rollcage Opublikowano 29 Czerwca 2012 Zgłoś Udostępnij Opublikowano 29 Czerwca 2012 Witam! Mam podobny problem do takiego z tego tematu. Microsoft Security Essential wykrył coś takiego 1. Win64/sirefef 2. Win64/sirefef.w 3. Win32.Phdet.E oczywiście na komputerze nie da się pracować bo wyskakuje komunikat że "windows napotkal problem krytyczny i zostanie uruchomiony w ciagu jednej miknuty" w załączniku log z programu FRST64 Czy mógłbym prosić o pomoc jak się tego pozbyć? Dziękuje z góry FRST.txt Odnośnik do komentarza
Landuss Opublikowano 29 Czerwca 2012 Zgłoś Udostępnij Opublikowano 29 Czerwca 2012 Rzeczywiście jest tu infekcja ZeroAccess (Sirefef) w najnowszym wariancie i jest naruszony services.exe: C:\Windows\System32\services.exe 014A9CB92514E27C0107614DF764BC06 ZeroAccess <==== ATTENTION!. Plik będzie trzeba wymienić ale musisz zrobić dodatkowy raport, który ujawni czy posiadasz czysta kopię pliku w systemie - Uruchom FRST, w polu wpisz services.exe, wciśnij przycisk Search File(s) i przedstaw wynikowy log Search.txt Odnośnik do komentarza
rollcage Opublikowano 29 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 29 Czerwca 2012 Farbar Recovery Scan Tool Version: 28-06-2012 02 Ran by SYSTEM at 2012-06-29 13:22:45 Running from G:\ ================== Search: "services.exe" =================== C:\Windows.old\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe [2009-07-14 00:19] - [2009-07-14 02:39] - 0328704 ____A (Microsoft Corporation) 24ACB7E5BE595468E3B9AA488B9B4FCB C:\Windows.old\Windows\System32\services.exe [2009-07-14 00:19] - [2009-07-14 02:39] - 0328704 ____A (Microsoft Corporation) 24ACB7E5BE595468E3B9AA488B9B4FCB C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe [2009-07-14 00:19] - [2009-07-14 02:39] - 0328704 ____A (Microsoft Corporation) 24ACB7E5BE595468E3B9AA488B9B4FCB C:\Windows\System32\services.exe [2009-07-14 00:19] - [2009-07-14 02:39] - 0328704 ____A (Microsoft Corporation) 014A9CB92514E27C0107614DF764BC06 ====== End Of Search ====== Dziękuje za szybką odpowiedz Pozdrawiam! Odnośnik do komentarza
Landuss Opublikowano 29 Czerwca 2012 Zgłoś Udostępnij Opublikowano 29 Czerwca 2012 Według raportu masz poprawną kopię pliku w systemie i teraz będziesz robił podmianę. 1. Otwórz notatnik i wklej w nim ten tekst: CMD: copy /y C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe C:\Windows\System32\services.exe Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST 2. Uruchom FRST i zastosuj opcję Fix. Skrypt zostanie wykonany i powstanie plik fixlog.txt. 3. Spróbuj uruchomić Windows normalnie (nie powinno być już problemu) i wygeneruj logi z OTL Dołącz też plik fixlog.txt. Odnośnik do komentarza
rollcage Opublikowano 29 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 29 Czerwca 2012 Po zastosowaniu skryptu system już uruchamia się normalnie Będe wdzięczny za dalszą pomoc. Fix result of Farbar Recovery Tool (FRST written by Farbar) Version: 28-06-2012 02 Ran by SYSTEM at 2012-06-29 15:30:06 Run:1 Running from G:\ ============================================== ========= copy /y C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe C:\Windows\System32\services.exe ========= Liczba skopiowanych plików: 1. ========= End of CMD: ========= ==== End of Fixlog ==== OTL.Txt Extras.Txt Odnośnik do komentarza
Landuss Opublikowano 29 Czerwca 2012 Zgłoś Udostępnij Opublikowano 29 Czerwca 2012 Teraz spod działającego systemu wykonaj jeszcze log dodatkowy - Uruchom SystemLook x64 i w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s Klik w Look i przedstaw wynikowy raport. Odnośnik do komentarza
rollcage Opublikowano 29 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 29 Czerwca 2012 efekt sprawdzenia SystemLook: SystemLook 30.07.11 by jpshortstuff Log created at 20:06 on 29/06/2012 by Wojciech Ferenc Administrator - Elevation successful ========== reg ========== [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] (No values found) [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32] "ThreadingModel"="Both" @="C:\Users\Wojciech Ferenc\AppData\Local\{f0c79dd9-feaf-9725-47f4-d1b0f65aea46}\n." [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}] @="Microsoft WBEM New Event Subsystem" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] @="%systemroot%\system32\wbem\wbemess.dll" "ThreadingModel"="Both" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] @="MruPidlList" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] @="%SystemRoot%\system32\shell32.dll" "ThreadingModel"="Apartment" -= EOF =- Pozdrawiam! Odnośnik do komentarza
Landuss Opublikowano 29 Czerwca 2012 Zgłoś Udostępnij Opublikowano 29 Czerwca 2012 1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator i przeklej to polecenie: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f Uruchom GrantPerms x64, w oknie wklej: C:\Windows\system32\%APPDATA% Klik w Unlock. 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Windows\SysWow64\drivers\str.sys C:\Windows\system32\%APPDATA% C:\Windows\system32\services.exe.753736FE89BDF613 C:\Windows\system32\services.exe.888662AC693FC693 C:\Windows\system32\services.exe.1DCC7EA2E0405D85 C:\Windows\system32\services.exe.FF40DE6985294D36 C:\Windows\Installer\{f0c79dd9-feaf-9725-47f4-d1b0f65aea46} C:\Users\Wojciech Ferenc\AppData\Local\{f0c79dd9-feaf-9725-47f4-d1b0f65aea46} :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Prezentujesz nowy log z OTL ze skanowania (bez ekstras), z SystemLook oraz z Farbar Service Scanner (zaznacz wszystko do skanowania) Odnośnik do komentarza
rollcage Opublikowano 29 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 29 Czerwca 2012 Kolejny raz dziękuje za zainteresowanie, w załączeniu proszone logi Pozdrawiam! SystemLook 30.07.11 by jpshortstuff Log created at 21:16 on 29/06/2012 by Wojciech Ferenc Administrator - Elevation successful ========== reg ========== [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] (Unable to open key - key not found) [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}] @="Microsoft WBEM New Event Subsystem" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] @="%systemroot%\system32\wbem\wbemess.dll" "ThreadingModel"="Both" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] @="MruPidlList" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] @="%SystemRoot%\system32\shell32.dll" "ThreadingModel"="Apartment" -= EOF =- OTL.Txt FSS.txt Odnośnik do komentarza
Landuss Opublikowano 29 Czerwca 2012 Zgłoś Udostępnij Opublikowano 29 Czerwca 2012 1. Ta seria obiektów nie została usunięta: C:\Windows\system32\%APPDATA% C:\Windows\system32\services.exe.753736FE89BDF613 C:\Windows\system32\services.exe.888662AC693FC693 C:\Windows\system32\services.exe.1DCC7EA2E0405D85 C:\Windows\system32\services.exe.FF40DE6985294D36 Sprawdź co się dzieje jeśli będziesz próbował je usuwać przez SHIFT + DEL. Jeśli będzie odmowa dostępu wklej te ścieżki do GrantPerms i daj Unlock i spróbuj wtedy usuwać. 2. Odbuduj skasowane usługi omijając polecenie sfc /scannow: Rekonstrukcja usług Zapory systemu Windows (MpsSvc + bfe): KLIK. Rekonstrukcja usługi Centrum zabezpieczeń: KLIK. Rekonstrukcja usługi Windows Defender: KLIK. 3. Prezentujesz nowy log z OTL i z FSS Odnośnik do komentarza
rollcage Opublikowano 29 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 29 Czerwca 2012 podane 4 pliki udało się usunąć bezproblemowo w załączniku logi z OTL i FSS OTL.Txt FSS.txt Odnośnik do komentarza
Landuss Opublikowano 29 Czerwca 2012 Zgłoś Udostępnij Opublikowano 29 Czerwca 2012 Jeszcze ten folder nie jest usunięty więc zrób to (to folder od infekcji): [2012-06-28 17:50:49 | 000,000,000 | -HSD | C] -- C:\Windows\SysNative\%APPDATA% Jest ukryty więc przestaw opcje widoku w panelu sterowania a go zobaczysz. Poza tym jest dobrze i możesz kończyć sprawę: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zmień hasła logowania do serwisów w sieci. Odnośnik do komentarza
rollcage Opublikowano 29 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 29 Czerwca 2012 Włączyłem pokazywanie ukrytych plików, ale w katalogu windows nie ma "SysNative", a po wklejeniu scieżki system pokazuje że nie może znaleźć elementu. Czy mógł zostać usunięty wcześniej? Dodatkowo wyczyściłem foldery przywracania systemu. Dziwne jest natomiat to że dalej nie mogę włączyć zapory systemu Windows, a Windows Defender pokazuje że jest wyłączony. Pozdrawiam! Odnośnik do komentarza
Landuss Opublikowano 29 Czerwca 2012 Zgłoś Udostępnij Opublikowano 29 Czerwca 2012 Włączyłem pokazywanie ukrytych plików, ale w katalogu windows nie ma "SysNative", a po wklejeniu scieżki system pokazuje że nie może znaleźć elementu. Bo SysNative to jest alias na systemach 64-bitowych i takiego folderu w praktyce nie ma. To jest po prostu System32 i tam szukaj folderu %APPDATA% Dziwne jest natomiat to że dalej nie mogę włączyć zapory systemu Windows Jaki błąd? a Windows Defender pokazuje że jest wyłączony. Z tego powodu akurat bym nie płakał. Windows Defender to żadne cuda i ja osobiście u siebie mam go całkiem wyłączonego. Jeśli jednak chcesz go tak bardzo mieć to wklej w notatnik: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender] "DisableAntiSpyware"=dword:00000000 Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG >>> uruchom ten plik Odnośnik do komentarza
rollcage Opublikowano 29 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 29 Czerwca 2012 OK, %APPDATA% usunięty. Co do zapory to pokazuje się informacja: "Aktualizuj ustawienia zapory Zapora systemu Windows nie używa zalecanych ustawień w celu ochrony komputera" a po kliknięciu w "Użyj ustawień zalecanych" okno jest przez chwile nieaktywne "brak odpowiedzi" i nic się nie zmienia przy próbie wejścia w Ustawienia zaawansowane wyświetla się okno z informacją że "Wystąpił błąd podczas otwierania przystawki Zapora systemu Windows....", oraz na koniec kod błędu 0x6D9 Odnośnik do komentarza
picasso Opublikowano 29 Czerwca 2012 Zgłoś Udostępnij Opublikowano 29 Czerwca 2012 przy próbie wejścia w Ustawienia zaawansowane wyświetla się okno z informacją że"Wystąpił błąd podczas otwierania przystawki Zapora systemu Windows....", oraz na koniec kod błędu 0x6D9 Wnioski: nie wykonałeś poprawnie rekonstrukcji Zapory. Wróć ponownie do mojego artykułu i odtwarzaj fragment SharedAccess (import pliku REG + import uprawnień przez SetACL). Odnośnik do komentarza
rollcage Opublikowano 1 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 1 Lipca 2012 Wykonałem ponownie kroki z artykułu @picasso i ruszyło. mam nadzieje że to już koniec moich bojów z Sirefef Bardzo dziękuje za udzielone rady, nie zapomne odwdzięczyć się za pomoc Pozdrawiam! Odnośnik do komentarza
Landuss Opublikowano 1 Lipca 2012 Zgłoś Udostępnij Opublikowano 1 Lipca 2012 To jeszcze sfinalizuj temat: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zmień hasła logowania do serwisów w sieci, tak dla bezpieczeństwa. Odnośnik do komentarza
Rekomendowane odpowiedzi