Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Live Security Platinum WIN32/Sirefef.AL Win64:Sirefef-A

xavier

Przez xavier
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

xavier

xavier

Opublikowano
Opublikowano

Witam,

 

na komputerze z nieaktualnym ESETem pojawił mi się wczoraj Live Security Platinum. Zgodnie z instrukcjami z youtube udało mi się go pozbyć - a przynajmniej jego widoczne objawy.

Odinstalowałem ESET, zainstalowałem Avast'a, aktualizacja i zaczęły pojawiać się co kilka minut informacje o znalezieniu trojanów i rootkitów - WIN32/Sirefef.AO Win64:Sirefef-A, a obecnie informacje o blokowaniu stron

Proces: C:\WINDOWS\system32\svchost.exe

Infekcja: URL:Mal

Proszę o pomoc.

Extras.Txt

OTL.Txt

gmer.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
Landuss

Landuss

Opublikowano
Opublikowano

Uruchom SystemLook, w oknie wklej:

 

:reg
HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
 
:filefind
services.exe

 

Klik w Look. Przedstaw wynikowy raport.

Odnośnik do komentarza
xavier

xavier

Opublikowano
  • Autor
Opublikowano

w załączeniu plik

 

 

SystemLook 30.07.11 by jpshortstuff

Log created at 10:26 on 01/08/2012 by Danusia

Administrator - Elevation successful

 

========== reg ==========

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

(No values found)

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32]

"ThreadingModel"="Both"

@="C:\Documents and Settings\Danusia\Ustawienia lokalne\Dane aplikacji\{1f3577a0-d8e2-00cf-6dba-b839398f159d}\n."

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}]

@="Microsoft WBEM New Event Subsystem"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32]

@="\\.\globalroot\systemroot\Installer\{1f3577a0-d8e2-00cf-6dba-b839398f159d}\n."

"ThreadingModel"="Both"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

@="MruPidlList"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]

@="%SystemRoot%\system32\shdocvw.dll"

"ThreadingModel"="Apartment"

 

 

========== filefind ==========

 

Searching for "services.exe"

C:\WINDOWS\$hf_mig$\KB956572\SP3QFE\services.exe --a---- 111104 bytes [12:46 01/02/2010] [11:19 09/02/2009] 8816E60BF654353E8E0D35ED98875445

C:\WINDOWS\$NtUninstallKB956572$\services.exe -----c- 109056 bytes [13:04 01/02/2010] [12:00 15/04/2008] 3E3AE424E27C4CEFE4CAB368C7B570EA

C:\WINDOWS\system32\services.exe --a---- 111104 bytes [12:00 15/04/2008] [11:25 09/02/2009] 02A467E27AF55F7064C5B251E587315F

C:\WINDOWS\system32\dllcache\services.exe --a--c- 111104 bytes [12:00 15/04/2008] [11:25 09/02/2009] 02A467E27AF55F7064C5B251E587315F

 

-= EOF =-

Odnośnik do komentarza
Landuss

Landuss

Opublikowano
Opublikowano

1. Start > uruchom > cmd i wklep kolejno te dwa polecenia:

 

reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f

 

 

reg add HKLM\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /ve /t REG_SZ /d C:\WINDOWS\system32\wbem\wbemess.dll /f

 

2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:Files
C:\Documents and Settings\All Users\Dane aplikacji\6F63A59D16E5A1C5F99EA02A81CB3EF3
C:\WINDOWS\Installer\{1f3577a0-d8e2-00cf-6dba-b839398f159d}
C:\Documents and Settings\Danusia\Ustawienia lokalne\Dane aplikacji\{1f3577a0-d8e2-00cf-6dba-b839398f159d}
 
:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) oraz nowy z SystemLook.

Odnośnik do komentarza
xavier

xavier

Opublikowano
  • Autor
Opublikowano

Operacje wykonane z powodzeniem, avast się uspokoił

w załączeniu logi

 

 

 

SystemLook 30.07.11 by jpshortstuff

Log created at 11:59 on 01/08/2012 by Danusia

Administrator - Elevation successful

 

========== reg ==========

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

(Unable to open key - key not found)

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}]

@="Microsoft WBEM New Event Subsystem"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32]

@="C:\WINDOWS\system32\wbem\wbemess.dll"

"ThreadingModel"="Both"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

@="MruPidlList"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]

@="%SystemRoot%\system32\shdocvw.dll"

"ThreadingModel"="Apartment"

 

 

========== filefind ==========

 

Searching for "services.exe"

C:\WINDOWS\$hf_mig$\KB956572\SP3QFE\services.exe --a---- 111104 bytes [12:46 01/02/2010] [11:19 09/02/2009] 8816E60BF654353E8E0D35ED98875445

C:\WINDOWS\$NtUninstallKB956572$\services.exe -----c- 109056 bytes [13:04 01/02/2010] [12:00 15/04/2008] 3E3AE424E27C4CEFE4CAB368C7B570EA

C:\WINDOWS\system32\services.exe --a---- 111104 bytes [12:00 15/04/2008] [11:25 09/02/2009] 02A467E27AF55F7064C5B251E587315F

C:\WINDOWS\system32\dllcache\services.exe --a--c- 111104 bytes [12:00 15/04/2008] [11:25 09/02/2009] 02A467E27AF55F7064C5B251E587315F

 

-= EOF =-

OTL.Txt

Odnośnik do komentarza
Landuss

Landuss

Opublikowano
Opublikowano

Potwierdzam wykonanie zadania. Przejdź do finalizacji tematu:

 

1. Użyj opcji Sprzątanie z OTL.

 

2. Opróżnij przywracanie systemu: KLIK

 

3. Zaktualizuj wymienione programy do najnowszych wersji:

 

"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java 6 Update 20

"{AC76BA86-7AD7-1033-7B44-A95000000001}" = Adobe Reader 9.5.1

 

Szczegóły aktualizacyjne: KLIK

 

4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Odnośnik do komentarza
xavier

xavier

Opublikowano
  • Autor
Opublikowano

Bardzo dziękuję!.

Jestem pełen podziwu i uznania za udzieloną pomoc.

Posprzątałem, opróżniłem przywracanie systemu, poaktualizowałem programy.

Aktualizacje automatyczne Windows są włączone.

Niepokoi mnie brak możliwości włączenia zapory.

Mam komunikat "Z powodu niezidentyfikowanego problemu system Windows nie może wyświetlić ustawień Zapory systemu Windows"

Czy to nie są jakieś spustoszenia powirusowe?

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...