Nie działa internet (trojan-dropper sirefef)

[pain]

Przeczytałam pokrótce regulamin i przyznaję się do użycia combofixa,choć wiem że powinno to nastąpic dopiero teraz. Jako ,że niestety jestem ciemna w tych sprawach a przytrafiła sie dość nieprzyjemna infekcja zostałam zmuszona do użycia combofixa,wcześniej próbowałam usunąć wirusa- antywirusem Kaspersky i Kaspersky TDSSKiller ale to niestety nie pomogło,Combofix usunął rootkita albo tak przynajmniej mi się wydaje ale nie mam teraz połączenia z internetem-internet połączenie telefoniczne ruter WI-FI.Windows 7-32 bity.Bardzo proszę o możliwe podpowiedzi jak pozbyć się problemu.Poniżej dodaje logi,rownież z Combofixa i Security check. Niestety zanim znalazłam to forum już byłam po użyciu combofixa ,przepraszam ale czasu teraz nie cofnę. Z góry dziękuje za pomoc.

 

P.S Wirus wcześniej wykryty to TROJAN-DROPPER.WIN32.Sirefef!E2

OTL.Txt

Extras.Txt

Security check.txt

GMER.txt

ComboFix.txt

[Landuss]

Internet mógł paść dlatego, ze po prostu został tu zainfekowany kolejny sterownik systemowy. Wykonaj log dodatkowy.

 

Uruchom OTL, wszystkie opcje ustaw na Brak + Żadne, w sekcji Własne opcje skanowania / skrypt wklej:

 

C:\Windows\system32\drivers\*.* /md5

 

Klik w Skanuj. Przedstaw wynikowy log.

[pain]

Dodaje wynikowy log:

OTL.Txt

[Landuss]

Według logów nadal systemowy mswsock.dll związany z siecią nadal jest zainfekowany i stąd problem z internetem.

 

1. Pobierz oryginalny plik do Windows 7 SP1: KLIK. Plik umieść bezpośrednio na dysku C:\

 

2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:Files
C:\WINDOWS\System32\mswsock.dll|C:\mswsock.dll /replace
C:\Windows\system32\fsutil.exe reparsepoint delete C:\Windows\$NtUninstallKB5202$ /C
C:\Windows\$NtUninstallKB5202$
C:\Windows\System32\dds_trash_log.cmd
C:\Users\Mikołaj\AppData\Local\Temp*.html
C:\ProgramData\B7E85889000D171800228B91B4EB238B
netsh winsock reset /C
 
:Services
wlluc48b
winmtsrv
wdmaud
vulfnths
uisp
trcboot
tphdexlgsvc
Sus2pl
qcdonner
patrolagent
om518p
ntpr_nic_service2
Norton Internet Security
nisvcloc
nisum
nimdbgk
MRESP50a64
mks_scan
lgsnd_filter
earthlinksafeconnectagent
dklogger
bh611
AtlsAud
3comtftp
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
:Commands
[emptytemp]

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz Gmer.

[pain]

Dodaje nowo powstałe logi:

OTL.Txt

Extras.Txt

GMER.txt

[Landuss]

Sytuacja właściwie bez zmian bowiem nie zauważyłem infekcji na sterowniku cdrom, którą pokazuje Gmer.

 

1. Pobierz oryginalny plik i umieść na C: KLIK

 

2. Wykonaj skrypt o tej zawartości:

 

:Files
C:\WINDOWS\System32\drivers\cdrom.sys|C:\cdrom.sys /replace
C:\Windows\system32\fsutil.exe reparsepoint delete C:\Windows\$NtUninstallKB5202$ /C
C:\Windows\$NtUninstallKB5202$
C:\ProgramData\B7E85889000D171800228B91B4EB238B
netsh winsock reset /C
 
:Commands
[reboot]

 

3. Do obejrzenia nowe logi z OTL (bez ekstras) i Gmer.

[pain]

Wklejam kolejne logi.

P.S Z tego co widze Gmer pokazuje nadal jeden wers na czerwono.

OTL.Txt

GMER.txt

[Landuss]

Uruchom na systemie jeszcze raz ComboFix i załącz z niego raport oraz nowy log z Gmer.

[pain]

Po ponownym uruchomieniu ComboFix'a,mam połączenie z internetem jednakże,aktywność CPU utrzymuje sie na poziomie 70%,tak samo miałam przez pierwszym uruchominiem Combo.

 

P.S Wykazał on,że to Rootkit/ZeroAccess.

GMER.txt

ComboFix.txt

[Landuss]

Wygląda na to, ze tutaj trzeba będzie użyć środowiska zewnętrznego. Przy tej infekcji to może być najlepsze wyjście bo jak widać spod działającego systemu niewiele można tu zrobić i ciągle infekowane są nowe sterowniki a ja już nie mam do tego nerwów.

 

1. Pobierz aktualnie zainfekowany sterownik tdx.sys: KLIK i umieść go na dysku C:\

 

2. Przygotuj w Notatniku następujący skrypt:

 

CMD: copy /y C:\tdx.sys C:\Windows\system32\drivers\tdx.sys
Unlock: C:\Windows\$NtUninstallKB5202$
CMD: C:\Windows\system32\fsutil.exe reparsepoint delete C:\Windows\$NtUninstallKB5202$
C:\Windows\$NtUninstallKB5202$
NETSVC: winmtsrv
NETSVC: bh611
NETSVC: lgsnd_filter
NETSVC: om518p
NETSVC: Sus2pl
NETSVC: mks_scan
NETSVC: nimdbgk
NETSVC: vulfnths
NETSVC: dklogger
NETSVC: earthlinksafeconnectagent
NETSVC: trcboot
NETSVC: AtlsAud
NETSVC: PBADRV
NETSVC: eSettingsService
NETSVC: qcdonner
NETSVC: patrolagent
NETSVC: MRESP50a64
NETSVC: ntpr_nic_service2
NETSVC: 3comtftp
NETSVC: wdmaud
NETSVC: wlluc48b
NETSVC: uisp
NETSVC: nisum
NETSVC: tphdexlgsvc
NETSVC: nisvcloc

 

Plik zapisz pod nazwą fixlist.txt.

 

3. Pobierz narzędzie FRST. Umieść go na pendrive razem z plikiem fixlist.txt. Przy starcie komputera F8 i wybierz opcję "Napraw komputer", z poziomu linii komend uruchom FRST i klik w Fix. Na pendrive powstanie plik fixlog.txt. Restartujesz do Windows.

 

4. Reset Winsock: Start > Uruchom > cmd i wpisz komendę netsh winsock reset. Zresetuj system.

 

5. Już z poziomu systemu uruchom OTL na dodatkowym warunku, w sekcji Własne opcje skanowania / skrypt wklej:

 

netsvcs

C:\Windows\*. /RP /s
C:\Windows|$NtUninstallKB5202$;true;true;false /FP

 

Klik w Skanuj.

 

6. Do oceny dajesz log z działąnia w punkcie 3, nowy log z OTL ze skanu i nowy z Gmer oraz Farbar Service Scanner (zaznacz wszystko do skanowania).

[pain]

Przepraszam za zwłokę,jednakże człowiek nie zawsze ma czas

Postępujac zgodnie z instrukcją zamieszczam logi,o ile się nie myle Gmer już nic nie wykrywa .

Fixlog.txt

FSS.txt

GMER.txt

OTL.Txt

Extras.Txt

[Landuss]

Wygląda na to, że wszystko pomyślnie się wykonało i rootkita mamy z głowy. Teraz można wsiąść się tutaj za usuwanie innych drobniejszych śmieci w tym sponsoringowych toolbarów.

 

1. Przejdź w panel usuwania programów i odinstaluj następujące pozycje:

 

Ask Toolbar / Bigpoint Games PL Toolbar / Conduit Engine / DVDVideoSoftTB Toolbar / HypreCam Toolbar / Winamp Toolbar / XfireXO Toolbar

 

2. Uruchamiasz OTL i wklejasz następujący skrypt:

 

:OTL
[2012-02-29 16:23:48 | 000,000,000 | -HS- | M] () -- C:\Windows\System32\dds_trash_log.cmd
[2012-02-27 09:59:18 | 000,000,080 | ---- | M] () -- C:\Windows\4644508.dat
IE - HKLM\..\URLSearchHook: {09ec805c-cb2e-4d53-b0d3-a75a428b81c7} - No CLSID value found
NetSvcs: FastUserSwitchingCompatibility -  File not found
NetSvcs: Nla -  File not found
NetSvcs: Ntmssvc -  File not found
NetSvcs: NWCWorkstation -  File not found
NetSvcs: Nwsapagent -  File not found
NetSvcs: SRService -  File not found
NetSvcs: WmdmPmSp -  File not found
NetSvcs: LogonHours -  File not found
NetSvcs: PCAudit -  File not found
NetSvcs: helpsvc -  File not found
NetSvcs: uploadmgr -  File not found
 
:Commands
[emptytemp]

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz z AdwCleaner z opcji Search.

[pain]

Logi z OTL zrobione , natomiast AdwCleaner staje w 1/3 i na tym kończy swoje działanie.

Extras.Txt

OTL.Txt

[Landuss]

Tyle, że AdwCleaner jest tutaj bardzo ważny bo dobrze nadaje się do tego typu odpadków. W takim razie spróbuj może z Ad-Remover z opcji Scan. Program o podobnych nastawieniach co AdwCleaner wprawdzie już nierozwijany, ale może uda się sporządzić raport.

 

I co z Winamp Toolbar oraz XfireXO Toolbar? Nadal widzę w logu jako nieodinstalowane.

[pain]

Ad-remover okazał się sprawny,nie wiem w jaki sposób ale w panelu sterowania w opcji odinstaluj program gdzie wcześniej widziałam wszystkie programy na liście teraz sa widoczne tylko 4 programy wszystkie pozostałe zniknęły 0_o,dosłownie stało się to w kilka minut.A wszystkie programy normalnie są na dysku,gdy wchodze do CCleanera w opcji narzedzia programy sa normalnie widoczne,ale wdalszym ciagu nie widze tych dwóch programów do odinstalowania.

Weszłam ręcznie do ścieżki owych toolbarów i odinstalowałam,przynajmniej tak mi się wydaje dodaje jeszcze logi z OTL,żeby sprawdzić czy rzeczywiście tak jest

wklejam raport z ad-remover:

AD-R.txt

OTL.Txt

Extras.Txt

[Landuss]

Potrzebny tutaj jeszcze jeden skrypt do OTL o takiej zawartości:

 

:Files
C:\Windows\system32\Tasks\Scheduled Update for Ask Toolbar.job
C:\Users\Mikołaj\AppData\LocalLow\Conduit
C:\Users\Mikołaj\AppData\LocalLow\Toolbar4
 
:Reg
[-HKEY_LOCAL_MACHINE\Software\Classes\Conduit.Engine]
[-HKEY_LOCAL_MACHINE\Software\Classes\Toolbar.CT2233703]
[-HKEY_LOCAL_MACHINE\Software\Classes\Toolbar.CT2269050]
[-HKEY_LOCAL_MACHINE\Software\Classes\Toolbar.CT2304157]
[-HKEY_LOCAL_MACHINE\Software\Classes\Toolbar.CT2843462]
[-HKEY_LOCAL_MACHINE\Software\Conduit]
[-HKEY_CURRENT_USER\Software\Conduit]
[-HKEY_CURRENT_USER\Software\AppDataLow\Toolbar]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Scheduled Update for Ask Toolbar]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
"{30F9B915-B755-4826-820B-08FBA6BD249D}"=-
"{32099AAC-C132-4136-9E9A-4E364A424E17}"=-
"{472734EA-242A-422B-ADF8-83D1E48CC825}"=-
"{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}"=-
"{5E5AB302-7F65-44CD-8211-C1D4CAACCEA3}"=-
"{5C81F57F-3CF7-4785-B4EF-11ACE31AEC4F}"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{57BCA5FA-5DBB-45a2-B558-1755C3F6253B}"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar]
"{EBF2BA02-9094-4c5a-858B-BB198F3D8DE2}"=-
"{5e5ab302-7f65-44cd-8211-c1d4caaccea3}"=-
"{5e5ab302-7f65-44cd-8211-c1d4caaccea3}"=-
"{5c81f57f-3cf7-4785-b4ef-11ace31aec4f}"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{57BCA5FA-5DBB-45a2-B558-1755C3F6253B}"=-
"{5e5ab302-7f65-44cd-8211-c1d4caaccea3}"=-
[-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{B295748D-FD8E-4EF2-A822-A3FF237E53DD}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\3319d2ea-6217-4f8f-a3f8-916f292380f7]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\824738c0-9220-48e4-9249-4c74408ff2b9]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\e27ea69f-8dc8-4d71-9c1b-bafc528d28af]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{628F3201-34D0-49C0-BB9A-82A26AEFB291}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{826FA984-EC85-4164-BA05-EAE031CE2631}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{ADADAEE2-457A-4984-A57C-E01C3A2BA612}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{25CEE8EC-5730-41bc-8B58-22DDC8AB8C20}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5e5ab302-7f65-44cd-8211-c1d4caaccea3}]
 
:OTL
IE - HKU\S-1-5-21-569617077-483490569-2739753594-1000\..\URLSearchHook: {5c81f57f-3cf7-4785-b4ef-11ace31aec4f} - No CLSID value found
IE - HKU\S-1-5-21-569617077-483490569-2739753594-1000\..\URLSearchHook: {5e5ab302-7f65-44cd-8211-c1d4caaccea3} - No CLSID value found
O3 - HKU\S-1-5-21-569617077-483490569-2739753594-1000\..\Toolbar\WebBrowser: (no name) - {30F9B915-B755-4826-820B-08FBA6BD249D} - No CLSID value found.
O3 - HKU\S-1-5-21-569617077-483490569-2739753594-1000\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O3 - HKU\S-1-5-21-569617077-483490569-2739753594-1000\..\Toolbar\WebBrowser: (no name) - {472734EA-242A-422B-ADF8-83D1E48CC825} - No CLSID value found.
O3 - HKU\S-1-5-21-569617077-483490569-2739753594-1000\..\Toolbar\WebBrowser: (no name) - {5C81F57F-3CF7-4785-B4EF-11ACE31AEC4F} - No CLSID value found.
O3 - HKU\S-1-5-21-569617077-483490569-2739753594-1000\..\Toolbar\WebBrowser: (no name) - {5E5AB302-7F65-44CD-8211-C1D4CAACCEA3} - No CLSID value found.
O3 - HKU\S-1-5-21-569617077-483490569-2739753594-1000\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.

 

Do obejrzenia dajesz nowy log z OTL (bez ekstras) i nowy z AdwCleaner ze skanowania.

[pain]

AdwCleaner działa,dosyłam logi:)

AdwCleanerR3.txt

OTL.Txt

[Landuss]

Jest w porządku, do wykonania jeszcze parę rzeczy na koniec.

 

1. Użyj opcji Sprzatanie z OTL oraz opcji Delete z AdwCleaner.

 

2. Na wszelki wypadek zmień hasła logowania w serwisach.

 

3. Zaktualizuj wymienione niżej oprogramowanie do najnowszych wersji:

 

"{26A24AE4-039D-4CA4-87B4-2F83216021FF}" = Java 6 Update 26

"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.7 - Polish

"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX

"Mozilla Firefox (3.6.27)" = Mozilla Firefox (3.6.27)

 

Szczegóły aktualizacyjne: KLIK

 

4. Opróżnij folder przywracania systemu: KLIK

[picasso]

Ja jednak proszę o wykonanie jeszcze jednej akcji, czyli weryfikacji poprawności plików systemowych, bo po ZeroAccess samo podstawianie plików via ComboFix czy ręcznie to nie gwarancja, że wszystko naprawione. Wykonaj komendę sfc /scannow i za pomocą kolejnej komendy przefiltruj log do wystąpień znaczników [sR]: KLIK. Zaprezentuj wynikowy log.

 

 

 

.

[pain]

Bardzo dziękuje za udzieloną pomoc,wsparcie i poświęcony mi czas .Ale mam jeszcze jeden szkopuł,wiec podczas wykonywania wczesniejszych operacji internet miałam wylaczony,ale teraz gdy go wlaczam pisze "Trwa identyfikowanie..." i tak w nieskończoność.

[picasso]

pain proszę w pierwszej kolejności wykonaj skan sfc /scannow, o który proszę powyżej.

[pain]

Mam jeszcze pytanie bo niewiem czy dobrze rozumiem, mam wywołac komende sfc/scannow w CMD i po ukończeniu owego skanowania mam załączyć log tak?

[picasso]

Masz wykonać dwie komendy w cmd, sfc /scannow a po niej drugą tworzącą log:

 

1. Uruchom linię poleceń jako Administrator:

 

 

2. Wpisz polecenie:

 

findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt

 

 

3. Zostanie automatycznie otworzony w Notatniku ten plik.

 

 

.

[pain]

Zgodnie z prośbą,dodaje log.

sfc.txt

[picasso]

Zgodnie z przypuszczeniem, pełno szkód po ZeroAccess, ale SFC naprawiło wszystko:

 

2012-03-01 19:18:54, Info    CSI    000001eb [sR] Repaired file \SystemRoot\WinSxS\Manifests\\[l:14{7}]"csc.sys" by copying from backup
2012-03-01 19:18:54, Info    CSI    000001ec [sR] Repairing corrupted file [ml:520{260},l:62{31}]"\??\C:\Windows\System32\drivers"\[l:14{7}]"csc.sys" from store
2012-03-01 19:18:54, Info    CSI    000001ed [sR] Repaired file \SystemRoot\WinSxS\Manifests\\[l:16{8}]"dfsc.sys" by copying from backup
2012-03-01 19:18:54, Info    CSI    000001ee [sR] Repairing corrupted file [ml:520{260},l:62{31}]"\??\C:\Windows\System32\drivers"\[l:16{8}]"dfsc.sys" from store
2012-03-01 19:18:54, Info    CSI    000001ef [sR] Repaired file \SystemRoot\WinSxS\Manifests\\[l:14{7}]"tdx.sys" by copying from backup
2012-03-01 19:18:54, Info    CSI    000001f1 [sR] Repairing corrupted file [ml:520{260},l:62{31}]"\??\C:\Windows\System32\drivers"\[l:14{7}]"tdx.sys" from store
2012-03-01 19:18:54, Info    CSI    000001f2 [sR] Repaired file \SystemRoot\WinSxS\Manifests\\[l:14{7}]"afd.sys" by copying from backup
2012-03-01 19:18:54, Info    CSI    000001f4 [sR] Repairing corrupted file [ml:520{260},l:62{31}]"\??\C:\Windows\System32\drivers"\[l:14{7}]"afd.sys" from store
2012-03-01 19:18:54, Info    CSI    000001f5 [sR] Repaired file \SystemRoot\WinSxS\Manifests\\[ml:24{12},l:18{9}]"netbt.sys" by copying from backup
2012-03-01 19:18:54, Info    CSI    000001f6 [sR] Repairing corrupted file [ml:520{260},l:62{31}]"\??\C:\Windows\System32\drivers"\[l:18{9}]"netbt.sys" from store
2012-03-01 19:18:54, Info    CSI    000001f8 [sR] Repair complete

 

Zresetuj system i podaj rezultaty czy nadal są problemy z siecią.

 

 

 

.