Win32/Sirefef.EZ trojan

[jacekkas]

Witam!

Ja mam podobny problem, z tym że jest to Sirefef.EZ,

 

 

C:\Windows\assembly\GAC_32\Desktop.ini - Win32/Sirefef.EZ trojan

 

proszę o pomoc w usunięciu, ponieważ po zatwierdzeniu opcji "usuń" w ESET laptop się restartuję, a trojan pozostaje bez zmian.

Załączam pliki OTL:

Extras.Txt

OTL.Txt

[Landuss]

Dopisywanie się do czyjegoś tematu jest tu niemile widziane i zabronione(!) Wydzielam twój temat w osobny.

 

Wykonaj log dodatkowy pod kątem tej infekcji - uruchom SystemLook x64 i do okna wklej:

 

:reg
HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
 
:filefind
services.exe

 

Klik w Look i przedstaw wynikowy raport.

[jacekkas]

z góry przepraszam za moją niekompetencję to się nie powtórzy, wykonałem polecenie i dodaje załącznik:

 

SystemLook 30.07.11 by jpshortstuff

Log created at 22:27 on 18/06/2012 by Piotr

Administrator - Elevation successful

 

========== reg ==========

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

(Unable to open key - key not found)

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}]

@="Microsoft WBEM New Event Subsystem"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32]

@="%systemroot%\system32\wbem\wbemess.dll"

"ThreadingModel"="Both"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

@="MruPidlList"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]

@="%SystemRoot%\system32\shell32.dll"

"ThreadingModel"="Apartment"

 

 

========== filefind ==========

 

Searching for "services.exe"

C:\Windows\System32\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB

C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB

 

-= EOF =-

[Landuss]

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4:64bit: - HKLM..\Run: [setwallpaper] c:\programdata\SetWallpaper.cmd File not found
O4 - HKU\S-1-5-21-238070980-272642855-3036170722-1000..\Run: [EA Core] "C:\Program Files (x86)\Electronic Arts\EADM\Core.exe" -silent File not found
O4 - HKU\S-1-5-21-238070980-272642855-3036170722-1001..\Run: [EA Core] "C:\Program Files (x86)\Electronic Arts\EADM\Core.exe" -silent File not found
 
:Files
C:\Windows\assembly\GAC_64\Desktop.ini
C:\Windows\assembly\GAC_32\Desktop.ini
C:\Windows\Installer\{2411f3dc-6ff1-e48e-eaa6-cbe4d971bd6e}
netsh winsock reset /C
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

Pokazujesz nowy log z OTL ze skanu (bez ekstras) i nowy z SystemLook.

[jacekkas]

Zrobiłem jak prosiłeś, z tym że do SystemLook ma być ten pierwszy skrypt co mi podałeś???? Oto wyniki:

 

SystemLook 30.07.11 by jpshortstuff

Log created at 11:05 on 19/06/2012 by Piotr

Administrator - Elevation successful

 

========== reg ==========

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

(Unable to open key - key not found)

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}]

@="Microsoft WBEM New Event Subsystem"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32]

@="%systemroot%\system32\wbem\wbemess.dll"

"ThreadingModel"="Both"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

@="MruPidlList"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]

@="%SystemRoot%\system32\shell32.dll"

"ThreadingModel"="Apartment"

 

 

========== filefind ==========

 

Searching for "services.exe"

C:\Windows\System32\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB

C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB

 

-= EOF =-

OTL.txt

[Landuss]

A gdzie jest nowy log ze skanowania OTL? Dałeś tylko log z usuwania, o który zresztą nie prosiłem. Przeczytaj wyżej co napisałem.

[jacekkas]

A gdzie jest nowy log ze skanowania OTL? Dałeś tylko log z usuwania, o który zresztą nie prosiłem. Przeczytaj wyżej co napisałem.

OTL.Txt

[Landuss]

Reset Winsock nie do końca został tu wykonany. Więc poprawka w nieco inny sposób:

 

Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator. Wklej komendę: netsh winsock reset.

 

Zresetuj system.

 

Wykonaj nowy log z OTL ze skanowania.

[jacekkas]

OK zrobione.

OTL.Txt

[Landuss]

Jest w porządku. Możesz przejść do kończenia:

 

1. Użyj opcji Sprzątanie z OTL.

 

2. Opróżnij folder przywracania systemu: KLIK

 

3. Zmień hasła logowania do serwisów w sieci.

[jacekkas]

Wykonane, czyli teraz już powinno być ok???

[Landuss]

Powinno i to ty powinieneś potwierdzić czy jest OK czy nie więc?

[jacekkas]

jest ok, błąd się już nie pojawia. Dziękuję za pomoc i pozdrawiam.