MikeB Opublikowano 17 Czerwca 2012 Zgłoś Udostępnij Opublikowano 17 Czerwca 2012 Witam, bardzo proszę o pomoc w usunięciu. Jako antywirusa używam Trend Micro Titanium Maximum Security 2012, po pełnym skanowaniu nic nie znajduje jednakże podczas pracy na laptopie co kilka, kilkanaście minut dostaje monit z programu antywirusowego: Threat: TROJ_SIREFEF.SE Source: Threat Affected Files: C:\Windows\Installer\{cccdec35-58a8-e626-c317-42869a85e0b9}\U\800000cb.@ Response: Removed Detected By: Real Time Scan lub: Threat: TROJ_SIREFEF.SD Source: Threat Affected Files: C:\Windows\Installer\{cccdec35-58a8-e626-c317-42869a85e0b9}\U\00000001.@ Response: Removed Detected By: Real Time Scan lub: Threat: TROJ_SIREFEF.ERO Source: Threat Affected Files: C:\Windows\Installer\{cccdec35-58a8-e626-c317-42869a85e0b9}\U\80000000.@ Response: Removed Detected By: Real Time Scan Oto logi z programów OTL,GMER, oraz SystemLook x64 dla skryptu: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Bardzo proszę o pomoc w usunięciu . Extras.Txt OTL.Txt GMER.Txt SystemLook x64.txt Odnośnik do komentarza
Landuss Opublikowano 17 Czerwca 2012 Zgłoś Udostępnij Opublikowano 17 Czerwca 2012 Zacząć trzeba od wyleczenia zainfekowanego pliku systemowego services.exe 1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator. Wklej komendę: sfc /scanfile=C:\Windows\system32\services.exe Zresetuj system. 2. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator. Wklej komendę: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt Otworzy się log, który zachowaj i pokaż na forum. Odnośnik do komentarza
MikeB Opublikowano 17 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 17 Czerwca 2012 Witam, dziękuję za odpowiedź, oto log: 2012-06-17 18:21:55, Info CSI 00000009 [sR] Verifying 1 components 2012-06-17 18:21:55, Info CSI 0000000a [sR] Beginning Verify and Repair transaction 2012-06-17 18:21:55, Info CSI 0000000c [sR] Repairing corrupted file [ml:520{260},l:46{23}]"\??\C:\Windows\System32"\[l:24{12}]"services.exe" from store 2012-06-17 18:21:55, Info CSI 0000000e [sR] Verify complete 2012-06-17 18:21:55, Info CSI 0000000f [sR] Repairing 1 components 2012-06-17 18:21:55, Info CSI 00000010 [sR] Beginning Verify and Repair transaction 2012-06-17 18:21:55, Info CSI 00000012 [sR] Repairing corrupted file [ml:520{260},l:46{23}]"\??\C:\Windows\System32"\[l:24{12}]"services.exe" from store 2012-06-17 18:21:56, Info CSI 00000014 [sR] Repair complete 2012-06-17 18:21:56, Info CSI 00000015 [sR] Committing transaction 2012-06-17 18:21:56, Info CSI 00000019 [sR] Unable to complete Verify and Repair transaction because some of the files that need to be repaired are in use. A reboot is required to complete this operation. 2012-06-17 18:21:56, Info CSI 0000001a [sR] Repairing 1 components 2012-06-17 18:21:56, Info CSI 0000001b [sR] Beginning Verify and Repair transaction 2012-06-17 18:21:56, Info CSI 0000001d [sR] Repairing corrupted file [ml:520{260},l:46{23}]"\??\C:\Windows\System32"\[l:24{12}]"services.exe" from store 2012-06-17 18:21:56, Info CSI 0000001f [sR] Repair complete co dalej ? Odnośnik do komentarza
Landuss Opublikowano 17 Czerwca 2012 Zgłoś Udostępnij Opublikowano 17 Czerwca 2012 Plik poprawnie naprawiony i dzięki temu dalsze kroki mają sens. Lecimy: 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKLM..\Run: [] File not found :Files C:\Windows\System32\%APPDATA% C:\ProgramData\B7E858A70000261300000B34B4EB2367 C:\Windows\Installer\{cccdec35-58a8-e626-c317-42869a85e0b9} C:\Users\MiK\AppData\Local\{cccdec35-58a8-e626-c317-42869a85e0b9} reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f /C :Reg [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. 2. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Pokazujesz nowy log z OTL ze skanowania (bez ekstras), z SystemLook i z Farbar Service Scanner (zaznacz wszystko do skanowania) Odnośnik do komentarza
MikeB Opublikowano 17 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 17 Czerwca 2012 Wykonano zgodnie z zaleceniem, oto logi: SystemLook 30.07.11 by jpshortstuff Log created at 19:25 on 17/06/2012 by MiK Administrator - Elevation successful ========== reg ========== [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] (No values found) [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32] "ThreadingModel"="Both" @="C:\Users\MiK\AppData\Local\{cccdec35-58a8-e626-c317-42869a85e0b9}\n." [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}] @="Microsoft WBEM New Event Subsystem" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] @="%systemroot%\system32\wbem\wbemess.dll" "ThreadingModel"="Both" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] @="MruPidlList" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] @="%SystemRoot%\system32\shell32.dll" "ThreadingModel"="Apartment" ========== filefind ========== Searching for "services.exe" C:\Windows\System32\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB -= EOF =- 06172012_190749.txt OTL.Txt FSS.txt Odnośnik do komentarza
Landuss Opublikowano 17 Czerwca 2012 Zgłoś Udostępnij Opublikowano 17 Czerwca 2012 OTL nie poradził sobie do końca. Trzeba zmienić metodę. 1. Otwórz Notatnik i wklej w nim: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Plik umieść wprost na C:\. 2. Uruchom BlitzBlank i w karcie Script wklej: DeleteFolder: C:\Windows\SysNative\%APPDATA% Execute: C:\fix.bat Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Execute Now. Zatwierdź restart komputera. BlitzBlank wygeneruje na dysku C log z usuwania. 3. Odbuduj skasowane usługi omijając polecenie sfc /scannow: Rekonstrukcja usług Zapory systemu Windows (MpsSvc + bfe): KLIK. Rekonstrukcja usługi Centrum zabezpieczeń: KLIK. Rekonstrukcja usługi Windows Defender: KLIK. 4. Zresetuj system i załącz nowe logi z FSS, SystemLook i z usuwania BlitzBlank. Odnośnik do komentarza
MikeB Opublikowano 17 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 17 Czerwca 2012 Oto pliki logów po ostatnich zaleceniach SystemLook 30.07.11 by jpshortstuff Log created at 20:42 on 17/06/2012 by MiK Administrator - Elevation successful ========== reg ========== [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] (No values found) [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32] "ThreadingModel"="Both" @="C:\Users\MiK\AppData\Local\{cccdec35-58a8-e626-c317-42869a85e0b9}\n." [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}] @="Microsoft WBEM New Event Subsystem" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] @="%systemroot%\system32\wbem\wbemess.dll" "ThreadingModel"="Both" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] @="MruPidlList" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] @="%SystemRoot%\system32\shell32.dll" "ThreadingModel"="Apartment" ========== filefind ========== Searching for "services.exe" C:\Windows\System32\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB -= EOF =- BlitzBlank 1.0.0.32 File/Registry Modification Engine native application MoveDirectoryOnReboot: sourceDirectory = "\??\c:\windows\sysnative\C:\Users\MiK\AppData\Roaming", destinationDirectory = "(null)", replaceWithDummy = 0 MoveDirectoryOnReboot: ZwCreateFile(sourceDirectory) failed: status = c0000033 LaunchOnReboot: launchName = "\fix.bat", commandLine = "c:\fix.bat" OpenDriver: ZwLoadDriver(\Registry\Machine\System\CurrentControlSet\Services\blzblk) failed: status = c0000428 LaunchOnReboot: OpenDriver failed: status = c0000428 FSS.txt Odnośnik do komentarza
Landuss Opublikowano 17 Czerwca 2012 Zgłoś Udostępnij Opublikowano 17 Czerwca 2012 1. Klucz dalej siedzi, nie wiem czemu to nie chce zejść. Usuniesz ręcznie - Wciśnij klawisz z flagą Windows + R wklep regedit i usuń z prawokliku ten klucz: HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} Po tej operacji zrób restart i wykonaj nowy log z SystemLook. 2. Ręcznie dokasuj folder. Uruchom GrantPerms x64 i w oknie wklej: C:\Windows\system32\%APPDATA% Klik w Unlock. Po tym przez SHIFT+DEL skasuj folder C:\Windows\system32\%APPDATA%. . Odnośnik do komentarza
MikeB Opublikowano 17 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 17 Czerwca 2012 Wygląda że się udało, czy czeka mnie coś jeszcze ? SystemLook 30.07.11 by jpshortstuff Log created at 21:13 on 17/06/2012 by MiK Administrator - Elevation successful ========== reg ========== [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] (Unable to open key - key not found) [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}] @="Microsoft WBEM New Event Subsystem" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] @="%systemroot%\system32\wbem\wbemess.dll" "ThreadingModel"="Both" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] @="MruPidlList" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] @="%SystemRoot%\system32\shell32.dll" "ThreadingModel"="Apartment" ========== filefind ========== Searching for "services.exe" C:\Windows\System32\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB -= EOF =- Odnośnik do komentarza
Landuss Opublikowano 17 Czerwca 2012 Zgłoś Udostępnij Opublikowano 17 Czerwca 2012 Czekają cie tylko czynności finalne. 1. Użyj opcji Sprzątanie z OTL zaś BlitzBlank, SystemLook i FSS po prostu usuń z dysku. 2. Opróżnij folder przywracania systemu: KLIK 3. Zmień hasła logowania do serwisów w sieci. Odnośnik do komentarza
MikeB Opublikowano 17 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 17 Czerwca 2012 Bardzo dziękuję za okazaną mi tu w trybie błyskawicznym profesjonalną pomoc. Robicie tu Panie/Panowie kawał wyśmienitej roboty. temat do zamknięcia pozdrawiam Michał Odnośnik do komentarza
Rekomendowane odpowiedzi