Infekcja Trojan: Win32/Sirefef.P

[Crowli]

Pech chciał, że posłuchałem znajomego i ściągnąłem wirusa Win32/Sirefef.P + coś jeszcze. Wirusa usunąłem (mam nadzieję) tdsskiller lecz pozostał problem w katalogu c:recycler (kosz)

są 3 pliki A0102835.exe -> win32/hackAV.AI( zauważyłem, że starają się ustawić EI8 jako domyślną przeglądarkę) i dodatkowo jeszcze 1 na dysku D w pliku odzyskiwania (pojawił się teraz podczas 2-go skanowania i powinienem go usunąć poprzez wyłączenie odzyskiwania).

Moja prośba/pytanie:

1. Czy jest aktywny jakiś wirus (na menadżerze urządzeń już nie widzę podejrzanych procesów) - czy udało mi się wszystko usunąć.

2. Czy da się usunąć z kosza pliki A0102835.exe -> próbowałem PCclinerem ale nic to nie dało.

3. Czy logi pokazują jakieś istotne uszkodzenia systemu i czy da sie to naprawić bez c: format.

 

Mam nadzieję, że wszystko opisałem jasno i czytelnie. Proszę o pomoc bo naprawdę nie uśmiecha mi się robienie systemu od nowa a z drugiej strony używam tego komputera w domu do prawie wszystkiego więc nie chciał bum aby moje hasła wyciekły gdzieś w świat więc chciał bym być pewny, że znowu mogę go używać.

OTL.Txt

Extras.Txt

[picasso]

Nie podałeś kompletnego zestawu logów, w skład obowiązkowych wchodzi także GMER. Nie podałeś co robiłeś w Kasperskym (czyli w czym wykryta infekcja i czy na pewno prawidłowo zareagowałeś lecząc zainfekowany plik systemowy a nie go usuwając) = proszę dołączyć log z Kasperskiego, log masz na dysku C.

 

Infekcja Sirefef (czyli ZeroAccess) nie jest tu wyczyszczona do końca, gdyż nadal jest przekierowanie w Winsock. Ponadto w logu widać inne pliki infekcji i tu jest prawdopodobne, że masz zainfekowane także prawidłowe programy startowe. Pobierz i uruchom zgodnie ze wskazówkami ComboFix. Przedstaw raport z jego działania.

 

 

 

.

[Crowli]

Na początku przepraszam za nie dodanie logu z GMera (dodaje). A teraz postaram się wytłumaczyć chronologicznie co zrobiłem od czasu infekcji:

1. Uruchomienie programu (i zainfekowanie komputera => w sumie do pliku.exe było podpięte 20mb tego syfu).

2. Nod wykazuje, że zablokował dostęp do niebezpiecznej strony.

3. Sprawdzenie menadżera systemu i wykrycie kilku niepożądanych aplikacji (głownie ping.exe, która zjada 100% zasobów)

4. skan z NOD32 i wykrycie przez nod:

- Pamięć operacyjna » svchost.exe(1124) - prawdopodobnie odmiana zagrożenia Win32/Sirefef.DA koń trojański - nie można wyleczyć

- Pamięć operacyjna » C:\Documents and Settings\All Users\Dane aplikacji\1B1e82A6.exe - odmiana zagrożenia Win32/TrojanClicker.Agent.NEB koń trojański - nie można wyleczyć

- Pamięć operacyjna » C:\Documents and Settings\All Users\Dane aplikacji\1B1e82A6.exe - odmiana zagrożenia Win32/TrojanClicker.Agent.NEB koń trojański - nie można wyleczyć

- Pamięć operacyjna » C:\Documents and Settings\All Users\Dane aplikacji\1B1e82A6.exe - odmiana zagrożenia Win32/TrojanClicker.Agent.NEB koń trojański - nie można wyleczyć

5. wyszukanie czym można to naprawić, ściągnięcie i uruchomienie TDSkiller

6. TDSkiller podaje opcje cure naprawy 2-ch plików i 4 procesów (czy jakoś tak).

7. wykonanie cure (dołączyłem log)

8. Skan TDSkillerem jeszcze raz 0 znalezionych zagrożeń (dołączyłem log)

9. Skan Nodem i wykrycie przez nod:

- D:\System Volume Information\_restore{B32376A9-4A51-4A3A-A245-0F90093499DD}\RP445\A0102835.exe - Win32/HackAV.AI potencjalnie niebezpieczna aplikacja - wybrana akcja zostanie wykonana po zakończeniu skanowania

- D:\System Volume Information\_restore{B32376A9-4A51-4A3A-A245-0F90093499DD}\RP445\A0102835.exe - Win32/HackAV.AI potencjalnie niebezpieczna aplikacja - wyleczony przez usunięcie - poddany kwarantannie [1]

10. Po wykonaniu wszystkich operacji pozostał problem z uruchamianiem się plików 1B1e82A6 i A0102835 - z widocznych działań starają się ustawić IE8 jako domyślną przeglądarkę.

11. Napisanie posta na forum ( i zmęczony idę spać klnąc na kumpla)

12. Włączenie komputera i powtarzający się problem z punktu 10.

13. Rano odpalenie Gmera dla opcji jak wykazano w temacie Gmer (dołączyłem log)

14. Dodatkowo przeskanowanie Gmer-em dysku D (0 znalezionych zagrożeń)

14. Odnalezienie pliku C:\Documents and Settings\All Users\Dane aplikacji\1B1e82A6.exe i zamiana na 1B1e82A6.txt

15. Uruchomienie combofixa. (dołaczyłem log)

16. Po skończonym combfixie dodatkowo wykasowałem: 1B1e82A6 - z innymi końcówkami - 2 pliki.

17. Wykasowanie jeszcze jednego pliku z danych aplikacji, który też mógł mieć nośnik wirusa (plik exe z grą)

 

Mam nadzieję, że to już wszystko.

I znowu kilka pytań:

1. czy z programów, które combofix wyłączył mogę jakieś używać (zależy mi na GG) - czy combofix w nie nie ingerował i tylko wyłączył z opcji auto startu.

2. Czy istnieje jakaś najmniejsza możliwość, że wirus poprzez sieć mógł się dostać na inny komputer (żony) - z komputera żony nie były otwierane w tym czasie żadne pliki z mojego komputera i nie wchodziła na otoczenie sieciowe.

 

Bardzo proszę o pomoc i odpowiedzi na pytania i bardzo mocno dziękuje za pomoc.

TDSSKiller.2.6.18.0_12.11.2011_21.00.18_log.txt

TDSSKiller.2.6.18.0_12.11.2011_22.05.14_log.txt

gmer.txt

ComboFix.txt

[picasso]

21:01:06.0578 3756	sptd			(cdddec541bc3c96f91ecb48759673505) C:\WINDOWS\system32\Drivers\sptd.sys
21:01:06.0578 3756	Suspicious file (NoAccess): C:\WINDOWS\system32\Drivers\sptd.sys. md5: cdddec541bc3c96f91ecb48759673505
21:01:06.0578 3756	sptd ( LockedFile.Multi.Generic ) - warning
21:01:06.0578 3756	sptd - detected LockedFile.Multi.Generic (1)
(...)
21:02:02.0218 3428	HKLM\SYSTEM\ControlSet001\services\sptd - will be deleted on reboot
21:02:02.0234 3428	HKLM\SYSTEM\ControlSet003\services\sptd - will be deleted on reboot
21:02:02.0265 3428	C:\WINDOWS\system32\Drivers\sptd.sys - will be deleted on reboot
21:02:02.0265 3428	sptd ( LockedFile.Multi.Generic ) - User select action: Delete

 

Tu się niestety pomyliłeś. To prawidłowy odczyt na sterowniku emulatora napędów wirtualnych. Zawsze jest zablokowany i będzie zgłoszony przez TDSSKiller. Ten aspekt rozpisałam w obsłudze narzędzia na forum: KLIK.

 

 

- D:\System Volume Information\_restore{B32376A9-4A51-4A3A-A245-0F90093499DD}\RP445\A0102835.exe - Win32/HackAV.AI potencjalnie niebezpieczna aplikacja - wybrana akcja zostanie wykonana po zakończeniu skanowania
- D:\System Volume Information\_restore{B32376A9-4A51-4A3A-A245-0F90093499DD}\RP445\A0102835.exe - Win32/HackAV.AI potencjalnie niebezpieczna aplikacja - wyleczony przez usunięcie - poddany kwarantannie [1]

 

Te wyniki niegroźne z punktu widzenia wpływu na aktualnie załadowany system. To są kopie w Przywracaniu systemu i biorą udział w reinfekcji tylko wtedy, gdy system zostanie cofnięty do tego punktu. To zawsze jest przeze mnie zbiorczo czyszczone na samym końcu, a na samym końcu gdyż nie ma sensu czyścić tego podczas aktywnej infekcji. I jest dobierana lepsza metoda czyszczenia niż antywirusem, który może naruszyć integralność punktu Przywracania systemu.

 

 

Wykasowanie jeszcze jednego pliku z danych aplikacji, który też mógł mieć nośnik wirusa (plik exe z grą)

 

Masz na myśli ten od Skyrim, który widzę w ComboFix?

 

2011-11-10 22:23 . 2011-11-10 22:23	19123536	----a-w-	c:\documents and settings\crowli\Dane aplikacji\TESV.exe

 

 

I znowu kilka pytań:

1. czy z programów, które combofix wyłączył mogę jakieś używać (zależy mi na GG) - czy combofix w nie nie ingerował i tylko wyłączył z opcji auto startu.

2. Czy istnieje jakaś najmniejsza możliwość, że wirus poprzez sieć mógł się dostać na inny komputer (żony) - z komputera żony nie były otwierane w tym czasie żadne pliki z mojego komputera i nie wchodziła na otoczenie sieciowe.

 

1. A które wyłączył? W logu brak takich znaków....

2. Nie daję gwarancji. Na wszelki wypadek możesz pokazać raporty z komputera żony. Ale to na szarym końcu, gdy uporamy się z Twoim zestawem.

 

 

---

Oceniając bieżące odczyty w logach:

- GMER notuje obiekt rootkita C:\WINDOWS\$NtUninstallKB16776$ (z jego konfiguracją), ale tym zajął się już uruchomiony po nim ComboFix.

- ComboFix, prócz powyższego, także wyczyścił masowe zadania AT*.job, pokasował inne pliki infekcji, w tym wychwycił ów przemianowany przez Ciebie 1B1e82A6.txt. Zapewne także zresetował Winsock naruszony przez Sirefef.

 

W związku z tym, że w samym logu ComboFix nie notuję już żadnych obiektów skorelowanych z infekcją, stwórz nowy log z OTL z opcji Skanuj (Extras już nie potrzebuję). Jeśli potwierdzę za jego pomocą stan Winsock i nic nowego się nie ujawni, podam kolejne kroki do wykonania.

 

 

 

.

[Crowli]

1. Zgadza się zapomniałem napisać, że usunąłem deamon tollsa dopiero po przeczytaniu na forum, że może ingerować w pliki. (zapomniałem napisać).

2. Tak to ten plik ( dodatkowo teraz przed chwilą usunąłem cały folder z grą tak dla świętego spokoju).

3. Jeżeli chodzi o GG.exe to po prostu nie uruchamia się przy auto starcie (jak Napisałaś nie był zainfekowany) więc chyba mogę go używać.

4. Daje log OTL zrobiony przed chwilą.

OTL.Txt

[picasso]

Tak, Winsock wrócił do formy, brak także znaków by coś nowego się utworzyło. Kolejny etap do przeprowadzenia:

 

1. Odinstaluj ComboFix w prawidłowy sposób, co także czyści foldery Przywracania systemu. Start > Uruchom > wklej komendę:

 

"C:\Documents and settings\crowli\Moje dokumenty\Pobieranie\ComboFix.exe" /uninstall

 

2. Przeprowadź pełne skanowanie za pomocą Kaspersky Virus Removal Tool. W konfiguracji skanera ustaw wszystkie obszary do skanowania. Podaj raport z wykrytymi zagrożeniami, o ile takowe będą. Omiń wyniki typu OK/Archive/Packed/Password protected.

 

 

 

.

[Crowli]

Po przejrzeniu 450k pozycji nie znalazłem żadnych niezwykłych plików (status kaspierskiego to: ok/package/archiwum w 99% nie licząc pagefile i kilku zabezpieczonych paczek).

Kasperski wykrył jeden potencjalny obiekt dałem do kwarantanny (nie widziałem czy mogę usunąć)

kasp.txt

[picasso]

Wynik z Kasperskiego to trojan, przez SHIFT+DEL skasuj z dysku cały folder C:\WINDOWS\system32\config\systemprofile\Dane aplikacji\q0enev4828, a Kasperskiego możesz odinstalować. I zmierzamy do finału:

 

1. Wymiana haseł logowania we wszystkich serwisach.

 

2. Wyczyść lokalizacje tymczasowe za pomocą TFC - Temp Cleaner.

 

3. Dodatkowe komentarze na temat zainstalowanego oprogramowania:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java™ 6 Update 29
"{AC76BA86-7AD7-1033-7B44-A94000000001}" = Adobe Reader 9.4.6
"7-Zip" = 7-Zip 4.65
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Akamai" = Akamai NetSession Interface Service

 

Akamai NetSession Interface Service możesz odinstalować, a pozostałe zaktualizuj (KLIK). Dodatkowo:

 

Jeżeli chodzi o GG.exe to po prostu nie uruchamia się przy auto starcie (jak Napisałaś nie był zainfekowany) więc chyba mogę go używać.

 

Posługujesz się tak starą wersją Gadu (rok 2004 to pewnie szóstka), że aż wiary nie daję. Wersja kaleka i bardzo słabo zabezpieczona (brak szyfrowania!). Do wglądu mój artykuł Darmowe komunikatory. Propozycja: WTW. Cechy: kompletny brak reklam, portable, obsługa wszystkich ważnych cech protokołu GG10 (czyli m.in. szyfrowanie, długie numery, powiadomienie o pisaniu).

 

 

 

I możesz podać zestaw logów żony.

 

 

 

.

[Crowli]

jedno małe pytanko bo dałem plik do kwarantanny: czy mam go przywrócić i skasować czy w kasperskim dać usuń z listy. (nie widze opcji usuń plik)

[picasso]

Nie przywracaj, a kwarantanna Kasperskiego powinna się wynieść z dysku podczas procesu deinstalacji narzędzia. Natomiast Kaspersky się zajmował tylko plikiem a nie folderem nadrzędnym, wskazuję Ci byś machnął ręką ów folder.

[Crowli]

1. Hasła zmienione.

2. TFC wykonane.

3. Akami usunięte

4. Nigdzie nie znalazłem uninstalki Kasperskiego ale do autostartu dodał się skrypt kasujący pliki z komputera więc obstawiam, że to z Kasperskiego bo powstał po jego uruchomieniu.

5. Logi z komputera od żony dam jutro po pracy.

[picasso]

4. Nigdzie nie znalazłem uninstalki Kasperskiego ale do autostartu dodał się skrypt kasujący pliki z komputera więc obstawiam, że to z Kasperskiego bo powstał po jego uruchomieniu.

 

Kaspersky Virus Removal Tool ulega samodestrukcji poprzez zamknięcie okna narzędzia (KLIK). To jest zmiana w najnowszej wersji narzędzia, starsze wymagały posługiwania się osobnym plikiem deinstalatora.

 

 

.

[Crowli]

Dodaje Logi żony - na pierwszy rzut oko wszystko wygląda dobrze.

OTL.Txt

Extras.Txt

gmer.txt

[picasso]

Nie widzę tu niczego podejrzanego. Tylko zaktualizuj te aplikacje:

 

Internet Explorer (Version = 6.0.2900.5512)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216026FF}" = Java™ 6 Update 26
"{AC76BA86-7AD7-1033-7B44-AA1000000001}" = Adobe Reader X (10.1.0)

 

Tak, aktualizacja IE jest istotna, mimo posługiwania się Firefox. Zbyt duża integracja z Windows, różne funkcje systemu opierają się na silniku IE, a i aplikacje zewnętrzne mogą transparentnie z niego korzystać ignorując Firefox.

 

Ukończyliśmy zadania. Jeśli nie masz żadnych dodatkowych komentarzy, daj sygnał do zamknięcia tematu.

 

.

[Crowli]

Chciał bym podziękować Administratorowi Picasso oraz całemu zespołowi Fixitpc za pomoc w rozwiązaniu problemu i uważam temat za skończony można zamykać.