pangol Opublikowano 15 Czerwca 2012 Zgłoś Udostępnij Opublikowano 15 Czerwca 2012 Witam. Bardzo proszę o pilną pomoc w pozbyciu się następujących wirusów: -Win64:Sirefef-A [Trj] -Win32:Sirefef-AO [Rtk] -Win32:Malware-gen -Win32:Rotkit-gen [Rtk] Tyle Avast wykrywa. Wszystkie znajdują sie w C:\Windows\Installer\{93ff1a5a-7f5d-5d10-502b-baeefeac8d0f}\U Zamieszczam logi z programów OTL oraz GMER Z góry dziękuję i pozdrawiam OTL.Txt Gmer.txt Odnośnik do komentarza
picasso Opublikowano 15 Czerwca 2012 Zgłoś Udostępnij Opublikowano 15 Czerwca 2012 Podaj skan dostosowany typujący miejsce ładowania infekcji. Uruchom SystemLook i do okna wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look. Podaj raport wynikowy. . Odnośnik do komentarza
pangol Opublikowano 15 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 15 Czerwca 2012 Czy chodziło o to? SystemLook 30.07.11 by jpshortstuff Log created at 18:57 on 15/06/2012 by Ja Administrator - Elevation successful ========== reg ========== [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] (No values found) [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32] "ThreadingModel"="Both" @="C:\Users\Ja\AppData\Local\{93ff1a5a-7f5d-5d10-502b-baeefeac8d0f}\n." [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}] @="Microsoft WBEM New Event Subsystem" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] @="%systemroot%\system32\wbem\wbemess.dll" "ThreadingModel"="Both" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] @="MruPidlList" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] @="%SystemRoot%\system32\shell32.dll" "ThreadingModel"="Apartment" ========== filefind ========== Searching for "services.exe" C:\Windows\System32\services.exe --a---- 279552 bytes [10:46 02/09/2010] [06:27 11/04/2009] 8737764F4FD36D6808EE80578409C843 C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6001.18000_none_cf5fc067cd49010a\services.exe --a---- 279040 bytes [02:34 21/01/2008] [02:34 21/01/2008] 2B336AB6286D6C81FA02CBAB914E3C6C C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6002.18005_none_d14b3973ca6acc56\services.exe --a---- 279552 bytes [10:46 02/09/2010] [06:27 11/04/2009] D4E6D91C1349B7BFB3599A6ADA56851B -= EOF =- Odnośnik do komentarza
picasso Opublikowano 15 Czerwca 2012 Zgłoś Udostępnij Opublikowano 15 Czerwca 2012 Są tu dwa składniki regenerujące infekcję: zmodyfikowany plik systemowy services.exe oraz dodana klasa systemowa. 1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator. Wklej komendę: sfc /scanfile=C:\Windows\system32\services.exe Zresetuj system. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Windows\Installer\{93ff1a5a-7f5d-5d10-502b-baeefeac8d0f} C:\Users\Ja\AppData\Local\{93ff1a5a-7f5d-5d10-502b-baeefeac8d0f} C:\Users\Ja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum C:\ProgramData\F4D55F3B00000B370003EE0E570F1C8B reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f /C reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f /C :OTL O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found. :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami usuwania. 3. Produkujesz nowe logi: log OTL z opcji Skanuj (ustaw opcję "Rejestr - skan dodatkowy" na "Użyj filtrowania", gdyż poprzednio dałeś niepełny bez pliku Extras), Farbar Service Scanner (wszystkie opcje zaznaczone) oraz SystemLook na warunki: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Dołącz także log z wynikami usuwania OTL pozyskany w punkcie 1. . Odnośnik do komentarza
pangol Opublikowano 15 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 15 Czerwca 2012 Tak więc to co udało mi się zrobić: SystemLook 30.07.11 by jpshortstuff Log created at 20:22 on 15/06/2012 by Ja Administrator - Elevation successful ========== reg ========== [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] (Unable to open key - key not found) ========== filefind ========== Searching for "services.exe" C:\Windows\System32\services.exe --a---- 279552 bytes [10:46 02/09/2010] [06:27 11/04/2009] D4E6D91C1349B7BFB3599A6ADA56851B C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6001.18000_none_cf5fc067cd49010a\services.exe --a---- 279040 bytes [02:34 21/01/2008] [02:34 21/01/2008] 2B336AB6286D6C81FA02CBAB914E3C6C C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6002.18005_none_d14b3973ca6acc56\services.exe --a---- 279552 bytes [10:46 02/09/2010] [06:27 11/04/2009] D4E6D91C1349B7BFB3599A6ADA56851B -= EOF =- FSS.txt OTL.Txt 06152012_201230.txt Odnośnik do komentarza
picasso Opublikowano 15 Czerwca 2012 Zgłoś Udostępnij Opublikowano 15 Czerwca 2012 Plik services.exe pomyślnie podstawiony systemową kopią, inne składniki infekcji pomyślnie skasowane. Kolejny etap to naprawa skasowanych przez trojana usług (Zapora, Centrum, Windows Defender). 1. Odbuduj skasowane usługi (omiń sfc /scannow w tych instrukcjach): Rekonstrukcja usług Zapory systemu Windows: KLIK. Rekonstrukcja usługi Centrum zabezpieczeń: KLIK. Rekonstrukcja usługi Windows Defender: KLIK. 2. Zresetuj system i wygeneruj nowy log z Farbar Service Scanner. . Odnośnik do komentarza
pangol Opublikowano 15 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 15 Czerwca 2012 Coś takiego mi wyszło FSS.txt Odnośnik do komentarza
picasso Opublikowano 16 Czerwca 2012 Zgłoś Udostępnij Opublikowano 16 Czerwca 2012 Wszystko pomyślnie naprawione. Końcowe czyszczenie: 1. W OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Wykonaj dla pewności pełne skanowanie posiadanym Avastem. 4. Przypominam się w kwestii zaległego raportu: OTL z opcji Skanuj (ustaw opcję "Rejestr - skan dodatkowy" na "Użyj filtrowania", gdyż poprzednio dałeś niepełny bez pliku Extras) Log Extras w ogóle tu nie został dostarczony. . Odnośnik do komentarza
pangol Opublikowano 16 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 16 Czerwca 2012 Coś takiego wyszło Extras.Txt Odnośnik do komentarza
picasso Opublikowano 16 Czerwca 2012 Zgłoś Udostępnij Opublikowano 16 Czerwca 2012 Nie wypowiadasz się nic na temat skanowania pełnego (nie ekspresowego) Avast. Log z OTL = tylko brakujący Extras mi był potrzebny, nadwyżkę usuwam. Na zakończenie: 1. Do wykonania aktualizacje: KLIK. Wg OTL Extras są w spisie następujące wersje (nie ma dokładnej wtyczek Adobe = sprawdź): ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{AC76BA86-7AD7-1045-7B44-A90000000001}" = Adobe Reader 9 - Polish"Adobe Flash Player ActiveX" = Adobe Flash Player ActiveX"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin"Mozilla Firefox (3.6.28)" = Mozilla Firefox (3.6.28) 2. Na wszelki wypadek zmiana haseł logowania w serwisach. . Odnośnik do komentarza
pangol Opublikowano 16 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 16 Czerwca 2012 WIELKIE DZIEKI ZA POMOC !!! Po pełnym skanowaniu Avast nic nie znalazł. Jeszcze raz dziękuję i pozdrawiam. Uważam że temat do zamknięcia Odnośnik do komentarza
Rekomendowane odpowiedzi