Infekcja: Win64:Sirefef-A / Win32:DNSChanger-VJ

[kma]

Witam! Od wczoraj mój Avast informuje mnie o zablokowaniu plików o ścieżkach dostępu:

 

C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\{f7c44c5e-262e-5154-3a80-05b82c6842f4}\U\80000000.@ [L] Win64:Sirefef-A [Trj] (0)

oraz

C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\{f7c44c5e-262e-5154-3a80-05b82c6842f4}\U\80000032.@ [L] Win32:DNSChanger-VJ [Trj] (0)

 

jednak kwarantanna, czy usuwanie plików nie przynosi rezultatów, komunikaty pojawiają się co ok. 4 minuty, dodatkowo Avast! przy pełnym skanie wykrył kolejny zainfekowany plik, którego nie da się usunąć

 

C:\WINDOWS\ASSEMBLY\GAC\DESKTOP.INI [L] Win32:Sirefef-PL [Rtk] (0)

 

Zamieszczam logi.

OTL.Txt

Extras.Txt

GMER.txt

[Landuss]

Wykonaj jeszcze jeden raport na określonym warunku. Uruchom SystemLook, w oknie wklej:

 

:reg
HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
 
:regfind
{f7c44c5e-262e-5154-3a80-05b82c6842f4}
 
:folderfind
{f7c44c5e-262e-5154-3a80-05b82c6842f4}

 

Klik w Look. Przedstaw log wynikowy.

[kma]

Gotowe.

SystemLook.txt

[Landuss]

Teraz przejdziesz do usuwania infekcji. Jeśli się powiedzie w dalszej kolejności będzie usuwanie pasków i śmieci sponsoringowych.

 

1. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[-HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]
[-HKEY_USERS\S-1-5-21-1177238915-1993962763-1801674531-500\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]
[-HKEY_USERS\S-1-5-21-1177238915-1993962763-1801674531-500_Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Plik FIX.REG umieść wprost na C:\.

 

2. Uruchom Avenger i do okna wklej:

 

Folders to delete:

C:\WINDOWS\Installer\{f7c44c5e-262e-5154-3a80-05b82c6842f4}
C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\{f7c44c5e-262e-5154-3a80-05b82c6842f4}
 
Programs to launch on reboot:
regedit /s C:\FIX.REG

 

Klik w Execute. Zatwierdź restart komputera. Po restarcie powinieneś uzyskać log z wynikami narzędzia.

 

3. Prezentujesz nowe logi z OTL, z Avengera z usuwania z punktu 2 oraz nowy log z SystemLook zrobiony na takim samym warunku jak poprzednio.

[kma]

Gotowe. Od razu jak odpaliłem system wyskoczył mi komunikat kolejny z C:\WINDOWS\ASSEMBLY\GAC\DESKTOP.INI [L] Win32:Sirefef-PL [Rtk] (0), wolałem wspomnieć o tym.

avenger.txt

OTL2.Txt

SystemLook2.txt

[Landuss]

Nie wszystko poszło tu jak trzeba. Wykonaj kolejny skrypt do Avengera o tej zawartości:

 

Files to delete:
C:\Windows\assembly\GAC\desktop.ini
 
Folders to delete:
C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\{f7c44c5e-262e-5154-3a80-05b82c6842f4}

 

Wykonujesz to co poprzednio i do wglądu dajesz log z usuwania Avenger i nowy log z System Look.

[kma]

Gotowe. Rozumiem, że w SystemLook miałem użyć tego samego skryptu?

avenger2.txt

SystemLook3.txt

[Landuss]

Tym razem infekcja pomyślnie usunięta. Można zająć się innymi rzeczami.

 

1. Przejdź w panel usuwania programów i odinstaluj sponsoringi - Ask Toolbar / Ask Toolbar Updater / Babylon toolbar on IE / DVDVideoSoftTB Toolbar / My Web Search (My Web Face) / uTorrentControl2 Toolbar / V9 HomeTool / Winamp Toolbar

 

2. Po wszystkich deinstalacjach uruchom narzędzie AdwCleaner z opcji Delete

 

3. Zaprezentuj nowy log z OTL.

[kma]

Dzięki wielkie za pomoc

AdwCleanerS2.txt

Extras3.Txt

OTL3.Txt

[Landuss]

Jeszcze drobne poprawki do przeprowadzenia ale to już prawdopodobnie ostatnie.

 

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http: //www.daemon-search.com/search/web?q={searchTerms}
FF - prefs.js..browser.search.defaultthis.engineName: "uTorrentControl2 Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT3072253&SearchSource=3&q={searchTerms}"
FF - prefs.js..browser.search.order.1: "Ask.com"
FF - prefs.js..browser.search.selectedEngine: "Search the web (Babylon)"
FF - prefs.js..extensions.enabledItems: DTToolbar@toolbarnet.com:1.1.4.0024
FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT3072253&SearchSource=2&q="
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)"
[2011-01-30 17:38:28 | 000,000,000 | ---D | M] (Winamp Toolbar) -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\ig2ah1pg.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f}
[2012-05-20 14:35:29 | 000,000,000 | ---D | M] (uTorrentControl2 Community Toolbar) -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\ig2ah1pg.default\extensions\{687578b9-7132-4a7a-80e4-30ee31099e03}
[2012-05-04 13:39:28 | 000,000,000 | ---D | M] (DVDVideoSoftTB Community Toolbar) -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\ig2ah1pg.default\extensions\{872b5b88-9db5-4310-bdd0-ac189557e5f5}
[2010-11-21 19:59:07 | 000,000,000 | ---D | M] ("DVDVideoSoft Menu") -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\ig2ah1pg.default\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}
[2012-01-06 20:31:47 | 000,000,000 | ---D | M] (Babylon) -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\ig2ah1pg.default\extensions\ffxtlbr@babylon.com
[2012-04-18 00:39:24 | 000,000,935 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\ig2ah1pg.default\searchplugins\conduit.xml
[2011-07-31 20:34:27 | 000,002,059 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\ig2ah1pg.default\searchplugins\daemon-search.xml
[2010-10-10 20:40:51 | 000,010,017 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\ig2ah1pg.default\searchplugins\mywebsearch.xml
[2011-02-01 14:06:14 | 000,001,196 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\ig2ah1pg.default\searchplugins\winamp-search.xml
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O4 - HKLM..\Run: [rdsri] C:\Documents and Settings\Administrator\Ustawienia lokalne\temp\rdsri.dll (DT Soft Ltd.)
[2012-05-30 16:01:25 | 000,000,000 | ---D | C] -- C:\Avenger
[2012-05-30 15:58:44 | 000,731,136 | ---- | C] () -- C:\Documents and Settings\Administrator\Pulpit\avenger.exe
[2012-05-30 15:58:01 | 000,000,359 | ---- | C] () -- C:\FIX.REG
[2012-05-30 15:39:58 | 000,139,264 | ---- | C] () -- C:\Documents and Settings\Administrator\Pulpit\SystemLook.exe
[2012-05-29 22:54:40 | 000,724,952 | ---- | C] () -- C:\Documents and Settings\Administrator\Pulpit\avenger.zip
 
:Files
netsh winsock reset /C
 
:Services
sptd
mcdbus
 
:Commands
[emptytemp]

 

2. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

3. Prezentujesz nowy log z OTL (bez ekstras)

[kma]

Ok.

OTL4.Txt

[Landuss]

Teraz można kończyć sprawę. Do wykonania kroki końcowe:

 

1. Użyj opcji Sprzątanie z OTL oraz Uninstall z AdwCleaner

 

2. Opróżnij folder przywracania systemu: KLIK

 

3. Wymagana aktualizacja wymienionych programó do najnowszych wersji:

 

Internet Explorer (Version = 6.0.2900.5512)

"{26A24AE4-039D-4CA4-87B4-2F83216021FF}" = Java 6 Update 21

"{AC76BA86-7AD7-1045-7B44-A93000000001}" = Adobe Reader 9.3 - Polish

"avast5" = avast! Free Antivirus

 

Szczegóły aktualizacyjne: KLIK. Natomiast nowego Avasta pobierz ze strony domowej programu.

 

4. Zmień hasła logowania do serwisów w sieci gdyż ta infekcja może łowić te dane.

[kma]

Ok, programy usunięte, przywracanie wyczyszczone, programy zaktualizowane, hasła zmienione. Jeszcze raz wielkie dzięki za pomoc!