arur Opublikowano 23 Lipca 2012 Zgłoś Udostępnij Opublikowano 23 Lipca 2012 Witam, Program Essensial wykrył Virusa Sirefef.R oraz trojana Sirefef.AH.Komputer się restartuje non stop, więc nic nie mogę zrbić.czytałem już na forum posty, że jedna osoba również miała z tym problem.Podjołem kroki do wygenerowania raportu textowego FRST (F8 przy starcie komputera > Napraw komputer > Wiersz polecenia >) niestety bez powodzenia.Na czarnym ekranie po wybraniu "napraw komputer" zaczyna ładować windows vista 32 bit.Proszę o pomoc oraz o skazówki. Pozdrawiam Odnośnik do komentarza
Anonim8 Opublikowano 23 Lipca 2012 Zgłoś Udostępnij Opublikowano 23 Lipca 2012 zakładasz temat w dziale Pomocy dorażnej - zastosuj się do zasad https://www.fixitpc.pl/topic/61-diagnostyka-ogolne-raporty-systemowe/#1 Odnośnik do komentarza
arur Opublikowano 24 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 24 Lipca 2012 Jeśli napisałem w złym dziale to proszę o linka do właściwego działu i nie było moją intencją robić jakiekolwiek zamieszanie. Jednak kontynuując temat będę próbował wygenerować log z otl. Chciałem zauważyć że już był taki problem poruszany na forum i również w pomocy doraźnej https://www.fixitpc.pl/topic/8711-ciagly-restart-komputera-i-wirus-sirefefah/ Pozdrawiam Odnośnik do komentarza
Anonim8 Opublikowano 24 Lipca 2012 Zgłoś Udostępnij Opublikowano 24 Lipca 2012 No tak, wszystko się zgadza, tylko żeby ci ktoś pomógł musisz zrobić logi z OTL. Jak system nie chodzi w trybie normalnym zrób logi w awaryjnym. Odnośnik do komentarza
picasso Opublikowano 24 Lipca 2012 Zgłoś Udostępnij Opublikowano 24 Lipca 2012 Belfegor Nie jest w stanie zrobić logów z OTL, nawet w awaryjnym. Zainfekowany services.exe powoduje restart po minucie od załadowania Windows. arur Podjołem kroki do wygenerowania raportu textowego FRST (F8 przy starcie komputera > Napraw komputer > Wiersz polecenia >) niestety bez powodzenia.Na czarnym ekranie po wybraniu "napraw komputer" zaczyna ładować windows vista 32 bit. Wróć do opisu WinRE. Ze spoilera pobierz płytę z WinRE, zbootuj z niej komputer i uruchom FRST zgodnie z opisem. . Odnośnik do komentarza
arur Opublikowano 24 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 24 Lipca 2012 Czy WinRE ma możliwość bootowania z pendriva?Nie wyczytałem w odnośniku co do opisu WIN RE. Odnośnik do komentarza
picasso Opublikowano 24 Lipca 2012 Zgłoś Udostępnij Opublikowano 24 Lipca 2012 Owszem, może bootować z pendrive, ale potrzebne jest narzędzie które przygotuje pendrive i zgra plik ISO na niego. Jaki masz problem z nagraniem normalnej CD? Odnośnik do komentarza
arur Opublikowano 24 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 24 Lipca 2012 Okey udało mi się zeskanować frst.exe w środowisku WinRE w załączniku przedstawiam raport. Pozdrawiam FRST.txt Odnośnik do komentarza
picasso Opublikowano 24 Lipca 2012 Zgłoś Udostępnij Opublikowano 24 Lipca 2012 Definitywnie infekcja ZeroAccess w pełnej krasie, zmodyfikowany plik services.exe oraz inne elementy infekcji. 1. Otwórz Notatnik i wklej w nim: CMD: copy /y C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6000.16386_none_cd28fe6bd05df036\services.exe C:\Windows\System32\services.exe C:\Windows\Installer\{583f6673-dc5a-eb86-f4e3-8e76f875d07b} C:\Users\NOMAR\AppData\Local\{583f6673-dc5a-eb86-f4e3-8e76f875d07b} C:\Start_.cmd HKU\NOMAR\...\Run: [Regedit32] C:\Windows\system32\regedit.exe [x] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt. Wstaw na pendrive obok narzędzia FRST. 2. Uruchom zgodnie z opisem narzędzie FRST i wybierz w nim opcję Fix. Skrypt umieszczony na pendrive zostanie przetworzony i powstanie plik fixlog.txt. Restartujesz do Windows. 3. Zaprezentuj fixlog.txt. Wygeneruj standardowe logi z OTL, log z Farbar Service Scanner (wszystkie opcje zaznaczone). Uruchom SystemLook i w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look. . Odnośnik do komentarza
arur Opublikowano 24 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 24 Lipca 2012 Powyższe czynności wykonałem. Pozdrawiam OTL.Txt Extras.Txt FSS.txt SystemLook.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 25 Lipca 2012 Zgłoś Udostępnij Opublikowano 25 Lipca 2012 Wszystko zrobione. Przejdź do tej porcji zadań: 1. Zadałam podmianę services.exe opierając się na FRST, który nie pokazywał, iż Vista ma Service Pack. Tu jest SP2, czyli trzeba skorygować po raz drugi wersję pliku. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę: sfc /scanfile=C:\Windows\system32\services.exe Zresetuj system. 2. W rejestrze jest również nieprawidłowy klucz relatywny do tej infekcji, wygląda na błędnie "korygowany" skanerem typu MBAM. Powinieneś mieć aktualnie problem z przesuwaniem ikon Pulpitu. Start > w polu szukania wpisz regedit > z prawokliku skasuj klucz: HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} 3. Odinstaluj adware BitTorrentBar Toolbar, w dwóch miejscach: Panel sterowania + w Firefox w Dodatkach. Uruchom AdwCleaner i zastosuj Delete. Z tego działania powstanie log na dysku C. 4. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL SRV - File not found [Auto | Stopped] -- C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe /h ccCommon -- (CLTNetCnService) FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2790392&SearchSource=2&q=" :Files rd /s /q C:\FRST /C rd /s /q C:\ComboFix /C rd /s /q C:\Qoobox /C rd /s /q C:\32788R22FWJFW /C rd /s /q C:\Windows\erdnt /C :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany i otworzy się log z wynikami usuwania. 5. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania AdwCleaner z punktu 3. Jeśli potwierdzę wykonanie tych zadań, przejdziesz do napraw szkód po trojanie (skasowane usługi na poziomie rejestru). . Odnośnik do komentarza
arur Opublikowano 26 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 26 Lipca 2012 Witam, Powyższe czynności wykonałem oprócz usunięcia BitTorrentBar Toolbar w Firefox poniewarz nie znalazłem dostarczam logi. Pozdrawiam AdwCleanerS1.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 27 Lipca 2012 Zgłoś Udostępnij Opublikowano 27 Lipca 2012 Zadania pomyślnie wykonane. Kolejne zadania: 1. Miniaturowa poprawka na szczątki po pasku torrent. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKU\S-1-5-21-3806916145-1304062726-144372481-1000\..\URLSearchHook: {88c7f2aa-f93f-432c-8f0e-b7d85967a527} - No CLSID value found O3 - HKU\S-1-5-21-3806916145-1304062726-144372481-1000\..\Toolbar\WebBrowser: (no name) - {88C7F2AA-F93F-432C-8F0E-B7D85967A527} - No CLSID value found. [2012-07-18 13:28:20 | 000,000,000 | ---D | M] (BitTorrentBar Community Toolbar) -- C:\Users\NOMAR\AppData\Roaming\mozilla\Firefox\Profiles\my6nghy1.default\extensions\{88c7f2aa-f93f-432c-8f0e-b7d85967a527}(180) Klik w Wykonaj skrypt. Tym razem nie będzie restartu. 2. Pełna rekonstrukcja usług Zapory systemu Windows: KLIK. W instrukcji omiń tylko sfc /scannow, gdyż nie ma takiej potrzeby, szkody są na poziomie rejestru. 3. Rekonstrukcja usługi BITS związanej z Windows Update. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS] "DisplayName"="@%SystemRoot%\\system32\\qmgr.dll,-1000" "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "Description"="@%SystemRoot%\\system32\\qmgr.dll,-1001" "ObjectName"="LocalSystem" "ErrorControl"=dword:00000001 "Start"=dword:00000002 "DelayedAutoStart"=dword:00000001 "Type"=dword:00000020 "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,45,00,76,00,65,00,\ 6e,00,74,00,53,00,79,00,73,00,74,00,65,00,6d,00,00,00,00,00 "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,43,00,72,00,65,00,61,00,74,00,65,00,47,\ 00,6c,00,6f,00,62,00,61,00,6c,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,\ 67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,6e,\ 00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\ 00,00,53,00,65,00,54,00,63,00,62,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,\ 00,67,00,65,00,00,00,53,00,65,00,41,00,73,00,73,00,69,00,67,00,6e,00,50,00,\ 72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,00,65,00,6e,00,50,00,72,\ 00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6e,00,\ 63,00,72,00,65,00,61,00,73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,72,\ 00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,00,00 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,c0,d4,01,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\Parameters] "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 71,00,6d,00,67,00,72,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\Performance] "Library"="bitsperf.dll" "Open"="PerfMon_Open" "Collect"="PerfMon_Collect" "Close"="PerfMon_Close" "InstallType"=dword:00000001 "PerfIniFile"="bitsctrs.ini" "First Counter"=dword:000007d2 "Last Counter"=dword:000007e2 "First Help"=dword:000007d3 "Last Help"=dword:000007e3 "Object List"="2002" "PerfMMFileName"="Global\\MMF_BITS_s" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\Security] "Security"=hex:01,00,14,80,90,00,00,00,a0,00,00,00,14,00,00,00,34,00,00,00,02,\ 00,20,00,01,00,00,00,02,c0,18,00,00,00,0c,00,01,02,00,00,00,00,00,05,20,00,\ 00,00,20,02,00,00,02,00,5c,00,04,00,00,00,00,02,14,00,ff,01,0f,00,01,01,00,\ 00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,\ 20,00,00,00,20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,04,\ 00,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,01,02,\ 00,00,00,00,00,05,20,00,00,00,20,02,00,00,01,02,00,00,00,00,00,05,20,00,00,\ 00,20,02,00,00 Adnotacja dla innych czytających: import dopasowany do Windows Vista. Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku na plik Scal 4. Zresetuj system i wygeneruj nowy log z Farbar Service Scanner. . Odnośnik do komentarza
arur Opublikowano 27 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 27 Lipca 2012 Witam, Wszystko wykonałem. Pozdrawiam FSS.txt Odnośnik do komentarza
picasso Opublikowano 27 Lipca 2012 Zgłoś Udostępnij Opublikowano 27 Lipca 2012 (edytowane) Usługi odbudowane. Końcowe czyszczenie: 1. Porządki po narzędziach: w OTL uruchom Sprzątanie, w AdwCleaner Uninstall, a resztę ręcznie dokasuj. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Wykonaj pełne (nie ekspresowe) skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport. . Edytowane 26 Sierpnia 2012 przez picasso 27.08.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi