Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Restart komputera i wirus SIREFEF.AH

joolik

Przez joolik
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

1. Otwórz Notatnik i wklej w nim:

 

CMD: copy /y C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6002.18005_none_d14b3973ca6acc56\services.exe C:\Windows\system32\services.exe
2 xltpncffms; "C:\Users\Maria\AppData\Local\Temp\DAT2490.tmp.exe" --SERVICE [x]
C:\Windows\Installer\{3f23d9ea-64e9-b79d-4248-a9896af4116e}
C:\Users\Maria\AppData\Local\{3f23d9ea-64e9-b79d-4248-a9896af4116e}
C:\Users\All Users\F4D55F3B000169E6000B2C6EEEC1FB6E

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt. Wstaw na pendrive obok narzędzia FRST.

 

2. Uruchom zgodnie z opisem narzędzie FRST i wybierz w nim opcję Fix. Skrypt umieszczony na pendrive zostanie przetworzony i powstanie plik fixlog.txt. Restartujesz do Windows.

 

3. Wygeneruj spod Windows tradycyjne logi OTL + GMER. Dołącz log fixlog.txt.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

W ogóle nic się nie wykonało. Skrypt nie przetworzył ani jednej linii, wszystko widzi jako "not found", co się nie zgadza z poprzednim raportem. 4 obiekty były brane wprost z Twojego loga FRST (czyli były na dysku), owszem piąty "zgadywałam" sugerując się wersją systemu operacyjnego i komponentami, które powinny być na dysku w WinSxS.

 

Opisz mi jak Ty startujesz to narzędzie FRST, w jaki sposób.

 

 

Próbowałam też w trybie awaryjnym z wierszem polecenia - to samo. Co teraz?

 

O czym mówisz? Nie rozumiem co tu ma do rzeczy ten tryb.

 

 

 

.

Odnośnik do komentarza
joolik

joolik

Opublikowano
  • Autor
Opublikowano

Na pendrivie obok FRST umieściłam fixlist zgodnie z poleceniem.

 

F8=> Napraw komputer => wiersz polecenia => przez notatnik sprawdzam literę pod jaką mam pendrive => FRST.exe => Fix.

Powstaje fixlog.

 

Jeśli chodzi o tryb awaryjny z wierszem polecenia, to pewnie nia ma to większego znaczenia. Po tym jak zrestartowałam do Windowsa po wygenerowaniu fixloga, system sam mi się zrestartował, zanim zdążyłam wygenerować log OTL. Dlatego spróbowałam zrobić to przez tryb awaryjny z wierszem polecenia, który wcześniej mi nie powodował restartu systemu (krytyczny błąd windows).

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Nie rozumiem skąd tu rozbieżność między pierwszym logiem z FRST (pokazuje mapowanie litery C) a wynikami przetwarzania skryptu (w ogóle nie widzi obiektów na C). Podaj mi informację:

- wejdź przez Napraw komputer do Wiersza polecenia uruchom w linii komend Notatnik i podaj pod jaką literą widać dysk z systemem Vista

- następnie uruchom FRST, ale nie wykonuj w nim żadnej akcji, i przez Notatnik sprawdź czy litera jest ta sama czy inna

 

I chyba zmienimy metodę na rzecz operacji bezpośredniej w Wierszu polecenia.

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

W kwestii X: z poziomu środowiska zewnętrznego liternictwo może być widziane inaczej, a dodatkowo FRST przemapowuje dyski. Tu z Twojego pierwszego loga układ:

 

1 Drive c: (OS) (Fixed) (Total:285.48 GB) (Free:36.31 GB) NTFS ==>[Drive with boot components (obtained from BCD)]
2 Drive d: () (Removable) (Total:1.91 GB) (Free:1.91 GB) FAT
4 Drive x: (RECOVERY) (Fixed) (Total:10 GB) (Free:5.13 GB) NTFS

 

W kwestii problemu wymiany pliku: skoro widać jako C, a skrypt nie działa, wykonaj inną metodę zamiany pliku services.exe, tzn. za pomocą natywnego systemu naprawczego Windows. Podmiana pliku jest najważniejsza, resztę elementów można spokojnie załatwić potem już spod Windows.

 

1. F8 > Napraw komputer > Wiersz polecenia > wpisz komendę:

 

sfc /scanfile=C:\Windows\system32\services.exe /offbootdir=C:\ /offwindir=C:\Windows

 

2. Jeśli pomyślnie się wykona, przejdź do Windows i wygeneruj logi z OTL + GMER.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

1. Wykonaj ręczną zamianę pliku. Otwórz Notatnik i w eksploratorku dysków wykonaj nadpis plików. Skopiuj prawidłowy plik:

 

C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6002.18005_none_d14b3973ca6acc56\services.exe poprawka w poście #12

 

Za jego pomocą nadpisz plik naruszony przez infekcję:

 

C:\Windows\system32\services.exe

 

2. Zresetuj system i logi z OTL + GMER.

 

 

.

Odnośnik do komentarza
joolik

joolik

Opublikowano
  • Autor
Opublikowano

Dziękuję bardzo - zadziałało :) Pojawił się jednak nowy problem. OTL log udało mi się uzyskać, ale mam problem z GMER. Sprawdziłam, czy nie mam programów eumulujących napęd i sterownika SPTD (nie mam). GMER wykłada się podczas skanowania na Device\HarddiskVolumeChadowCopy1 (aczkolwiek numery na końcu różne się pokazują - zrobiłam 3 podejścia). Pojawia się komunikat o tym, że program przestał działać, ale windows nie pokazuje przyczyn. GMER ściągałam dwa razy - generowany losowo. Jakieś wskazówki?

 

Załączam log OTL.

OTL.Txt

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

To niepełny log z OTL, brakuje pliku Extras (opcja "Rejestr - skan dodatkowy" nie została ustawiona na "Użyj filtrowania"). Ściąganie w kółko GMER tu nic nie pomoże, coś skanowaniu zawadza. Opuśćmy to na tym etapie prac.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
"EnableLUA"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"HideSCAHealth"=-
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami usuwania.

 

2. Wygeneruj nowe logi do oceny: OTL Extras (tylko, nie potrzebuję już nowego głównego OTL) + Farbar Service Scanner z wszystkimi opcjami zaznaczonyi. Dołącz też log z wynikami usuwania pozyskany w punkcie 1.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Skrypt został wykonany. Log z Farbar Service Scanner pokazuje szkody po trojanie, czyli skasowane z rejestru usługi Zapory systemu Windows, Centrum zabezpieczeń i Windows Defender.

 

1. Odbuduj skasowane usługi (omiń sfc /scannow w tych instrukcjach):

  • Rekonstrukcja usług Zapory systemu Windows: KLIK.
  • Rekonstrukcja usługi Centrum zabezpieczeń: KLIK.
  • Rekonstrukcja usługi Windows Defender: KLIK.

2. Zresetuj system i wygeneruj nowy log z Farbar Service Scanner.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano
Z góry przyznaję się, że niestety popełniłam jeden błąd - czytając uważnie podlinkowane instrukcje i postępując krok po kroku nie ominęłam sfc /scannow.

 

To polecenie nic nie psuje, chodziło bardziej o to, że SFC było już tu prowadzone (zwrot spod WinRE "Istnieje oczekująca naprawa systemu, której ukończenie wymaga ponownego rozruchu") i nie ma potrzeby powielać działań.

 

Wg loga z Farbar Service Scanner wygląda na to, że naprawy zostały poprawnie wykonane. Klucze usług wróciły na miejsce. Wprawdzie log notuje, że usługa Automatyczne aktualizacje nie jest aktualnie uruchomiona (choć wcześniej nie było to zgłaszane) + Windows Defender jest wyłączony przez politykę, ale nie sądzę by to był problem. Przy obecności Microsoft Security Essentials wbudowany Windows Defender jest deaktywowany. Do wykonania końcowe sprzątanie:

 

1. Porządki po narzędziach: W OTL uruchom Sprzątanie. Przez SHIFT+DEL skasuj folder C:\FRST.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Wykonaj skan w Malwarebytes Anti-Malware i przedstaw wyniki (jeśli nic nie wykryje, raportu nie załączaj).

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Usuń za pomocą programu te wyniki. Większość to trojany, z wyjątkiem wyników PUM.Disabled.SecurityCenter (to tylko notyfikacja, że w rejestrze alerty Centrum są wyłączone). Zresetuj system i sprawdź czy wszystko działa, a zwłaszcza przestawianie kolejności ikon na Pulpicie (tzn. czy po F5 nie wracają jak bumerang na poprzednie miejsce). Polecam to sprawdzać, gdyż ten pierwszy wynik w MBAM generuje usterkę zapamiętywania układu ikon.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Problem to dubel klasy:

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32]
"ThreadingModel"="Both"
@="%SystemRoot%\system32\shell32.dll"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
@="%SystemRoot%\system32\shell32.dll"
"ThreadingModel"="Apartment"

 

Tak podejrzewałam, że MBAM robi nieprawidłową operacją, bo już w kilku innych tematach widziałam taką formę edycji końcowej i się zastanawiałam co to u Was robi. On zamiast usunąć nadwyżkowy klucz trojana w gałęzi HKCU "poprawił" ten klucz. Stworzył konflikt, ta sama klasa jest w HKLM i w HKCU. Rozwiązanie to kasacja nadwyżki.

 

1. Start > w polu szukania wklep regedit > z prawokliku skasuj klucz:

 

HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}

 

2. Zresetuj system i sprawdź czy ikonki Pulpitu umieją zapamiętać położenie. Powinno być OK.

 

 

.

 

 

 

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...