Sirefef - niewiasta prosi o pomoc

[katiqq]

Witam serdecznie. Mam straszny problem z komputerem, a raczej z trojanem sirefef. Umieszczam OTL z ogromną prośbą o pomoc.

http://www.wklej.eu/index.php?id=daecb05e05
http://www.wklej.eu/index.php?id=acb27df659

[struart]

http://www.dobreprogramy.pl/Malwarebytes-AntiMalware,Program,Windows,13117.html

Zainstaluj daj PEŁNY SKAN na końcu usuń wszystko co znalazł i znowu OTL.

[Sztosman]

http://download.eset.com/special/encycl ... emover.exe tu jest szczepionka na tego szkodnika

[spandaupol]

katiqq, Jak podajesz logi to proszę czekać na ich analizę Masz rootkita zeroaccess sama szczepionka to tutaj nie pomoże. Proszę pobrać i użyć Combofixa zgodnie z instrukcją http://www.fixitpc.pl/topic/7-dezynfekc ... -combofix/ Jak wszystko pójdzie dobrze i narzędzie skończy pracę powstanie raport który podasz na forum

[katiqq]

katiqq, Jak podajesz logi to proszę czekać na ich analizę Masz rootkita zeroaccess sama szczepionka to tutaj nie pomoże. Proszę pobrać i użyć Combofixa zgodnie z instrukcją http://www.fixitpc.pl/topic/7-dezynfekc ... -combofix/ Jak wszystko pójdzie dobrze i narzędzie skończy pracę powstanie raport który podasz na forum

Dziękuję za odzew. Czego to jauż nie robiłam... szczepionka jest nieskuteczna. Przeleciałam to Malware i usunęłam, ale dalej było widoczne. Uruchomiłam combofix i po tym wyszło tak:
http://www.wklej.eu/index.php?id=f52dd52a41

[spandaupol]

Wklej do notatnika

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]
"netsvcs"=hex(7):36,00,74,00,6f,00,34,00,00,00,41,00,70,00,70,00,4d,00,67,00,\
6d,00,74,00,00,00,41,00,75,00,64,00,69,00,6f,00,53,00,72,00,76,00,00,00,42,\
00,72,00,6f,00,77,00,73,00,65,00,72,00,00,00,43,00,72,00,79,00,70,00,74,00,\
53,00,76,00,63,00,00,00,44,00,4d,00,53,00,65,00,72,00,76,00,65,00,72,00,00,\
00,44,00,48,00,43,00,50,00,00,00,45,00,52,00,53,00,76,00,63,00,00,00,45,00,\
76,00,65,00,6e,00,74,00,53,00,79,00,73,00,74,00,65,00,6d,00,00,00,46,00,61,\
00,73,00,74,00,55,00,73,00,65,00,72,00,53,00,77,00,69,00,74,00,63,00,68,00,\
69,00,6e,00,67,00,43,00,6f,00,6d,00,70,00,61,00,74,00,69,00,62,00,69,00,6c,\
00,69,00,74,00,79,00,00,00,48,00,69,00,64,00,53,00,65,00,72,00,76,00,00,00,\
49,00,61,00,73,00,00,00,49,00,70,00,72,00,69,00,70,00,00,00,49,00,72,00,6d,\
00,6f,00,6e,00,00,00,4c,00,61,00,6e,00,6d,00,61,00,6e,00,53,00,65,00,72,00,\
76,00,65,00,72,00,00,00,4c,00,61,00,6e,00,6d,00,61,00,6e,00,57,00,6f,00,72,\
00,6b,00,73,00,74,00,61,00,74,00,69,00,6f,00,6e,00,00,00,4d,00,65,00,73,00,\
73,00,65,00,6e,00,67,00,65,00,72,00,00,00,4e,00,65,00,74,00,6d,00,61,00,6e,\
00,00,00,4e,00,6c,00,61,00,00,00,4e,00,74,00,6d,00,73,00,73,00,76,00,63,00,\
00,00,4e,00,57,00,43,00,57,00,6f,00,72,00,6b,00,73,00,74,00,61,00,74,00,69,\
00,6f,00,6e,00,00,00,4e,00,77,00,73,00,61,00,70,00,61,00,67,00,65,00,6e,00,\
74,00,00,00,52,00,61,00,73,00,61,00,75,00,74,00,6f,00,00,00,52,00,61,00,73,\
00,6d,00,61,00,6e,00,00,00,52,00,65,00,6d,00,6f,00,74,00,65,00,61,00,63,00,\
63,00,65,00,73,00,73,00,00,00,53,00,63,00,68,00,65,00,64,00,75,00,6c,00,65,\
00,00,00,53,00,65,00,63,00,6c,00,6f,00,67,00,6f,00,6e,00,00,00,53,00,45,00,\
4e,00,53,00,00,00,53,00,68,00,61,00,72,00,65,00,64,00,61,00,63,00,63,00,65,\
00,73,00,73,00,00,00,53,00,52,00,53,00,65,00,72,00,76,00,69,00,63,00,65,00,\
00,00,54,00,61,00,70,00,69,00,73,00,72,00,76,00,00,00,54,00,68,00,65,00,6d,\
00,65,00,73,00,00,00,54,00,72,00,6b,00,57,00,6b,00,73,00,00,00,57,00,33,00,\
32,00,54,00,69,00,6d,00,65,00,00,00,57,00,5a,00,43,00,53,00,56,00,43,00,00,\
00,57,00,6d,00,69,00,00,00,57,00,6d,00,64,00,6d,00,50,00,6d,00,53,00,70,00,\
00,00,77,00,69,00,6e,00,6d,00,67,00,6d,00,74,00,00,00,77,00,73,00,63,00,73,\
00,76,00,63,00,00,00,78,00,6d,00,6c,00,70,00,72,00,6f,00,76,00,00,00,6e,00,\
61,00,70,00,61,00,67,00,65,00,6e,00,74,00,00,00,68,00,6b,00,6d,00,73,00,76,\
00,63,00,00,00,42,00,49,00,54,00,53,00,00,00,77,00,75,00,61,00,75,00,73,00,\
65,00,72,00,76,00,00,00,53,00,68,00,65,00,6c,00,6c,00,48,00,57,00,44,00,65,\
00,74,00,65,00,63,00,74,00,69,00,6f,00,6e,00,00,00,68,00,65,00,6c,00,70,00,\
73,00,76,00,63,00,00,00,57,00,6d,00,64,00,6d,00,50,00,6d,00,53,00,4e,00,00,\
00,00,00

Z menu Notatnika wybierasz - Plik - Zapisz jako - Zmieniasz rozszerzenie z .txt na wszystkie pliki - zapisz pod nazwą Fix.reg Uruchom ten plik, potwierdź dodanie do rejestru

W okno Własne opcje skanowania / skrypt w OTL wklej:

:OTL

:Files
c:\documents and settings\1\Ustawienia lokalne\Dane aplikacji\5e5e0692
C:\WINDOWS\System32\dds_log_trash.cmd
C:\WINDOWS\System32\ApjohxuHqulx.dll

:Services
SirefefRemover

:Reg
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SirefefRemover]

:Commands
[emptytemp]

Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum
Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.

[katiqq]

log z usuwania http://www.wklej.eu/index.php?id=883a3d6242
log ze skanowania http://www.wklej.eu/index.php?id=7e0062be94
Pokazało mi się w tzw międzyczasie okienko z komunikatem: http://imageshack.us/photo/my-images/84/xxxfe.jpg/

Póki co serdecznie dziękuję za pomoc, a przede wszystkim za bardzo czytelne wyjaśnienie co po kolei należy zrobić. Do poniedziałku już nie będę miała dostępu do zainfekowanego komputera, ale jeśli należy jeszcze coś zrobić, to bardzo proszę o wskazówki.

-- Dodane 24.02.2012 (Pt) 11:40 --

powtarzam link do obrazka http://imageshack.us/photo/my-images/109/xxxad.jpg/

[spandaupol]

To dopiero początek ale po kolei:

powtarzam link do obrazka http://imageshack.us/photo/my-images/109/xxxad.jpg/

Wygląda na to że pominęłaś nagłówek przy wklejaniu do notatnika Jeśli nadal będzie ten sam błąd pisz.
Windows Registry Editor Version 5.00

Przygotowałem dla Ciebie ten plik Pobierz fix.reg http://hostuje.net/file.php?id=647fcc2c ... d8b39d772d Pobierz plik na pulpit Uruchom dwuklikiem potwierdź dodanie do rejestru.

DRV - [2008-04-14 17:11:05 | 000,065,280 | ---- | M] () [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\serial.sys -- (Serial)

Plik nie posiada sygnatury Microsoftu będziemy podmieniać. Proszę na dysku C:\ utworzyć katalog Plik Następnie pobierasz plik serial.sys dla Twojego systemu http://hostuje.net/file.php?id=53becb02 ... b7ffa636de i umieszczasz go w katalogu C:\Plik

Następnie W okno Własne opcje skanowania / skrypt w OTL wklej:

:Files
C:\WINDOWS\system32\drivers\serial.sys|C:\Plik\serial.sys /replace

:Commands
[emptytemp]

Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum
Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.

[katiqq]

Witam serdecznie.
Powtórzyłam czynności, ale bez podmieniania plików, bo nie chcę się narażać "władzy". Może tym razem będzie ok.
W załączeniu logi.
http://www.wklej.eu/index.php?id=db14183a01
http://www.wklej.eu/index.php?id=f2ed867a38

-- Dodane 27.02.2012 (Pn) 7:27 --

Tym razem okienko nie wyskoczyło

-- Dodane 27.02.2012 (Pn) 9:29 --

Hello jest tam kto? Nadal eset wyrzuca mi powiadomienia o znalezionych szkodnikach .

[spandaupol]

Powtórzyłam czynności, ale bez podmieniania plików, bo nie chcę się narażać "władzy". Może tym razem będzie ok

Właściwie to się zastanów i zdecyduj czy chcesz naprawić komputer czy nie. Usunięcie tej infekcji to jedno, a naprawa uszkodzonego systemu to drugie. NetSvcs naprawiony ale reszta do naprawy. Napisz jaką podjęłaś decyzje.

Hello jest tam kto? Nadal eset wyrzuca mi powiadomienia o znalezionych szkodnikach .

Na teraz proszę o raport Gmera instrukcja http://www.fixitpc.pl/topic/60-diagnost ... u-rootkit/

Proszę dodatkowo wykonać pełny skan KVRT http://www.dobreprogramy.pl/Kaspersky-V ... 12768.html Jak program coś wykryje proszę nic nie usuwaj tylko pokaż raport z wykrytych infekcji.

[katiqq]

Ok. Jeśli tylko uda się podmienić, to zrobię to jak tylko GMER zakończy działanie. Czy raport GMER mogłabym wysłać na priva? Wolałabym żeby jednostka w której pracuję nie była zidentyfikowana.

[spandaupol]

Jeśli tylko uda się podmienić

Ja napisałem skrypt do OTL który powinien to zrobić pod warunkiem, że utworzysz na ten moment na dysku C:\katalog Plik i umieścisz w nim ten plik czyli C:\Plik\serial.sys Następnie wykonasz ten skrypt jak w poście powyżej i plik powinien się podmienić Następnie możesz usunąć folder Plik z komputera.

W okno Własne opcje skanowania / skrypt w OTL wklej:

:Files
C:\WINDOWS\system32\drivers\serial.sys|C:\Plik\serial.sys /replace

:Commands
[emptytemp]

Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum
Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.

Czy raport GMER mogłabym wysłać na priva?

Tak.

[katiqq]

Raport Kaspersky http://www.wklej.eu/index.php?id=ee3336b271
Gmera wysłałam na priv.
Już się biorę za podmienianie.

-- Dodane 27.02.2012 (Pn) 14:06 --

Po podmienieniu:
log z usunięcia http://www.wklej.eu/index.php?id=451229555f

log ze skanowania http://www.wklej.eu/index.php?id=6966142662

[spandaupol]

Plik podmieniony prawidłowo. Usuń folder Plik z dysku

W okno Własne opcje skanowania / skrypt w OTL wklej:

:OTL
SRV - File not found [Auto | Stopped] -- -- (wpshelper)
SRV - File not found [Auto | Stopped] -- -- (WavxDMgr)
SRV - File not found [Auto | Stopped] -- -- (vc5secs)
SRV - File not found [Auto | Stopped] -- -- (USBVCD)
SRV - File not found [Auto | Stopped] -- -- (slave)
SRV - File not found [Auto | Stopped] -- -- (SE27obex)
SRV - File not found [Auto | Stopped] -- -- (rxmssync)
SRV - File not found [Auto | Stopped] -- -- (rt2500)
SRV - File not found [Auto | Stopped] -- -- (razerusb)
SRV - File not found [Auto | Stopped] -- -- (purgeieservice)
SRV - File not found [Auto | Stopped] -- -- (ppmoucls)
SRV - File not found [Auto | Stopped] -- -- (pmsveh)
SRV - File not found [Auto | Stopped] -- -- (pdfcreatormessages)
SRV - File not found [Auto | Stopped] -- -- (nvmd)
SRV - File not found [Auto | Stopped] -- -- (netrcacm)
SRV - File not found [Auto | Stopped] -- -- (mskservice)
SRV - File not found [Auto | Stopped] -- -- (mpservice)
SRV - File not found [Auto | Stopped] -- -- (iSMBIOS)
SRV - File not found [Auto | Stopped] -- -- (G400DH)
SRV - File not found [Auto | Stopped] -- -- (aspi32)
[2012-02-24 08:11:38 | 000,518,144 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWREG.exe
[2012-02-24 08:11:38 | 000,406,528 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWSC.exe
[2012-02-24 08:11:38 | 000,212,480 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWXCACLS.exe
[2012-02-24 08:11:38 | 000,060,416 | ---- | C] (NirSoft) -- C:\WINDOWS\NIRCMD.exe
[2012-02-24 08:11:32 | 000,000,000 | ---D | C] -- C:\WINDOWS\ERDNT
[2012-02-24 08:11:23 | 000,000,000 | ---D | C] -- C:\Qoobox
[2012-02-24 08:10:34 | 004,418,150 | R--- | C] (Swearware) -- C:\Documents and Settings\1\Pulpit\ComboFix.exe
[2012-02-24 08:11:38 | 000,256,000 | ---- | C] () -- C:\WINDOWS\PEV.exe
[2012-02-24 08:11:38 | 000,208,896 | ---- | C] () -- C:\WINDOWS\MBR.exe
[2012-02-24 08:11:38 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe
[2012-02-24 08:11:38 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe
[2012-02-24 08:11:38 | 000,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe

:Files
C:\Documents and Settings\1\Pulpit\fix.reg

:Commands
[emptytemp]

Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum
Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.

[katiqq]

usuwanie http://www.wklej.eu/index.php?id=998aeafb12
skanowanie http://www.wklej.eu/index.php?id=327f36226a