Skocz do zawartości

Infekcja Win64:Sirefef-A [Trj] i Win32:Sirefef-AO [Rtk]


Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Jest infekcja ZeroAccess i to w najnowszym wydaniu co sugeruje Gmer:

 

---- Processes - GMER 1.0.15 ----

 

Library c:\windows\system32\n (*** hidden *** ) @ C:\Program Files\Internet Explorer\iexplore.exe [2260] 0x45670000

Library c:\windows\system32\n (*** hidden *** ) @ C:\Program Files\Internet Explorer\iexplore.exe [2760] 0x45670000

 

Potrzebny kolejny raport na warunku dostosowanym. Uruchom OTL, wszystkie opcje ustaw na Brak + Żadne, w sekcji Własne opcje skanowania / skrypt wklej:

 

HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
/md5start
services.exe
/md5stop

 

Klik w Skanuj i przedstaw raport.

Odnośnik do komentarza

W miedzyczasie sytuacja się zmieniła. Przestał chodzić internet (internet Explorer się nie właczał), Zacząłem kombinować, najpierw z przywracaniem systemu, co nic nie dało. a system nie urochamia się w trybie normalnym (stoi na ładowaniu ustawień użytkownika). Założyłem nowe konto. Piszę teraz z trybu awaryjnego z obsługą sieci na starym koncie. W tym środowisku uruchomiłem OTL

Odnośnik do komentarza

Nie ma się co dziwić, ze są tego typu problemy. ZeroAccess (Sirefef) to infekcja z wysokiej półki. Przejdziesz teraz do usuwania. Ma ono być prowadzone z konta, na którym jest problem.

 

1. Otwórz Notatnik i wklej w nim:

 

reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f
reg delete HKLM\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f
reg add HKLM\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /ve /t REG_SZ /d C:\WINDOWS\system32\wbem\wbemess.dll /f

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT

 

Plik umieść wprost na C:\.

 

2. Uruchom BlitzBlank i w karcie Script wklej:

 

DeleteFolder:

C:\WINDOWS\Installer\{ff24043d-55f8-5ce9-a20a-8337d9b4b888}

"C:\Documents and Settings\Ksiegowosc1\Ustawienia lokalne\Dane aplikacji\{ff24043d-55f8-5ce9-a20a-8337d9b4b888}"

 

Execute:

C:\fix.bat

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Execute Now. Zatwierdź restart komputera. BlitzBlank wygeneruje na dysku C log z usuwania.

 

3. Zaprezentuj raport z BlitzBlank oraz log z OTL na warunku dostosowanym tak jak poprzednio.

Odnośnik do komentarza

Nie mogę. Okno do tego programu jest niestandardowe i nie działa skrót alt-spacja. Mogę chwycić okno myszką i przesunąć, wtedy widzę ten przycisk, gry jednak puszczę myszkę okno wraca na swoje miejsce. Śmieszne.

Ale być może sobie poradzę: uruchomiłem w trybie VGA. Tu mogłem zmienić rozdzielczość na 800x600. Niestety w tym trybie zawiesił się Internet Explorer a skryptu nie zapisałem wcześniej (kopiowałem wtedy z posta, w awaryjnym z obsługą sieci internet działał). .

 

Martwią mnie jeszcze dwie rzeczy. Log Gmera w trybie normalnym był wykonywany prawdopodobnie z aktywnym sterownikiem stpd (tak to się pisze?) chociaż nie ma żadnych napędów wirtualnych. Zorientowałem się uruchamiając system w trybie awaryjnym. Podczas ładowania było coś w stylu "to load stpd press now Enter".

Druga sprawa to to że nie mogę zalogować się nawet na to drugie konto w trybie normanym, też wisi na ładowaniu ustawień uźytkownika.

 

Aktualnie nie mam dostępu do tego komputera będę walczył jutro rano. Skopuję teraz zawartość skryptu i przyniosę na pendrajwie.

 

Edycja:

 

Poradziłem sobie w trybie VGA. Wszystko działa dobrze.

logi:

Edytowane przez majster1976
Odnośnik do komentarza

W porządku, można kończyć sprawę.

 

1. Wklej do notatnika:

 

reg delete HKLM\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT i uruchom ten plik z dwukliku

 

2. Użyj opcji Sprzątanie z OTL.

 

3. Opróżnij folder przywracania systemu: KLIK

 

4. Java i Adobe Reader do aktualizacji: KLIK

 

5. Możesz wykonać skan przez Malwarebytes Anti-Malware

 

6. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Odnośnik do komentarza

Ogromne dzięki.

 

Zrobione. Program prosił o restart systemu. Pewnie wszystko usunął. Total Copy też pozwoliłem sobie usunać. Jaki program antywirusowy polecasz? Najlepiej darmowy. Komputer jest nie pierwszej młodości, ale ponag giga pamięci ma.

Czy warto instalować ten antiwirus Microsoftu, Czy może po prostu zaktualizować Avasta do wersji 7?.

Czy zesoaccess rozprzestrzenia się przez pendrajwy, Nie chciałbym się powtórnie zarazić.

 

Edycja:

 

Nie działa windowsowa zapora i nie mogę jej właczyć. Na razie zainstalowałem M$ Security Essentials
Edytowane przez majster1976
Odnośnik do komentarza
Czy warto instalować ten antiwirus Microsoftu, Czy może po prostu zaktualizować Avasta do wersji 7?.

 

To zależy tylko od Ciebie i jest obojętne.

 

Czy zesoaccess rozprzestrzenia się przez pendrajwy, Nie chciałbym się powtórnie zarazić.

 

Ta infekcja nie ma nic wspólnego z pendrivami, nie rozprzestrzenia się w ten sposób.

 

Nie działa windowsowa zapora i nie mogę jej właczyć

 

Tylko zapora czy całe centrum zabezpieczeń? naprawię i jedno i drugie. Tak czy inaczej to wygląda na robotę ZeroAccess i wymaga naprawy.

 

Wklej do notatnika ten tekst:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]
"DependOnGroup"=hex(7):00,00
"DependOnService"=hex(7):4e,00,65,00,74,00,6d,00,61,00,6e,00,00,00,57,00,69,00,\
  6e,00,4d,00,67,00,6d,00,74,00,00,00,00,00
"Description"="Zapewnia usługi translacji adresów sieciowych, adresowania, rozpoznawania nazw i/lub blokowania dostępu intruzów wszystkim komputerom w sieci domowej lub biurowej."
"DisplayName"="Zapora systemu Windows/Udostępnianie połączenia internetowego"
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"ObjectName"="LocalSystem"
"Start"=dword:00000002
"Type"=dword:00000020
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch]
"Epoch"=dword:000000ee
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters]
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
  00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
  69,00,70,00,6e,00,61,00,74,00,68,00,6c,00,70,00,2e,00,64,00,6c,00,6c,00,00,\
  00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup]
"ServiceUpgrade"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup\InterfacesUnfirewalledAtUpdate]
"All"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Enum]
"0"="Root\\LEGACY_SHAREDACCESS\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc]
"Type"=dword:00000020
"Start"=dword:00000002
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"DisplayName"="Centrum zabezpieczeń"
"DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,77,00,69,00,6e,00,\
  6d,00,67,00,6d,00,74,00,00,00,00,00
"ObjectName"="LocalSystem"
"Description"="Monitoruje ustawienia zabezpieczeń i konfiguracje systemu."
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Parameters]
"ServiceDll"=hex(2):25,00,53,00,59,00,53,00,54,00,45,00,4d,00,52,00,4f,00,4f,\
  00,54,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
  77,00,73,00,63,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
  00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
  00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
  05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
  20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
  00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
  00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Enum]
"0"="Root\\LEGACY_WSCSVC\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik

 

O efektach poinformuj.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...