może usunąć zagrożenia (także w trybie awaryjnym)

 

Załączam logi i proszę o pomoc.

Extras.Txt

GMER.txt

OTL.Txt

[picasso]

Sirefef = trojan ZeroAccess. Trojan bardzo inwazyjny, niszczy usługi Windows. Prawdopodobnie jest tu wariant modyfikujący systemowy plik services.exe, bo w OTL nie widać modyfikacji w rejestrze. Wymagane dodatkowe skany:

 

1. Uruchom SystemLook x64 i w oknie wklej:

 

:filefind
services.exe
 
:reg
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects /s

 

Klik w Look.

 

2. Zrób także log z Farbar Service Scanner.

 

 

 

.

[Grafi]

Załączam pliki

FSS.txt

SystemLook.txt

[picasso]

Z perwnością plik services.exe jest zmodyfikowany, ale trojan zablokował plik i nie można nawet obliczyć sumy kontrolnej:

 

C:\Windows\System32\services.exe --a---- 329216 bytes [23:19 13/07/2009] [01:39 14/07/2009] (Unable to calculate MD5)

 

 

1. Przejdź w Tryb awaryjny Windows. Uruchom GrantPerms x64 i w oknie wklej:

 

C:\Windows\system32\services.exe

 

Klik w Unlock.

 

2. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę:

 

sfc /scanfile=C:\Windows\system32\services.exe

 

Zresetuj system, by ukończyć naprawę pliku. Jeśli jednak pojawi się tu jakiś błąd, STOP, nie przechodź do wykonania dalszych czynności, tylko od razu zgłoś się na forum.

 

3. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę:

 

netsh winsock reset

 

Zresetuj system w celu ukończenia naprawy łańcucha sieciowego.

 

4. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL

O3 - HKU\S-1-5-21-4104769620-4137627604-3995400415-1000\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O4 - HKU\S-1-5-21-4104769620-4137627604-3995400415-1000..\Run: [DATC9DD.tmp.exe] C:\Users\Kucu\AppData\Local\Temp\DATC9DD.tmp.exe ()
O4 - HKU\S-1-5-21-4104769620-4137627604-3995400415-1000..\Run: [syshost32] C:\Users\Kucu\AppData\Local\{142EA15C-B56E-C8A7-832D-44AD6118CEFA}\syshost.exe (Корпорация  Майкрософт)
O4 - HKLM..\RunOnce: [yorkyt.exe] C:\Windows\SysWow64\cmd.exe (Microsoft Corporation)
FF - HKCU\Software\MozillaPlugins\wacom.com/WacomTabletPlugin: C:\Program Files\TabletPlugins\npWacomTabletPlugin.dll File not found
 
:Files
C:\Windows\Installer\{f0f06552-aeba-4015-962f-bdddf06576d8}
C:\Users\Kucu\AppData\Local\{142EA15C-B56E-C8A7-832D-44AD6118CEFA}
C:\Users\Kucu\AppData\Local\Z0lWqc2Y8mwQP3
C:\ProgramData\APN
C:\Windows\SysWow64\%APPDATA%
del "\\?\C:\Windows\System32\ " /C
ren C:\Windows\assembly\desktop.in0 C:\Windows\assembly\desktop.ini /C
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

5. Odbuduj usunięte przez trojana usługi za pomocą ServicesRepair.

 

6. Napraw martwą ikonę Centrum Akcji uszkodzoną przez trojana. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00

 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{F56F6FDD-AA9D-4618-A949-C1B91AF43B1A}]
"AutoStart"=""

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

7. Odinstaluj wątpliwy skaner Spyhunter.

 

8. Zrób nowy log OTL z opcji Skanuj (zaznacz opcję Pomiń pliki Microsoftu, pliku Extras po raz drugi nie dołączaj) + Farbar Service Scanner + SystemLook na te same warunki co poprzednio. Dołącz też log z usuwania OTL z punktu 4.

 

 

 

.

[Grafi]

Załączam nowe logi.

FSS_nowe.txt

OTL_nowe.txt

SystemLook_nowe.txt

OTL_podpunkt4.txt

[picasso]

Wszystko pomyślnie zrobione, infekcja usunięta + naprawione szkody. Na teraz drobne korekty:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
DRV:64bit: - File not found [Kernel | On_Demand | Running] -- C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys -- (esgiguard)
[2013-01-27 22:14:59 | 000,000,000 | ---D | C] -- C:\Program Files\Enigma Software Group
[2013-01-03 19:14:38 | 000,000,000 | ---D | C] -- C:\ProgramData\Norton
[2013-01-03 19:14:36 | 000,000,000 | ---D | C] -- C:\ProgramData\NortonInstaller
@Alternate Data Stream - 1109 bytes -> C:\Users\Kucu\AppData\Local\Temp:PYLPdnDWuU0u4tDPGEfvK3B7D73Ni

 

Klik w Wykonaj skrypt.

 

2. Korekta na ten plik:

 

========== ZeroAccess Check ==========
 
[2009-07-14 05:55:00 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\desktop.in0

 

To jest prawidłowy plik Windows, ma jednak zmienioną nazwę rozszerzenia z *.ini na *.in0. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator, wklej komendy (po każdej ENTER):

 

attrib -r -s -h C:\Windows\assembly\desktop.in0

ren C:\Windows\assembly\desktop.in0 C:\Windows\assembly\desktop.ini

attrib +r +s +h C:\Windows\assembly\desktop.ini

 

Dla dowodu, że zadanie się wykonało, podaj skan w SystemLook na warunek:

 

:dir

C:\Windows\assembly

 

 

 

.

[Grafi]

Dzięki czarodziejko! Uratowałas mi życie. Może to niewiele co moge zrobić, ale drobny przelew poszedł na konto.

 

SystemLook 30.07.11 by jpshortstuff

Log created at 23:19 on 28/01/2013 by Kucu

Administrator - Elevation successful

 

========== dir ==========

 

C:\Windows\assembly - Parameters: "(none)"

 

---Files---

desktop.in0 --a---- 227 bytes [04:55 14/07/2009] [04:55 14/07/2009]

PublisherPolicy.tme -rah--- 0 bytes [04:55 14/07/2009] [01:17 25/01/2013]

pubpol4.dat -r-h--- 0 bytes [17:04 03/01/2013] [17:04 03/01/2013]

pubpol8.dat -r-h--- 0 bytes [01:17 25/01/2013] [01:17 25/01/2013]

 

---Folders---

GAC d------ [04:55 14/07/2009]

GAC_32 dr----- [03:20 14/07/2009]

GAC_64 dr----- [03:20 14/07/2009]

GAC_MSIL dr----- [03:20 14/07/2009]

NativeImages_v2.0.50727_32 d------ [04:54 14/07/2009]

NativeImages_v2.0.50727_64 d------ [04:54 14/07/2009]

NativeImages_v4.0.30319_32 d------ [21:01 03/01/2013]

NativeImages_v4.0.30319_64 d------ [21:01 03/01/2013]

temp d------ [04:55 14/07/2009]

tmp d------ [04:55 14/07/2009]

 

-= EOF =-

[picasso]

Czy widziałeś jakiś błąd podczas komendy ren? Ja nadal widzę plik o nazwie desktop.in0.

[Grafi]

Powiem szczerze że, nie zwróciłem uwagi (tak wiem, zbłaźniłem się ), po prostu zbyt mechanicznie wykonałem Twoje polecenie.

[picasso]

To wklej w cmd uruchomionym jako Administrator to polecenie ponownie:

 

ren C:\Windows\assembly\desktop.in0 C:\Windows\assembly\desktop.ini

 

I powiedz co widzisz: przejście do nowej linii czy jakiś błąd?

 

 

 

.

[Grafi]

Mam napisane, że składnia polecenia jest niepoprawna

[picasso]

Nie wiem dlaczego, w takim razie wypróbuj rozbicia tej komendy na dwie, czyli w sumie do wykonania trzy:

 

cd C:\Windows\assembly

ren desktop.in0 desktop.ini

attrib +r +s +h desktop.ini

 

Jeśli znów będzie błąd, to podaj jaki i przy której komendzie.

 

 

.

[Grafi]

Wiec wyglądało to tak :

[picasso]

Nastąpiło przejście do nowej linii przy każdej komendzie, co oznacza, że się wykonały i plik powinien być już poprawny. Ale log z SystemLook dałeś nie ten co należy (usuwam), na warunki pod kątem ZeroAccess. Teraz pro forma dodaj na warunek:

 

:dir
C:\Windows\assembly

 

 

 

.

[Grafi]

Dzięki jeszcze raz. Przywracasz wiarę w człowieka.

 

SystemLook 30.07.11 by jpshortstuff

Log created at 01:00 on 29/01/2013 by Kucu

Administrator - Elevation successful

 

========== dir ==========

 

C:\Windows\assembly - Parameters: "(none)"

 

---Files---

desktop.ini -rahs-- 227 bytes [04:55 14/07/2009] [04:55 14/07/2009]

PublisherPolicy.tme -rah--- 0 bytes [04:55 14/07/2009] [01:17 25/01/2013]

pubpol4.dat -r-h--- 0 bytes [17:04 03/01/2013] [17:04 03/01/2013]

pubpol8.dat -r-h--- 0 bytes [01:17 25/01/2013] [01:17 25/01/2013]

 

---Folders---

GAC d------ [04:55 14/07/2009]

GAC_32 dr----- [03:20 14/07/2009]

GAC_64 dr----- [03:20 14/07/2009]

GAC_MSIL dr----- [03:20 14/07/2009]

NativeImages_v2.0.50727_32 d------ [04:54 14/07/2009]

NativeImages_v2.0.50727_64 d------ [04:54 14/07/2009]

NativeImages_v4.0.30319_32 d------ [21:01 03/01/2013]

NativeImages_v4.0.30319_64 d------ [21:01 03/01/2013]

temp d------ [04:55 14/07/2009]

tmp d------ [04:55 14/07/2009]

 

-= EOF =-

[picasso]

Problem z plikiem rozwiązany. Przechodzimy do czynności końcowych:

 

1. Porządki po narzędziach: w OTL uruchom Sprzątanie, a resztę używanych dokasuj ręcznie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Zrób pełne skanowanie w Malwarebytes Anti-Malware. Podczas instalacji padnie pytanie o typ edycji, wybierz free a nie próbną. Jeżeli coś zostanie wykryte, przedstaw raport.

 

.

Edytowane 7 Marca 2013 przez picasso
7.03.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso