Trojan Sirefef i uszkodzona zapora

[popi]

Witam

 

przeszedlem cala procedure z http://www.fixitpc.p...irus-sirefefah/ jest genialna uratowala mnie ale....

dalej nie startuje mi usluga zapory ani defender

 

w zalaczeniu przesylam pliki z logow z fss i otl.

gmer in progress..

 

pzdr

przemek

FSS.txt

Extras.Txt

OTL.Txt

gmer.txt

[picasso]

Posty dla porządku połączyłam. Po uzupełnieniu raportów mam prawie pełny obraz sytuacji, tego GMERa doczep w poprzednim poście gdy ukończy. Wypowiem się już na temat aktualnego stanu widocznego w OTL. Skoro ręcznie podmieniłeś zainfekowany services.exe, to pozostała kwestia czy Twój skaner antywirusowy wyczyścił z dysku również losowe foldery {GUID} utworzone przez trojana. Dodatkowe korekty do wykonania:

 

1. Usunięcie odpadków (również po odinstalowanych skanerach) + czyszczenie lokalizacji tymczasowych. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\Joanna\AppData\Local\Temp\mfe_rr.sys -- (MFE_RR)
IE - HKU\S-1-5-21-966778609-825241054-621859312-1000\..\SearchScopes\{D0D54246-4BA7-4DB1-984E-E62E1D03921A}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=1CC9A091-98C9-4FAC-8C40-7544F637F1C2&apn_sauid=CB4E3AE4-52E2-408C-B4ED-9F0A3AA288D8"
O3 - HKU\S-1-5-21-966778609-825241054-621859312-1000\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O20 - Winlogon\Notify\!SASWinLogon: DllName - (C:\Program Files\SUPERAntiSpyware\SASWINLO.DLL) -  File not found
O28 - HKLM ShellExecuteHooks: {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} - C:\Program Files\SUPERAntiSpyware\SASSEH.DLL File not found
[2012-06-05 11:18:41 | 000,000,000 | -HSD | C] -- C:\Windows\System32\%APPDATA%
[2012-06-05 10:59:10 | 000,475,136 | ---- | C] () -- C:\Users\Joanna\AppData\Local\hlwhndg.exe
[2012-06-05 13:32:56 | 000,000,000 | ---D | C] -- C:\Users\Joanna\AppData\Roaming\SUPERAntiSpyware.com
[2012-06-05 13:32:26 | 000,000,000 | ---D | C] -- C:\ProgramData\SUPERAntiSpyware.com
[2012-06-05 11:52:01 | 000,000,000 | ---D | C] -- C:\Users\Joanna\AppData\Roaming\Malwarebytes
[2012-06-05 11:51:52 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes
[2012-06-05 11:38:10 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GridinSoft Trojan Killer
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami usuwania. Tyle wystarczy do oceny.

 

2. Przeprowadź pełne (a nie ekspresowe) skanowanie za pomocą posiadanego Microsoft Security Essentials. Przedstaw wynikowy raport, o ile cokolwiek zostanie wykryte.

 

 

dalej nie startuje mi usluga zapory ani defender

 

Wg Farbar Service Scanner:

 

Windows Firewall:
=============
MpsSvc Service is not running. Checking service configuration:
The start type of MpsSvc service is OK.
The ImagePath of MpsSvc service is OK.
The ServiceDll of MpsSvc service is OK.

 

Usługi Zapory odbudowane, cytowana MpsSvc ma właściwe parametry, choć nie jest uruchomiona. W Dzienniku zdarzeń do pary błąd formułą sugerujący zwrot "Odmowa dostępu":

 

Error - 2012-06-05 17:46:29 | Computer Name = JC | Source = Service Control Manager | ID = 7024
Description = Usługa Zapora systemu Windows zakończyła działanie; wystąpił specyficzny
 dla niej błąd %%5.

 

Czy zresetowałeś system po przebudowie usług i rekonstrukcji uprawnień via SetACL? To niezbędne. Jeśli tak i nadal jest ten problem, napraw zaporę stosując to automatyczne narzędzie: KLIK. Automat też robi pewne przetasowania w uprawnieniach. Jeśli on nie pomoże, prawdopodobnie należy rekonstruować uprawnienia również usługi SharedAccess, która trzyma konfigurację reguł zapory, i podam jak.

 

 

Windows Defender:
==============
WinDefend Service is not running. Checking service configuration:
The start type of WinDefend service is set to Demand. The default start type is Auto.
The ImagePath of WinDefend service is OK.
The ServiceDll of WinDefend service is OK.
 
 
Windows Defender Disabled Policy: 
==========================
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender]
"DisableAntiSpyware"=DWORD:1

 

Usługa Windows Defender również odbudowana, ale ma ustawienia deaktywujące, cytuję z konkurencyjnego tematu:

 

Aktualnie ma Typ uruchomienia ustawiony na Ręczny a nie Automatyczny + ustawioną politykę DisableAntiSpyware, co ewentualnie mógłbyś przekonfigurować w services.msc + rejestrze, ale nie rób tego. W systemie są zainstalowane antywirusy, które i tak mają na celu antykolizyjną deaktywację Windows Defender. Wspominane tu ustawienia były nieobecne przed importem fiksa rejestru (fiks zresztą ustawia Typu uruchomienia na Auto), ich pojawienie się świadczy, iż wygenerował te ustawienia któryś antywirus.

 

Masz zainstalowany Microsoft Security Essentials, który ma zaplanowane wyłączenie Windows Defender. W związku z tym nie należy tu podejmować dodatkowych działań i zostawić stan obecny.

 

 

 

.

[popi]

Witaj

 

załączam

* efekt OLT

* Efekt fixit niepowodzenie resultresport.txt - zmien prosze ext na html.

 

* gmer idzie od poczatku

* AV wykonuje pełny skan

 

pzdr

PP

otl-clean.txt

ResultReport.txt

[picasso]

Ten ResultReport nie był mi nawet potrzebny, ja już mam te dane tylko z innych logów. Skrypt w OTL pomyślnie wykonany. GMER od początku = co to oznacza, wywalił BSOD, a może nieopatrznie wykonałeś skrypt do OTL podczas uruchomionego skanu (to oczywiście nie miało tak wyglądać, skrypt resetuje system)? Poza tym, nie komasuj akcji wspólnie, połączenie równoległego skanu GMER i MSSE może nie sprzyjać żadnemu ze skanów, miałam na myśli wykonanie skanów w sekwencji a nie hurtowo w tym samym czasie. W pierwszej kolejności proszę wykonaj zalecane skany. Dopiero gdy je ukończysz przejdź do tego:

 

Rekonstrukcja uprawnień kluczy SharedAccess via SetACL (narzędzie już posiadasz):

 

1. W Notatniku przygotuj plik o zawartości:

 

"machine\SYSTEM\CurrentControlSet\Services\SharedAccess",4,"O:BAD:AI"
"machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Defaults",4,"O:BAD:AI"
"machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Defaults\FirewallPolicy",4,"O:BAD:AI(A;;CCDCLCSWRPSDRC;;;S-1-5-80-3088073201-1464728630-1879813800-1107566885-823218052)(A;OICIIO;SDGWGR;;;S-1-5-80-3088073201-1464728630-1879813800-1107566885-823218052)(A;;CCDCLCSWRPSDRC;;;SY)(A;OICIIO;SDGWGR;;;SY)(A;;CCDCLCSWRPSDRC;;;BA)(A;OICIIO;SDGWGR;;;BA)"
"machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Defaults\FirewallPolicy\DomainProfile",4,"O:BAD:AI"
"machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Defaults\FirewallPolicy\DomainProfile\Logging",4,"O:BAD:AI"
"machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Defaults\FirewallPolicy\FirewallRules",4,"O:BAD:AI"
"machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Defaults\FirewallPolicy\PublicProfile",4,"O:BAD:AI"
"machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Defaults\FirewallPolicy\PublicProfile\Logging",4,"O:BAD:AI"
"machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Defaults\FirewallPolicy\StandardProfile",4,"O:BAD:AI"
"machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Defaults\FirewallPolicy\StandardProfile\Logging",4,"O:BAD:AI"
"machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch",4,"O:BAD:AI(A;CI;CCDC;;;S-1-5-80-3088073201-1464728630-1879813800-1107566885-823218052)"
"machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch2",4,"O:BAD:AI(A;CI;CCDC;;;S-1-5-80-3088073201-1464728630-1879813800-1107566885-823218052)"
"machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters",4,"O:BAD:AI"
"machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy",4,"O:BAD:AI(A;;CCDCLCSWRPSDRC;;;S-1-5-80-3088073201-1464728630-1879813800-1107566885-823218052)(A;OICIIO;SDGWGR;;;S-1-5-80-3088073201-1464728630-1879813800-1107566885-823218052)(A;;CCDCLCSWRPSDRC;;;SY)(A;OICIIO;SDGWGR;;;SY)(A;;CCDCLCSWRPSDRC;;;BA)(A;OICIIO;SDGWGR;;;BA)"
"machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile",4,"O:BAD:AI"
"machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\Logging",4,"O:BAD:AI"
"machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules",4,"O:SYD:AI"
"machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile",4,"O:BAD:AI"
"machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile\Logging",4,"O:BAD:AI"
"machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\RestrictedServices",4,"O:BAD:AI"
"machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\RestrictedServices\Configurable",4,"O:SYD:AI"
"machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\RestrictedServices\Configurable\System",4,"O:SYD:AI"
"machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\RestrictedServices\Static",4,"O:BAD:AI"
"machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\RestrictedServices\Static\System",4,"O:BAD:AI"
"machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile",4,"O:BAD:AI"
"machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\Logging",4,"O:BAD:AI"

 

Zapisz pod nazwą fix.txt i plik ten dla wygody przemigruj wprost na C:\. W cmd uruchomionym jako Administrator zapuść komendę:

 

SetACL -on "HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess" -ot reg -actn restore -bckp C:\fix.txt

 

2. Zresetuj system. Uruchom cmd jako Administrator i wklep komendę:

 

netsh advfirewall reset

 

 

.

[popi]

Witaj

załączyłem skan z gmer

 

gmer zadziałał od początku gdyż uruchomiłem OLT ..

 

MSSE zakończył skanowanie znalazł 1 plik z sirefem ale usunał go.

 

rekonstrukacje uruchomie za chwile

[picasso]

Doklejony GMER = nie widzę nic infekcyjnego.

 

 

MSSE zakończył skanowanie znalazł 1 plik z sirefem ale usunał go.

 

W czym? Przeklej z dziennika jaka to była ścieżka.

 

 

 

.

[popi]

Witaj

 

W załączeniu zrzut z MSSE zmień prosze ext na jpg.

wlasnie skonczylo sie drugie pelne skanowanie nic nie znalazl

 

gdzie w MSSE jest dziennik , bo nie moge znaleźć?

 

Droga Picasso !!!

 

dziękuje bardzo za pomoc !!

 

wszystko działa w pełni poprawnie !!

 

jak mogę się odwdzięczyć ?

 

 

pzdr

Przemek

[picasso]

Finalne pociągnięcie ręki:

 

1. Porządki po narzędziach: w OTL uruchom Sprzątanie, przez SHIFT+DEL skasuj folder C:\FRST, resztę użytków ręcznie dokasuj.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Drobne aktualizacje Java i Adobe do wykonania: KLIK. Tu z Twojej listy zainstalowanych wykaz wersji:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216023FF}" = Java™ 6 Update 26
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX

 

4. Dla bezpieczeństwa prewencyjna zmiana haseł logowania w serwisach.

 

 

W załączeniu zrzut z MSSE zmień prosze ext na jpg.

 

W wynikach spodziewany fragment, czyli folder {GUID}. Nie rozumiem po co zmieniałeś rozszerzenie obrazka, skoro załączniki akceptują pliki graficzne w formacie JPG. Poza tym, zbędne mi dane o Pulpicie , wykadrowałam tylko istotną część ze skanera.

 

 

gdzie w MSSE jest dziennik , bo nie moge znaleźć?

 

Pełne logi tekstowe ze skanowania są nagrane tu: C:\ProgramData\Microsoft\Microsoft Antimalware\Support\MPDetection-*.log

 

 

jak mogę się odwdzięczyć ?

 

Moje forum można wspomóc przez dotacje.

 

 

 

.