TR/Small.FI, TR/Sirefef.AG.35, TR/ATRAPS.Gen2

[owocowka]

Witam,

weszłam dzisiaj na strone internetową: leginsy . org (link z fb znajomej), zamulił mi firefoks przy wczytywaniu tej strony i po ok. pół minuty wyskoczył komunikat z Aviry o wykryciu wirusa - stronę zamknęłam. Od tamtej pory (ok 4 godziny temu) do teraz co chwilę wyskakuje wykrycie 1-2 wirusów i są to te same pliki i (chyba) ta sama lokalizacja. Wykrywa: TR/Small.FI , TR/Sirefef.AG.35 , TR/ATRAPS.Gen2

 

Robiłam też skan Ad-Aware ale nic nie wykrył.

 

Załączam logi z OTL oraz dwa logi z Aviry oraz info z Gmera

Extras.Txt

OTL.Txt

AVSCAN-20120612-130043-0E34E730.txt

AVSCAN-20120612-130253-2FEA6FA8.txt

Gme.txt

[picasso]

Ten "link od znajomej" to zapewne nie był link wysłany świadomie przez tę osobę. Niestety mamy tu trojana ZeroAccess, którego skutki działania widzi GMER oznajmiając obecność ukrytych modułów w pamięci innych procesów. Potrzebny dodatkowy skan typujący miejsce ładowania trojana. Uruchom SystemLook i do skanowania wklej:

 

:reg
HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
 
:filefind
services.exe
 
:regfind
{5cb26a82-49ea-45d7-4d3b-52b8ad1cf5c9}

 

Klik w Look i przedstaw wynikowy raport.

 

 

 

.

[owocowka]

Załączam raport z SystemLook

SystemLook.txt

[picasso]

1. Otwórz Notatnik i wklej w nim:

 

reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f
reg add HKLM\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /ve /t REG_SZ /d C:\WINDOWS\system32\wbem\wbemess.dll /f

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT

 

Plik umieść wprost na C:\.

 

2. Uruchom BlitzBlank i w karcie Script wklej:

 

DeleteFolder: 

C:\WINDOWS\Installer\{5cb26a82-49ea-45d7-4d3b-52b8ad1cf5c9}
"C:\Documents and Settings\0wocowka\Ustawienia lokalne\Dane aplikacji\{5cb26a82-49ea-45d7-4d3b-52b8ad1cf5c9}"
 
Execute: 
C:\fix.bat

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Execute Now. Zatwierdź restart komputera. Przed ekranem z logo Windows powinien pojawić się ekran z działaniami BlitzBlank. Finalnie BlitzBlank wygeneruje na dysku C log.

 

3. Wklej wprost do posta zawartość raportu BlitzBlank. Zrób nowy log z SystemLook na warunki:

 

:reg

HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
 
:folderfind
{5cb26a82-49ea-45d7-4d3b-52b8ad1cf5c9}
 
:regfind
{5cb26a82-49ea-45d7-4d3b-52b8ad1cf5c9}

 

 

 

.

[owocowka]

Wszystko zrobione.

 

BlitzBlank http://wklej.org/id/772149/

 

SystemLook 30.07.11 by jpshortstuff

Log created at 09:03 on 13/06/2012 by 0wocowka

Administrator - Elevation successful

 

========== reg ==========

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

(Unable to open key - key not found)

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}]

@="Microsoft WBEM New Event Subsystem"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32]

@="C:\WINDOWS\system32\wbem\wbemess.dll"

"ThreadingModel"="Both"

 

 

========== folderfind ==========

 

Searching for "{5cb26a82-49ea-45d7-4d3b-52b8ad1cf5c9}"

No folders found.

 

========== regfind ==========

 

Searching for "{5cb26a82-49ea-45d7-4d3b-52b8ad1cf5c9}"

No data found.

 

-= EOF =-

[picasso]

Potwierdzone pomyślne usunięcie infekcji. Przechodzimy do kolejnych czynności:

 

1. Drobne usuwanie adware-paska DAEMON Tools z Firefox + czyszczenie lokalizacji tymczasowych. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Documents and Settings\0wocowka\Dane aplikacji\Mozilla\Firefox\Profiles\3y3oq1d3.default\extensions\DTToolbar@toolbarnet.com
C:\Documents and Settings\0wocowka\Dane aplikacji\Mozilla\Firefox\Profiles\3y3oq1d3.default\searchplugins\daemon-search.xml
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z usuwania. Zaprezentuj go.

 

2. Sprawdzenie pod kątem uszkodzeń usług Windows. Wygeneruj log z Farbar Service Scanner (zaznacz wszystkie opcje).

 

 

 

.

[owocowka]

Załączam oby dwa raporty

06132012_092922.txt

FSS.txt

[picasso]

1. Zrekonstruuj Zaporę systemu Windows i Centrum zabezpieczeń: KLIK.

 

2. Zresetuj system i zrób nowy log z Farbar Service Scanner.

[owocowka]

Chyba wszystko zrobiłam poprawnie - mam taką nadzieję.

FSS.txt

[picasso]

Rekonstrukcja prawie zrobiona, to "prawie" wynika z faktu niepełnego odtworzenia usługi Centrum zabezpieczeń:

 

Security Center:
============
wscsvc Service is not running. Checking service configuration:
Checking Start type: ATTENTION!=====> Unable to retrieve start type of wscsvc. The value does not exist.
The ImagePath of wscsvc service is OK.
The ServiceDll of wscsvc service is OK.

 

1. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc]
"Type"=dword:00000020
"Start"=dword:00000002
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"DisplayName"="Centrum zabezpieczeń"
"DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,77,00,69,00,6e,00,\
  6d,00,67,00,6d,00,74,00,00,00,00,00
"ObjectName"="LocalSystem"
"Description"="Monitoruje ustawienia zabezpieczeń i konfiguracje systemu."
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Parameters]
"ServiceDll"=hex(2):25,00,53,00,59,00,53,00,54,00,45,00,4d,00,52,00,4f,00,4f,\
  00,54,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
  77,00,73,00,63,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
  00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
  00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
  05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
  20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
  00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
  00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Enum]
"0"="Root\\LEGACY_WSCSVC\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik

 

2. Zresetuj system i ponownie wygeneruj log z Farbar Service Scanner.

 

 

 

.

 

 

[owocowka]

Zrobione.

FSS.txt

[picasso]

Zadanie pomyślnie wykonane. Finalizacja czyszczenia:

 

1. Porządki po narzędziach: w OTL uruchom Sprzątanie + ręcznie skasuj inne używane narzędzia.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Wykonaj pełny skan w Malwarebytes Anti-Malware. Przedstaw raport, o ile coś zostanie wykryte.

 

 

 

.

[owocowka]

Porządki zrobione, a program zupełnie nic nie wykrył, także ślicznie dziękuję za pomoc

[picasso]

Sam koniec:

 

1. Zaktualizuj Java i Adobe: KLIK. Notowane wersje na Twojej liście:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31
"{AC76BA86-7AD7-1045-7B44-A80000000000}" = Adobe Reader 8 - Polish

 

2. Prewencyjnie zmień hasła logowania w serwisach.

 

 

 

.