marada13 Opublikowano 11 Czerwca 2012 Zgłoś Udostępnij Opublikowano 11 Czerwca 2012 Witam, System VISTA32, nagle i niespodziewanie po odpaleniu kompa (przed wyłączeniem wszystko było ok): - przestał działać Microsoft Security Essential - w autostarcie znalazłem coś nowego - nazwa jak q37xw95m.exe (lub podobnie - usunąłem wpis i plik) - potem nie można było przywrócić systemu (nieznany bład) - okazało się że nie ma dostępu do Centrum zabezpieczeń - po ponownej instalacji MSE wykrył sirefef.ah i chyba inne (nie zdążyłem odczytać, bo zaczęły się ciągłe restarty - zarówno w trybie normalnym jak i awaryjnym) . Prosiłbym o pomoc w rozwiązaniu problemu. W załączeniu logi. Pozdrawiam, Mariusz FRST.txt OTL.Txt Search.txt Odnośnik do komentarza
picasso Opublikowano 12 Czerwca 2012 Zgłoś Udostępnij Opublikowano 12 Czerwca 2012 Istotnie, Sirefef zainfekował plik services.exe, co wyjaśnia restarty: C:\Windows\System32\services.exe[2009-07-03 17:56] - [2012-06-11 21:55] - 0279552 ____A (Microsoft Corporation) 8737764F4FD36D6808EE80578409C843 1. Otwórz Notatnik i wklej w nim: CMD: copy /y C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6002.18005_none_d14b3973ca6acc56\services.exe C:\Windows\system32\services.exe C:\Windows\Installer\{a3db0ff4-6e11-e494-0774-fadfcda4aad0} C:\Users\Mariusz\AppData\Local\{a3db0ff4-6e11-e494-0774-fadfcda4aad0} C:\Windows\System32\%APPDATA% HKU\Mariusz\...\Run: [] [x] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt. Wstaw na pendrive obok narzędzia FRST. 2. F8 przy starcie komputera > "Napraw komputer" > w linii komend uruchom zgodnie z opisem narzędzie FRST i wybierz w nim opcję Fix. Skrypt umieszczony na pendrive zostanie przetworzony i powstanie plik fixlog.txt. Restartujesz do Windows. 3. Wygeneruj do oceny logi z OTL + GMER. . Odnośnik do komentarza
marada13 Opublikowano 12 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 12 Czerwca 2012 Witam, dziękuję za szybką i trafną poradę - zastosowałem. Ponieważ pora był późna a musiałem coś zrobić przed porankiem - to wyszukłaem na forum post o podobnej problematyce ("ciągły restart komputera i wirus sirefef.ah" z 04.06.2012) odpowiadającej moim objawom i z grubsza wykonałem wszytskie zalecenia (w tym związane z rekonstrukcją usług). Na razie działa, a efekty zmian w logach. Pozdrawiam, Mariusz Extras.Txt OTL.Txt GMER.txt Odnośnik do komentarza
marada13 Opublikowano 12 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 12 Czerwca 2012 A jednak kicha - trojan dlaej w systemie - co jakiś czas MSE informuje o znalezieniu sirefef. Nic nie zmieniałem od czasu powyższych logów. Pozdrawiam, mariusz Odnośnik do komentarza
picasso Opublikowano 12 Czerwca 2012 Zgłoś Udostępnij Opublikowano 12 Czerwca 2012 W zasadach działu jest wyraźnie napisane, by się nie wzorować na cudzych tematach. Skutków wykonania niedopasowanej instrukcji właśnie tu doświadczasz. A obiekty charakterystyczne tylko dla Twojej infekcji (Sirefef operuje na zmiennych komponentach), które zadałam do usuwania skryptem FRST, nadal w logu. W związku z tym, że nie wiem co naprawdę przeprowadziłeś, proszę o nowy skan. Uruchom SystemLook, do okna wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe :regfind {a3db0ff4-6e11-e494-0774-fadfcda4aad0} Klik w Look. Przedstaw raport. . Odnośnik do komentarza
marada13 Opublikowano 12 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 12 Czerwca 2012 Trochę sie poprawiłem.... Sorry. Log z Systemlook. Pozdrawiam, Mariusz SystemLook 30.07.11 by jpshortstuff Log created at 16:46 on 12/06/2012 by Mariusz Administrator - Elevation successful ========== reg ========== [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] (No values found) [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32] "ThreadingModel"="Both" @="%SystemRoot%\system32\shell32.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}] @="Microsoft WBEM New Event Subsystem" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] @="%systemroot%\system32\wbem\wbemess.dll" "ThreadingModel"="Both" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] @="MruPidlList" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] @="%SystemRoot%\system32\shell32.dll" "ThreadingModel"="Apartment" ========== filefind ========== Searching for "services.exe" C:\Windows\System32\services.exe --a---- 279552 bytes [16:56 03/07/2009] [06:27 11/04/2009] D4E6D91C1349B7BFB3599A6ADA56851B C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6002.18005_none_d14b3973ca6acc56\services.exe --a---- 279552 bytes [16:56 03/07/2009] [06:27 11/04/2009] D4E6D91C1349B7BFB3599A6ADA56851B ========== regfind ========== Searching for "{a3db0ff4-6e11-e494-0774-fadfcda4aad0}" No data found. -= EOF =- Odnośnik do komentarza
picasso Opublikowano 12 Czerwca 2012 Zgłoś Udostępnij Opublikowano 12 Czerwca 2012 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Windows\Installer\{a3db0ff4-6e11-e494-0774-fadfcda4aad0} C:\Users\Mariusz\AppData\Local\{a3db0ff4-6e11-e494-0774-fadfcda4aad0} C:\Windows\System32\%APPDATA% C:\Users\Mariusz\AppData\Roaming\mozilla\Extensions\{ae2cff10-0d52-4066-8be9-4abcf119fa79} :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" "Search Bar"=- "Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{5B353A30-95A5-49A4-877C-1DA3970D2F09}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{5B353A30-95A5-49A4-877C-1DA3970D2F09}" [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search] :OTL O3 - HKLM\..\Toolbar: (no name) - {ae07101b-46d4-4a98-af68-0333ea26e113} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - HKCU..\Run: [] File not found DRV - File not found [Kernel | Disabled | Stopped] -- system32\DRIVERS\UIUSYS.SYS -- (UIUSys) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\D5A2.tmp -- (MEMSWEEP2) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\igdkmd32.sys -- (igfx) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami usuwania. 2. Wygeneruj do oceny nowy log z OTL z opcji Skanuj. Mimo że już odtwarzałeś usługi, proszę o potwierdzający skan z Farbar Service Scanner (wszystkie opcje zaznaczone). Dołącz też log powstały z usuwania OTL w punkcie 1. . Odnośnik do komentarza
marada13 Opublikowano 12 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 12 Czerwca 2012 Tak jest! Zrobione. A przy okazji - przy tych wszystkich restartach winda nie pamięta ustawień pulpitu i za każdym razem zmienia układ i rozmiar ikon na pulpicie (wszystkie do lewj krawędzi) - ustawiam na nowo, a po resecie znów to samo. Pozdrawiam, Mariusz FSS.txt OTL.Txt 06122012_172938.txt Odnośnik do komentarza
picasso Opublikowano 12 Czerwca 2012 Zgłoś Udostępnij Opublikowano 12 Czerwca 2012 Jeszcze drobna poprawka: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=f1c91011-3c6a-478e-b1db-" O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSaveSettings = 0 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSaveSettings = 0 O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab (Reg Error: Key error.)" [2012-06-12 14:21:22 | 000,000,000 | ---- | M] () -- C:\Windows\System32\% Klik w Wykonaj skrypt. Do oceny wystarczy tylko log z wynikami usuwania. A przy okazji - przy tych wszystkich restartach winda nie pamięta ustawień pulpitu i za każdym razem zmienia układ i rozmiar ikon na pulpicie (wszystkie do lewj krawędzi) - ustawiam na nowo, a po resecie znów to samo. To wynik duplikatu tych wpisów: ========== reg ========== [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}](No values found) [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32]"ThreadingModel"="Both"@="%SystemRoot%\system32\shell32.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]@="MruPidlList" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]@="%SystemRoot%\system32\shell32.dll""ThreadingModel"="Apartment" Start > w polu szukania wpisz regedit > z prawokliku skasuj klucz: HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} Po restarcie systemu widoki się unormują. . Odnośnik do komentarza
marada13 Opublikowano 12 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 12 Czerwca 2012 Log gotowy. 06122012_181906.txt Odnośnik do komentarza
picasso Opublikowano 12 Czerwca 2012 Zgłoś Udostępnij Opublikowano 12 Czerwca 2012 Zrobione. Kroki końcowe: 1. Porządki po narzędziach: w OTL uruchom Sprzątanie, przez SHIFT+DEL skasuj katalog C:\FRST oraz resztę używanych a już zbędnych narzędzi. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Dla pewności zrób pełne skanowanie swoimi programami i przedstaw wyniki czy już czysto. . Odnośnik do komentarza
marada13 Opublikowano 12 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 12 Czerwca 2012 Przeskanowałem, anti-malware - czysto, MSEssential - czysto, maszynka chodzi tak jak przedwczoraj. Serdeczne dzięki za skuteczną pomoc i porady - sam nie dałbym rady (człowiek nie czuje jak mu sie rymuje). Temat do zamknięcia. Jeszcze raz z wrazami, pozdrawiam, Mariusz Odnośnik do komentarza
picasso Opublikowano 12 Czerwca 2012 Zgłoś Udostępnij Opublikowano 12 Czerwca 2012 Na sam koniec: 1. Drobne aktualizacje: KLIK. Tu wykaz wersji (Adobe Flash niewiadomy): ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{24D753CA-6AE9-4E30-8F5F-EFC93E08BF3D}" = Skype™ 4.0"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31"{AC76BA86-7AD7-1045-7B44-A91000000001}" = Adobe Reader 9.1 - Polish"7-Zip" = 7-Zip 4.65"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin"Mozilla Firefox 11.0 (x86 pl)" = Mozilla Firefox 11.0 (x86 pl) 2. Na wszelki wypadek zmiana haseł logowania w serwisach. PS. Spoza tematu, może Cię zainteresują alternatywy dla reklamodawczego potwora GG10. Artykuł: Darmowe komunikatory. Propozycje: WTW, Miranda, Kadu, AQQ. . Odnośnik do komentarza
Rekomendowane odpowiedzi