Infekcja Win64:Sirefef-A [Trj] i Win32:Sirefef-AO [Rtk]

[majster1976]

Witam.

Avast zgłasza infekję Win64:Sirefef-A [Trj], Win32:Sirefef-AO [Rtk] i jeszcze jakąś gen.Malware.

Logi poniżej:

Pozdrawiam.

[Landuss]

Jest infekcja ZeroAccess i to w najnowszym wydaniu co sugeruje Gmer:

 

---- Processes - GMER 1.0.15 ----

 

Library c:\windows\system32\n (*** hidden *** ) @ C:\Program Files\Internet Explorer\iexplore.exe [2260] 0x45670000

Library c:\windows\system32\n (*** hidden *** ) @ C:\Program Files\Internet Explorer\iexplore.exe [2760] 0x45670000

 

Potrzebny kolejny raport na warunku dostosowanym. Uruchom OTL, wszystkie opcje ustaw na Brak + Żadne, w sekcji Własne opcje skanowania / skrypt wklej:

 

HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
/md5start
services.exe
/md5stop

 

Klik w Skanuj i przedstaw raport.

[majster1976]

W miedzyczasie sytuacja się zmieniła. Przestał chodzić internet (internet Explorer się nie właczał), Zacząłem kombinować, najpierw z przywracaniem systemu, co nic nie dało. a system nie urochamia się w trybie normalnym (stoi na ładowaniu ustawień użytkownika). Założyłem nowe konto. Piszę teraz z trybu awaryjnego z obsługą sieci na starym koncie. W tym środowisku uruchomiłem OTL

[Landuss]

Nie ma się co dziwić, ze są tego typu problemy. ZeroAccess (Sirefef) to infekcja z wysokiej półki. Przejdziesz teraz do usuwania. Ma ono być prowadzone z konta, na którym jest problem.

 

1. Otwórz Notatnik i wklej w nim:

 

reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f
reg delete HKLM\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f
reg add HKLM\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /ve /t REG_SZ /d C:\WINDOWS\system32\wbem\wbemess.dll /f

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT

 

Plik umieść wprost na C:\.

 

2. Uruchom BlitzBlank i w karcie Script wklej:

 

DeleteFolder:

C:\WINDOWS\Installer\{ff24043d-55f8-5ce9-a20a-8337d9b4b888}
"C:\Documents and Settings\Ksiegowosc1\Ustawienia lokalne\Dane aplikacji\{ff24043d-55f8-5ce9-a20a-8337d9b4b888}"
 
Execute:
C:\fix.bat

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Execute Now. Zatwierdź restart komputera. BlitzBlank wygeneruje na dysku C log z usuwania.

 

3. Zaprezentuj raport z BlitzBlank oraz log z OTL na warunku dostosowanym tak jak poprzednio.

[majster1976]

mam głupi problem. Mam najniższą rozdzielczosc i nie mogę kliknąc w execute now

[Landuss]

No to nie możesz przestawić na większą? Albo przesunąć okna z programem? Nie spotkałem się jeszcze z tym problemem.

[majster1976]

Nie mogę. Okno do tego programu jest niestandardowe i nie działa skrót alt-spacja. Mogę chwycić okno myszką i przesunąć, wtedy widzę ten przycisk, gry jednak puszczę myszkę okno wraca na swoje miejsce. Śmieszne.

Ale być może sobie poradzę: uruchomiłem w trybie VGA. Tu mogłem zmienić rozdzielczość na 800x600. Niestety w tym trybie zawiesił się Internet Explorer a skryptu nie zapisałem wcześniej (kopiowałem wtedy z posta, w awaryjnym z obsługą sieci internet działał). .

 

Martwią mnie jeszcze dwie rzeczy. Log Gmera w trybie normalnym był wykonywany prawdopodobnie z aktywnym sterownikiem stpd (tak to się pisze?) chociaż nie ma żadnych napędów wirtualnych. Zorientowałem się uruchamiając system w trybie awaryjnym. Podczas ładowania było coś w stylu "to load stpd press now Enter".

Druga sprawa to to że nie mogę zalogować się nawet na to drugie konto w trybie normanym, też wisi na ładowaniu ustawień uźytkownika.

 

Aktualnie nie mam dostępu do tego komputera będę walczył jutro rano. Skopuję teraz zawartość skryptu i przyniosę na pendrajwie.

 

Edycja:

 

Poradziłem sobie w trybie VGA. Wszystko działa dobrze.

logi:

Edytowane 6 Czerwca 2012 przez majster1976

[Landuss]

W porządku, można kończyć sprawę.

 

1. Wklej do notatnika:

 

reg delete HKLM\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT i uruchom ten plik z dwukliku

 

2. Użyj opcji Sprzątanie z OTL.

 

3. Opróżnij folder przywracania systemu: KLIK

 

4. Java i Adobe Reader do aktualizacji: KLIK

 

5. Możesz wykonać skan przez Malwarebytes Anti-Malware

 

6. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

[majster1976]

Dzięki za pomoc!

 

Skan przez malwarebytes się jeszcze robi, ale dotychczas wykrył dwa zarażone pliki. Po zakończeniu zrobić skip i przedstawić raport czy usuwać?

[Landuss]

Najpierw wolałbym abyś przedstawił raport i dopiero wtedy podejmie się kroki czy usuwać czy nie.

[majster1976]

Oto log:

[Landuss]

Dwie pozycje do usunięcia natomiast ten wynik z total-copy zignoruj.

[majster1976]

Ogromne dzięki.

 

Zrobione. Program prosił o restart systemu. Pewnie wszystko usunął. Total Copy też pozwoliłem sobie usunać. Jaki program antywirusowy polecasz? Najlepiej darmowy. Komputer jest nie pierwszej młodości, ale ponag giga pamięci ma.

Czy warto instalować ten antiwirus Microsoftu, Czy może po prostu zaktualizować Avasta do wersji 7?.

Czy zesoaccess rozprzestrzenia się przez pendrajwy, Nie chciałbym się powtórnie zarazić.

 

Edycja:

 

Nie działa windowsowa zapora i nie mogę jej właczyć. Na razie zainstalowałem M$ Security Essentials

Edytowane 6 Czerwca 2012 przez majster1976

[Landuss]

Czy warto instalować ten antiwirus Microsoftu, Czy może po prostu zaktualizować Avasta do wersji 7?.

 

To zależy tylko od Ciebie i jest obojętne.

 

Czy zesoaccess rozprzestrzenia się przez pendrajwy, Nie chciałbym się powtórnie zarazić.

 

Ta infekcja nie ma nic wspólnego z pendrivami, nie rozprzestrzenia się w ten sposób.

 

Nie działa windowsowa zapora i nie mogę jej właczyć

 

Tylko zapora czy całe centrum zabezpieczeń? naprawię i jedno i drugie. Tak czy inaczej to wygląda na robotę ZeroAccess i wymaga naprawy.

 

Wklej do notatnika ten tekst:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]
"DependOnGroup"=hex(7):00,00
"DependOnService"=hex(7):4e,00,65,00,74,00,6d,00,61,00,6e,00,00,00,57,00,69,00,\
  6e,00,4d,00,67,00,6d,00,74,00,00,00,00,00
"Description"="Zapewnia usługi translacji adresów sieciowych, adresowania, rozpoznawania nazw i/lub blokowania dostępu intruzów wszystkim komputerom w sieci domowej lub biurowej."
"DisplayName"="Zapora systemu Windows/Udostępnianie połączenia internetowego"
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"ObjectName"="LocalSystem"
"Start"=dword:00000002
"Type"=dword:00000020
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch]
"Epoch"=dword:000000ee
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters]
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
  00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
  69,00,70,00,6e,00,61,00,74,00,68,00,6c,00,70,00,2e,00,64,00,6c,00,6c,00,00,\
  00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup]
"ServiceUpgrade"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup\InterfacesUnfirewalledAtUpdate]
"All"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Enum]
"0"="Root\\LEGACY_SHAREDACCESS\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc]
"Type"=dword:00000020
"Start"=dword:00000002
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"DisplayName"="Centrum zabezpieczeń"
"DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,77,00,69,00,6e,00,\
  6d,00,67,00,6d,00,74,00,00,00,00,00
"ObjectName"="LocalSystem"
"Description"="Monitoruje ustawienia zabezpieczeń i konfiguracje systemu."
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Parameters]
"ServiceDll"=hex(2):25,00,53,00,59,00,53,00,54,00,45,00,4d,00,52,00,4f,00,4f,\
  00,54,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
  77,00,73,00,63,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
  00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
  00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
  05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
  20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
  00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
  00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Enum]
"0"="Root\\LEGACY_WSCSVC\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik

 

O efektach poinformuj.

[majster1976]

zanim to zrobię jeszcze pytanie. U mnie centrum zabezpieczeń wygląda tak:

Nieco inaczej niż na XP na sąsiednim komputerze.

Czy patch jest bezpieczny?

 

na czystym komputerze jest tak:

 

Oba komputery xp prof sp3

[Landuss]

To nie ma żadnego znaczenia dla wykonania powyższych moich instrukcji. Nie o wygląd tu chodzi tylko o rejestr.

[majster1976]

Po restarcie zapora zaczeła działać. A przynajmniej pokazało się jej okienko z właczonymi ustawieniami. Wielkie dzięki.

Pozdrawiam.