Skocz do zawartości

Win32: Sirefef, MPPT97:ShallCode0 i wiele innych...


Rekomendowane odpowiedzi

Dzień dobry,

Bardzo proszę o pomoc w rozwiązaniu poważnego problemu z laptopem mojej żony, z systemem Vista Home 32bit. Przestały działać różne elementy (jak wskaźnik myszy), a procesor pracował w 100% bardzo spowalniając ogólne działanie. Zauważyłem w menadżerze zadań, że tworzyły się liczne svchost, które zajmowały procesor - z komputera dało się jako tako korzystać po zabiciu tych procesów. Po zainstalowaniu programu avast! i pełnym skanowaniu okazało się, że obecne są następujące wirusy:

 

Win32:Sirefef-PL[Rtk]

Win32:Malware-gen

Win64:Sirefef-A [TRj]

MPPT97:ShallCodde 0 [Expl]

Win32: LockScreen-Q

Win32:Rootkit-gen

Win32:Fareit-BC [Trj]

Win32 Cutwail-AS [Trj]

JS:ScriptPrint [Trj]

 

Ponadto w trakcie pracy Avast sygnalizuje też Win32: Sirefef AOO lub A. Avast w ogóle "dzwoni" cały czas, jakby tych różnych wirusów było kilkadziesiąt albo więcej. Poprzekładał też różne wirusy do "kwarantanny", lecz w niektórych wypadkach występuje "odmowa dostępu" lub "nie można znaleźć określonego pliku".

Zgodnie z instrukcją (bardzo jasną - dziękuję!) zrobiłem odpowiednie logi, które załączam. Gdyby to miało jakieś znaczenie precyzuję, że wysyłam ten post z mego, stacjonarnego komputera (Win7/64), gdyż na laptopie żony Opera już nie działa (wszystkie linki nieaktywne), a uruchomienie IE powoduje dalsze "zamulenie" - programy OLT i GMER zainstalowałem z klucza USB. Zanim zainstalowałem Avast!, na komputerze żony nie było żadnego programu antywirusowego (u mnie mam MSE). Nie wiem skąd wzięło się zawirusowanie: moja kochana korzysta z Internetu i przenosi liczne pliki własnymi kluczami USB z komputerów z pracy i od koleżanek. Będziemy bardzo wdzięczni za pomoc.

OTL.Txt

Extras.Txt

GMER.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Po zainstalowaniu programu avast! i pełnym skanowaniu okazało się, że obecne są następujące wirusy:

 

Win32:Sirefef-PL[Rtk]

Win32:Malware-gen

Win64:Sirefef-A [TRj]

MPPT97:ShallCodde 0 [Expl]

Win32: LockScreen-Q

Win32:Rootkit-gen

Win32:Fareit-BC [Trj]

Win32 Cutwail-AS [Trj]

JS:ScriptPrint [Trj]

 

Ponadto w trakcie pracy Avast sygnalizuje też Win32: Sirefef AOO lub A.

Nie podane w czym, ścieżki dostępu.

 

 


Jest tu wariant infekcji ZeroAccess (aka Sirefef) uruchamiany z Kosza, a infekcja ta czyni ogromne szkody w systemie (skasowane usługi). Przy okazji będę usuwać szczątki przeglądarek (Google Chrome / Firefox).

 

1. Otwórz Notatnik i wklej w nim:

 

reg delete HKCU\Software\Classes\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9} /f
reg add HKLM\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InprocServer32 /ve /t REG_EXPAND_SZ /d %%systemroot%%\system32\wbem\fastprox.dll /f
pause

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT

 

Kliknij prawym na plik i wybierz opcję Uruchom jako Administrator. Konieczny restart komputera, by odładować z pamięci ZeroAccess.

 

2. Otwórz Notatnik i wklej w nim:

 

TAKEOWN /F C:\$Recycle.Bin /R /A /D T

icacls C:\$Recycle.Bin\S-1-5-18 /grant Wszyscy:F /T

icacls C:\$Recycle.Bin\S-1-5-21-2993633223-2727232338-3083519205-1003\$ff24043d55f85ce9a20a8337d9b4b888 /grant Wszyscy:F /T

rd /s /q C:\$Recycle.Bin

netsh winsock reset

pause

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT

 

Kliknij prawym na plik i wybierz opcję Uruchom jako Administrator. Konieczny restart komputera, by dokończyć reset Winsock naruszony przez ZeroAccess.

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files

C:\Windows\assembly\GAC\Desktop.ini

%appdata%\Mozilla

%localappdata%\Google

C:\Program Files\Google

 

:OTL

IE - HKU\S-1-5-21-2993633223-2727232338-3083519205-1003\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = "http://search.v9.com/web/?utm_source=b&utm_medium=mlv&from=mlv&uid=TOSHIBAXMK1234GSX_47HKT94OTXX47HKT94OT&ts=1355076057"

O3 - HKU\S-1-5-21-2993633223-2727232338-3083519205-1003\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.

O4 - HKLM..\Run: [] File not found

O4 - HKU\S-1-5-21-2993633223-2727232338-3083519205-1003..\Run: [] File not found

O4 - HKU\S-1-5-21-2993633223-2727232338-3083519205-1003..\Run: [AdobeBridge] File not found

O4 - HKU\S-1-5-21-2993633223-2727232338-3083519205-1003..\Run: [Regedit32] C:\Windows\system32\regedit.exe File not found

O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} "http://www.mks.com.pl/skaner/SkanerOnline.cab" (MksSkanerOnline Class)

DRV - File not found [Kernel | Boot | Stopped] -- system32\DRIVERS\VClone.sys -- (VClone)

DRV - File not found [Kernel | Disabled | Stopped] -- system32\DRIVERS\UIUSYS.SYS -- (UIUSys)

 

:Reg

[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]

"Default_Page_URL"=-

"Search Bar"=-

"Search Page"=-

"Start Page"="about:blank"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]

"Default_Page_URL"=-

"Start Page"="about:blank"

[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main]

"Start Page"=-

[HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\Main]

"Start Page"=-

[HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\Main]

"Start Page"=-

[-HKEY_CURRENT_USER\Software\Google]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Google]

[-HKEY_CURRENT_USER\Software\Mozilla]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla]

[-HKEY_LOCAL_MACHINE\SOFTWARE\mozilla.org]

[-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins]

 

:Commands

[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras) oraz Farbar Service Scanner. Uruchom SystemLook i w oknie wklej do skanu:

 

:reg

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects /s

 

Klik w Look.

 

 

.

Odnośnik do komentarza

Dzień dobry Pani Picasso,

Przede wszystkim bardzo dziękujemy za zainteresowanie się naszym kłopotem. Wszystko to wyglądało jak Guernica, a teraz czujemy wielką ulgę. Zanim wykonałem pilnie wszystkie polecenia z Pani postu, udało mi się Avastem usunąć wszystkie wirusy (trzykrotne długie skanowanie) i dało się używać komputera. Zauważyłem jednak, że np. usługa Windows Update zniknęła na dobre. Podejrzane wydało mi się też zużycie pamięci (75%), kiedy nic się nie działo (ale może to dlatego, że jest jej niedużo - 1 GB).

Po wszystkich operacjach, które, jak mówię, pilnie wykonałem, zużycie pamięci (przy uruchomionym - tylko - menadżerze zadań) spadło do 60%, niestety ciągle nie działa Windows Update. Za to bez problemów śmiga Internet, no i w ogóle jest po stokroć lepiej!

Załączam wszystkie logi i jestem bardzo ciekaw, co z nich wynika.

SystemLook.txt

OTL.Txt

FSS.txt

Odnośnik do komentarza
Po wszystkich operacjach, które, jak mówię, pilnie wykonałem, zużycie pamięci (przy uruchomionym - tylko - menadżerze zadań) spadło do 60%, niestety ciągle nie działa Windows Update.

 

Jak mówiłam: "infekcja ta czyni ogromne szkody w systemie (skasowane usługi)". I po to był log z Farbar Service Scanner, by ocenić zakres szkód. Dane mówią, że są skasowane z rejestru usługi: wszystkie relatywne do Zapory systemu Windows, Centrum zabezpieczeń, Pomoc IP, Windows Defender i Windows Update.

 

Zadania wykonane, przechodzimy do naprawy szkód:

 

1. Odbuduj usunięte usługi za pomocą ServicesRepair.

 

2. Odbuduj usuniętą ikonę Centrum zabezpieczeń. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\ShellServiceObjects\{FD6905CE-952F-41F1-9A6F-135D9C6622CC}]
"AutoStart"=""

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

3. Zrób nowy log z Farbar Service Scanner + SystemLook na ten sam warunek co poprzednio.

 

 

 

.

Odnośnik do komentarza

Niestety, odbudowa usług podana w punkcie 1 w ogóle nie wykonana, te same szkody.

 

1. Powtórz operację z ServicesRepair i zresetuj system.

 

2. Zrób nowy log z Farbar Service Scanner. ServicesRepair też tworzy log, doczep i ten.

 

Jeśli będzie bez zmian, niestety ale odbudowa usług będzie robiona w bardzo mozolny sposób = ręcznie.

 

 

 

.

Odnośnik do komentarza

Log mi już niepotrzebny, tym razem się udało i wszystkie usługi zrekonstruowane. Możemy przejść do wykończeń:

 

1. Porządki po narzędziach: w OTL uruchom Sprzątanie, a pozostałe ręcznie skasuj.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Na wszelki wypadek zrób jeszcze pełne skanowanie w Malwarebytes Anti-Malware. Jeżeli coś zostanie wykryte, przedstaw raport. Przy instalacji padnie pytanie o typ wersji = wybierz darmową bez rezydenta.

 

 

PS. Przy "Pani" czuję się zbyt formalnie, po prostu per "picasso".

 

 

.

Odnośnik do komentarza

Dzień dobry picasso,

wybacz to "Pani", to z szacunku i podziwu dla Twojej niezwykłej wiedzy, precyzji i chęci pomocy.Wszystko wykonałem. Wczoraj (dzisiaj) o 4 rano padłem nad tym skanem z Mbam. Coś tam znalazł, nie wiem czy to groźne, przesyłam log...

 

P.S. Nakazałem Mbam usunięcie tych dwóch podejrzenych rzeczy. Podczas późniejszego przeładowywania komputer zainstalował i skonfigurował prawie 100 aktualizacji Windows. Ponownie uruchomiłem Mbam i dla pewności przeprowadziłem nowe długie skanowanie: żadnych zagrożeń,żadnych zarażonych plików. To chyba wszystko? Skladamy Ci OGROMNE PODZIĘKOWANIA za skuteczną pomoc!

MBAM-log-2013-02-09 (11-02-23).txt

Odnośnik do komentarza

Wyniki MBAM: nic istotnego i związanego ze sprawą, delikwent RiskWare.Tool.CK w KMService.exe to "cukierek" do Office... Czyli kończymy:

 

1. Usuń wszystkie stare wersje Adobe | Java | Silverlight i zastąp najnowszymi, zaktualizuj przeglądarki i pakiet Office: KLIK. Log wykazywał zainstalowane następujące wersje:

 

Internet Explorer (Version = 8.0.6001.19190)

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31

"{3248F0A8-6813-11D6-A77B-00B0D0160000}" = Java™ SE Runtime Environment 6

"{32A3A4F4-B792-11D6-A78A-00B0D0160210}" = Java™ SE Development Kit 6 Update 21

"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight

"{AC76BA86-7AD7-1033-7B44-A83000000003}" = Adobe Reader 8.3.1

"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)

"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Opera/Firefox)

"Office14.PROPLUS" = Microsoft Office Professional Plus 2010

"Opera 12.02.1578" = Opera 12.02

 

FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32_11_5_502_146.dll ()

FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Program Files\Microsoft Silverlight\4.1.10111.0\npctrl.dll ( Microsoft Corporation)

 

2. Prewencyjnie zmień hasła logowania w serwisach.

 

 

 

.

Odnośnik do komentarza

Dobry wieczór picasso,

zrobiłem wszystko, co zaleciłaś, z tą może różnicą, że zamiast AdobeReadera zainstalowałem Foxit (lecz tę jedną rzecz zrobiłem jeszcze przed Twoim postem, mam nadzieję że to nie błąd). Jeszcze drobiazg: zniknęła z paska zadań systemowa ikona głośności, a we właściwiściach paskach/obszar powidomień funkcja zaptaszkowania głośności jest nieaktywna.

Odnośnik do komentarza
z tą może różnicą, że zamiast AdobeReadera zainstalowałem Foxit (lecz tę jedną rzecz zrobiłem jeszcze przed Twoim postem, mam nadzieję że to nie błąd).

 

To prędzej kwestie wygody użytkowej niż bezpieczeństwa. Foxit to też luki i też musi być aktualizowany na bieżąco.

 

 

Jeszcze drobiazg: zniknęła z paska zadań systemowa ikona głośności, a we właściwiściach paskach/obszar powidomień funkcja zaptaszkowania głośności jest nieaktywna.

 

Wg oglądanego wcześniej spisu klucza ShellServiceObjects brak naruszania ikony dźwięku takiego jak z ikoną Centrum. W związku z tym zastosuj automat Fix-it z tego artykułu: KB945011.

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...