Problem ze startem MSSE - Trojan:Win64/Sirefef.AJ

[b00n]

Zauważyłem coś niepokojącego w działaniu komputera. Bodajże wczoraj zamknięcie systemu trwało dobrych kilka minut, a dzisiaj zauważyłem, że antywirus (Microsoft Security Essentials) teoretycznie nie startuje. Teoretycznie, bo w systray'u go nie było, ale na liście procesów się znajdował. Zajrzałem do logów systemowych i okazało się, że jest tam masa wpisów (grube dziesiątki, jeśli nie setki - na przestrzeni 2 dni) o tym, że Microsoft Malware znalazł i usunął z komputera niepożądane oprogramowanie (

Name: Trojan:Win64/Sirefef.AJ (tutaj występują różne końcówki: AI, AN, W itp.)), po czym zazwyczaj występował błąd: Session "Microsoft Security Client OOBE" stopped due to the following error: 0xC000000D. Aplikacja ESETSirefefRemover nic nie wykryła, za to Malwarebytes Anti-Rootkit znalazł 3 podejrzane obiekty i je usunął. Na razie innymi programami nie skanowałem.

 

Załączam oczywiście logi i proszę o ich sprawdzenie. Dodatkowo wrzucam log z Security Check:

 

 

  Pokaż ukrytą zawartość

Results of screen317's Security Check version 0.99.62

Windows 7 Service Pack 1 x64 (UAC is enabled)

Internet Explorer 9

``````````````Antivirus/Firewall Check:``````````````

Windows Firewall Enabled!

Microsoft Security Essentials

Antivirus up to date!

`````````Anti-malware/Other Utilities Check:`````````

MVPS Hosts File

Malwarebytes Anti-Malware version 1.75.0.1300

Java 7 Update 21

Java version out of Date!

Adobe Flash Player 11.6.602.180

Adobe Reader 10.1.3 Adobe Reader out of Date!

Mozilla Firefox (20.0)

````````Process Check: objlist.exe by Laurent````````

Microsoft Security Essentials MSMpEng.exe

Microsoft Security Essentials msseces.exe

`````````````````System Health check`````````````````

Total Fragmentation on Drive C:

````````````````````End of Log``````````````````````

 

 

Dodatkowo chciałbym zapytać, jaki jest obecnie najlepszy, darmowy program antywirusowy ? Widzę, że Microsoft Security Essentials, którego używam, dołuje raczej w rankingach. Mimo tego, że staram się uważać (nie odwiedzam stron wątpliwego pochodzenia, robię update'y oprogramowania), to czasami zdarza się jednak, że coś nie zostanie wychwycone (od czasu do czasu skanuję komputer innymi programami - Avira, Malwarebytes Anti-Malware czy Malwarebytes Anti-Rootkit, które nieraz coś wychwycą).

 

 Z góry dziękuję za pomoc.

OTL.TxtPobieranie informacji ...

Extras.TxtPobieranie informacji ...

[picasso]

Kieruję do zasad działu na temat tytułowania temów. "Proszę o sprawdzenie logów" zmienione na bardziej dopasowane do zagadnienia. Ponadto, obowiązującym raportem jest też GMER.
 

  Cytat

Zajrzałem do logów systemowych i okazało się, że jest tam masa wpisów (grube dziesiątki, jeśli nie setki - na przestrzeni 2 dni) o tym, że Microsoft Malware znalazł i usunął z komputera niepożądane oprogramowanie (
Name: Trojan:Win64/Sirefef.AJ (tutaj występują różne końcówki: AI, AN, W itp.)), po czym zazwyczaj występował błąd: Session "Microsoft Security Client OOBE" stopped due to the following error: 0xC000000D. Aplikacja ESETSirefefRemover nic nie wykryła, za to Malwarebytes Anti-Rootkit znalazł 3 podejrzane obiekty i je usunął. Na razie innymi programami nie skanowałem.

 
1. Przeklej mi tu przykładowe wyciągi MSSE w czym trojan ZeroAccess (aka Sirefef) był widziany, a także co usuwał program MBAR. Muszę dokładnie wiedzieć co było leczone, bo na razie wg raportu OTL tylko pośrednio widać, że był tu wariant infekujący plik systemowy services.exe, gdyż plik ten jest w logu jako świeżo "utworzony":
 

[2013-04-16 13:10:08 | 000,328,704 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\services.exe

 
2. Trojan ten tworzy liczne szkody w systemie, tzn. uszkadza MSSE (najlepiej go przeinstalować) + usuwa usługi Windows (Zapora / Pomoc IP / Centrum / Windows Defender / Windows Update) oraz ikonę Centrum Akcji. Dodaj log z Farbar Service Scanner. Poza tym, uruchom SystemLook x64 i do skanu wklej:

:filefind
services.exe

:reg
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects /s

 
 
.

[b00n]

Wyciągi z MSSE usunąłem, ale wszystko jest w logach systemowych. Przykładowe ścieżki, w których trojan był znajdowany:

 

 

  Pokaż ukrytą zawartość

C:\Windows\Installer\{ea3b7559-00a7-b734-bff0-c0a40e01eb43}\U\80000000.@
C:\Windows\Installer\{ea3b7559-00a7-b734-bff0-c0a40e01eb43}\U\00000004.@;file:_C:\Windows\Installer\{ea3b7559-00a7-b734-bff0-c0a40e01eb43}\U\000000cb.@
C:\Windows\Installer\{ea3b7559-00a7-b734-bff0-c0a40e01eb43}\U\00000004.@
C:\Windows\Installer\{ea3b7559-00a7-b734-bff0-c0a40e01eb43}\U\00000008.@
C:\Windows\Installer\{ea3b7559-00a7-b734-bff0-c0a40e01eb43}\U\80000032.@
C:\Windows\Installer\{ea3b7559-00a7-b734-bff0-c0a40e01eb43}\U\80000064.@

 

 

Załączam logi z GMER'a, FSS'a, SystemLook'a oraz raport ze skanowania systemu MBAR'em, w którym można znaleźć to, co zostało usunięte.

 

Dodam jeszcze, że od kilku dni mam problem z Windows Update. Są tam ciągle dwie poprawki (do Microsoft.NET Framework), które - mimo, że się ściągają i instalują - po chwili znowu się tam pojawiają i tak w kółko (inne poprawki, w tym te do MSSE, instalują się bez problemu).

GMER.txtPobieranie informacji ...

FSS.txtPobieranie informacji ...

SystemLook.txtPobieranie informacji ...

mbar-log-2013-04-18 (23-34-43).txtPobieranie informacji ...

[picasso]

GMER zrobiłeś w niewłaściwych warunkach, przy czynnym sterowniku SPTD (nie wykonałeś ogłoszenia). Ale zostaw to już.
 
Teraz mam pełny obraz sytuacji. A logi z Farbar Service Scanner + SystemLook nie pokazują punktowanych przeze mnie szkód, czyli albo to czymś naprawiałeś (w mniej lub bardziej świadomy sposób ), albo zmiany nie zdążyły się wykonać (MSSE zareagował szybciej niż się zdaje). Tak więc podstawowe pytanie: czy notujesz teraz jakieś określone dewiacje, co z podnoszonych wstępnie usterek nadal ma miejsce? Ja tu aktualnie nie widzę prawie nic do roboty, tylko drobnostki do korekty, czyli:

1. Bardzo rozbudowany plik HOSTS przetwarzający ponad 15 tysięcy wpisów:
 

O1 HOSTS File: ([2012-12-13 19:52:40 | 000,445,053 | R--- | M]) - C:\Windows\SysNative\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 www.007guard.com
O1 - Hosts: 127.0.0.1 007guard.com
O1 - Hosts: 127.0.0.1 008i.com
O1 - Hosts: 127.0.0.1 www.008k.com
O1 - Hosts: 127.0.0.1 008k.com
O1 - Hosts: 127.0.0.1 www.00hq.com
O1 - Hosts: 127.0.0.1 00hq.com
O1 - Hosts: 127.0.0.1 010402.com
O1 - Hosts: 127.0.0.1 www.032439.com
O1 - Hosts: 127.0.0.1 032439.com
O1 - Hosts: 127.0.0.1 www.0scan.com
O1 - Hosts: 127.0.0.1 0scan.com
O1 - Hosts: 127.0.0.1 www.1000gratisproben.com
O1 - Hosts: 127.0.0.1 1000gratisproben.com
O1 - Hosts: 127.0.0.1 1001namen.com
O1 - Hosts: 127.0.0.1 www.1001namen.com
O1 - Hosts: 127.0.0.1 100888290cs.com
O1 - Hosts: 127.0.0.1 www.100888290cs.com
O1 - Hosts: 127.0.0.1 www.100sexlinks.com
O1 - Hosts: 127.0.0.1 100sexlinks.com
O1 - Hosts: 127.0.0.1 www.10sek.com
O1 - Hosts: 15284 more lines...

To nie jest zdrowe, może powodować zawieszenia usługi Klient DNS. Zresetuj plik HOSTS do postaci domyślnej za pomocą automatycznego narzędzia Fix-it: KB972034.

2. Przez SHIFT+DEL skasuj C:\Users\bieniu\AppData\Local\vvRueNCOHbNJ.
 
 

  Cytat

Dodam jeszcze, że od kilku dni mam problem z Windows Update. Są tam ciągle dwie poprawki (do Microsoft.NET Framework), które - mimo, że się ściągają i instalują - po chwili znowu się tam pojawiają i tak w kółko (inne poprawki, w tym te do MSSE, instalują się bez problemu).

 
A co z instalacją ręczną? Tzn.: wyszukaj te łatki KBXXXXXX w bazie pobierania Microsoft, pobierz na dysk i spróbuj zainstalować ręcznie.
 
 
.

[b00n]

System działa stabilnie. Przeinstalowałem MSSE i teraz, przy starcie Windowsa, normalnie się uruchamia. Niestety, ale te dwie poprawki wciąż nie chcą się zainstalować, również poprzez ręczną instalację. W logach systemowych, które powstają podczas instalacji poprawek, występuje jednak informacja:

 

 

  Pokaż ukrytą zawartość

Updates to the IIS metabase were aborted because IIS is either not installed or is disabled on this machine. To configure ASP.NET to run in IIS, please install or enable IIS and re-register ASP.NET using aspnet_regiis.exe /i.

 

 

Tak więc nie jest to chyba nic istotnego i to nie trojan wpływa na niemożność instalacji tychże poprawek. Za kilka dni i tak będę stawiał system od nowa, więc problem powinien zniknąć (powstał przy instalacji jakiejś aplikacji, która owych poprawek teoretycznie wymagała).

 

Wspomniałaś również o sterowniku SPTD. Sęk w tym, że nie mam zainstalowanej żadnej aplikacji, która by z niego korzystała. Alcohol 52% został odinstalowany kilka dni temu. Mimo to, w logach systemowych, wystąpił kilka minut temu taki błąd:

 

 

  Pokaż ukrytą zawartość

The driver detected a controller error on \Device\Ide\IdePort1.

 

 

Nie wiem, czy jest to istotne, ale tego typu błędy pojawiają się u mnie właśnie po zainstalowaniu aplikacji Alcohol 52%. Zazwyczaj instaluję ją tylko na moment, żeby zamontować obraz płyty i przeprowadzić instalację. Następnie aplikację usuwam, a to z tego względu, że - przy starcie systemu - dość często występuje problem z procesem explorer.exe (w ogóle nie startuje i muszę odpalać go ręcznie). Po wyrzuceniu Alcohol'a objawy ustają, więc to on jest odpowiedzialny za ten problem. Tak czy siak - nie wiem, co ten sterownik dalej robi w moim systemie.

 

Kilka innych błędów po starcie systemu (już wyczyszczonego):

 

 

  Pokaż ukrytą zawartość

The system failed to flush data to the transaction log. Corruption may occur.

-----

Windows detected your registry file is still in use by other applications or services. The file will be unloaded now. The applications or services that hold your registry file may not function properly afterwards.

DETAIL -
1 user registry handles leaked from \Registry\User\S-1-5-21-4198842609-2097028919-3928339283-1000:
Process 4044 (\Device\HarddiskVolume2\Windows\System32\msiexec.exe) has opened key \REGISTRY\USER\S-1-5-21-4198842609-2097028919-3928339283-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts

-----

Session "Microsoft Security Client OOBE" stopped due to the following error: 0xC000000D

-----

The system failed to flush data to the transaction log. Corruption may occur.

 

 

EDIT: Tak długi plik hostów został wygenerowany przez Spybot'a, którego kiedyś użyłem (nie korzystam już z tej aplikacji). Ponowię również pytanie odnośnie skutecznego, darmowego antywirusa. Rozumiem, że na chwilę obecną choćby Avast 2013 będzie lepszym wyborem niż MSSE ?

[picasso]

  Cytat

W logach systemowych, które powstają podczas instalacji poprawek, występuje jednak informacja:

 

Updates to the IIS metabase were aborted because IIS is either not installed or is disabled on this machine. To configure ASP.NET to run in IIS, please install or enable IIS and re-register ASP.NET using aspnet_regiis.exe /i.

 

Teraz jest to dla mnie jaśniejsze. Chcą się tu wykonać operacje fantomowe, próba aktualizacji rzeczy nieistniejącej w Twoim systemie (IIS). Można to zignorować nawet. Błąd opisuje ten artykuł: KLIK. Jeśli jako źródło stoi .NET 1.0 lub 1.1, poszłabym w inną stronę, czyli kompletna deinstalacja z systemu tej pozycji:

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1

 

Stare .NET Framework 1.1 w większości przypadków nie jest potrzebne. Cytuję (KLIK / KLIK):

 

"The .NET Framework 1.0 and .NET Framework 1.1 can be installed side-by-side with the .NET Framework 2.0, 3.0 and 3.5. Most applications that were created for the .NET Framework 1.0 or 1.1 will automatically use the .NET Framework 2.0 instead if it is installed on the system. In most cases, that means you do not need to keep the .NET Framework 1.0 or 1.1 installed on your system if you already have the .NET Framework 2.0 installed."

 

System Windows 7 ma natywnie wbudowane wersje:

 

 

Masz doinstalowane też 4.0.

 

 

  Cytat

Tak długi plik hostów został wygenerowany przez Spybot'a, którego kiedyś użyłem (nie korzystam już z tej aplikacji).

 

Tak, wiem co utworzyło ten plik, bo jest on charakterystyczny. Zresetowałeś go?

 

 

  Cytat

Wspomniałaś również o sterowniku SPTD. Sęk w tym, że nie mam zainstalowanej żadnej aplikacji, która by z niego korzystała. Alcohol 52% został odinstalowany kilka dni temu. Mimo to, w logach systemowych, wystąpił kilka minut temu taki błąd:

 

Nie wiem, czy jest to istotne, ale tego typu błędy pojawiają się u mnie właśnie po zainstalowaniu aplikacji Alcohol 52%.

 

Deinstalacja emulatora nie usuwa sterownika SPTD, który musi być likwidowany indywidualnie i w specjalny sposób. U Ciebie jest i to uruchomiony:

 

DRV:64bit: - [2013-01-09 22:35:59 | 000,564,824 | ---- | M] (Duplex Secure Ltd.) [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\sptd.sys -- (sptd)

 

Wszystko opisuje ogłoszenie: KLIK. Skorzystaj z podanych tam instrukcji i narzędzia SPTDinst.

 

 

  Cytat

Ponowię również pytanie odnośnie skutecznego, darmowego antywirusa. Rozumiem, że na chwilę obecną choćby Avast 2013 będzie lepszym wyborem niż MSSE ?

 

Tak jest, dobra propozycja. Avast jest dość rozbudowany, ma więcej funkcji / możliwości niż MSSE.

 

 

 

.

[b00n]

1. Porządek z aktualizacjami zrobiony.

2. Plik hostów zresetowany.

3. Sterownik SPTD odinstalowany.

4. Avast zastąpił MSSE.

 

W tej chwili wszystko działa tak, jak należy. Bardzo dziękuję ci za pomoc i poświęcony czas.

[picasso]

Na zakończenie:

1. Prewencyjnie zmień hasła logowania w serwisach.

2. Poniższe pozycje do aktualizacji (IE opcjonalnie): KLIK. Aczkolwiek zdaje mi się to bezcelowe w obliczu "Za kilka dni i tak będę stawiał system od nowa".

Internet Explorer (Version = 9.10.9200.16540)

========== HKEY_LOCAL_MACHINE Uninstall List ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83217021FF}" = Java 7 Update 21
"{AC76BA86-7AD7-1033-7B44-AA1000000001}" = Adobe Reader X (10.1.3)
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)
"Mozilla Firefox 20.0 (x86 en-US)" = Mozilla Firefox 20.0 (x86 en-US)

FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_6_602_180.dll ()

  
Drobna uwaga poboczna: widzę, że męczysz się z Tlen.pl. Program stary i porzucony przez firmę, obsługa sieciowa kiepsa. Polecam nowocześniejszą alternatywę WTW: KLIK.
 
 
Temat rozwiązany. Zamykam.
 
 
.