Skocz do zawartości

Witamy na forum Fixitpc.pl
Aktualnie przeglądasz stronę jako gość. Jeżeli posiadasz już konto, zaloguj się - w przeciwnym wypadku zarejestruj konto. Rejestracja jest darmowa, prosta i umożliwia pełny dostęp do funkcji forum.
Zdjęcie

Problem z Win7x64 i Sirefef


  • Zamknięty Temat jest zamknięty
17 odpowiedzi w tym temacie

#1
rollcage

rollcage

    Użytkownik

  • Użytkownicy
  • PipPip
  • 17 postów
Witam!

Mam podobny problem do takiego z tego tematu.
Microsoft Security Essential wykrył coś takiego

1. Win64/sirefef
2. Win64/sirefef.w
3. Win32.Phdet.E

oczywiście na komputerze nie da się pracować bo wyskakuje komunikat że "windows napotkal problem krytyczny i zostanie uruchomiony w ciagu jednej miknuty"

w załączniku log z programu FRST64

Czy mógłbym prosić o pomoc jak się tego pozbyć?

Dziękuje z góry

Załączone pliki

  • Załączony plik  FRST.txt   33.03 KB   140 Ilość pobrań


#2
Landuss

Landuss

    Moderator

  • Moderatorzy
  • 7315 postów
Rzeczywiście jest tu infekcja ZeroAccess (Sirefef) w najnowszym wariancie i jest naruszony services.exe:

C:\Windows\System32\services.exe 014A9CB92514E27C0107614DF764BC06 ZeroAccess <==== ATTENTION!.


Plik będzie trzeba wymienić ale musisz zrobić dodatkowy raport, który ujawni czy posiadasz czysta kopię pliku w systemie - Uruchom FRST, w polu wpisz services.exe, wciśnij przycisk Search File(s) i przedstaw wynikowy log Search.txt

#3
rollcage

rollcage

    Użytkownik

  • Użytkownicy
  • PipPip
  • 17 postów
Farbar Recovery Scan Tool Version: 28-06-2012 02
Ran by SYSTEM at 2012-06-29 13:22:45
Running from G:\

================== Search: "services.exe" ===================

C:\Windows.old\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe
[2009-07-14 00:19] - [2009-07-14 02:39] - 0328704 ____A (Microsoft Corporation) 24ACB7E5BE595468E3B9AA488B9B4FCB

C:\Windows.old\Windows\System32\services.exe
[2009-07-14 00:19] - [2009-07-14 02:39] - 0328704 ____A (Microsoft Corporation) 24ACB7E5BE595468E3B9AA488B9B4FCB

C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe
[2009-07-14 00:19] - [2009-07-14 02:39] - 0328704 ____A (Microsoft Corporation) 24ACB7E5BE595468E3B9AA488B9B4FCB

C:\Windows\System32\services.exe
[2009-07-14 00:19] - [2009-07-14 02:39] - 0328704 ____A (Microsoft Corporation) 014A9CB92514E27C0107614DF764BC06

====== End Of Search ======


Dziękuje za szybką odpowiedz

Pozdrawiam!

#4
Landuss

Landuss

    Moderator

  • Moderatorzy
  • 7315 postów
Według raportu masz poprawną kopię pliku w systemie i teraz będziesz robił podmianę.

1. Otwórz notatnik i wklej w nim ten tekst:

CMD: copy /y C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe C:\Windows\System32\services.exe


Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.



Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST

2. Uruchom FRST i zastosuj opcję Fix. Skrypt zostanie wykonany i powstanie plik fixlog.txt.

3. Spróbuj uruchomić Windows normalnie (nie powinno być już problemu) i wygeneruj logi z OTL Dołącz też plik fixlog.txt.

#5
rollcage

rollcage

    Użytkownik

  • Użytkownicy
  • PipPip
  • 17 postów
Po zastosowaniu skryptu system już uruchamia się normalnie :)

Będe wdzięczny za dalszą pomoc.

Fix result of Farbar Recovery Tool (FRST written by Farbar) Version: 28-06-2012 02
Ran by SYSTEM at 2012-06-29 15:30:06 Run:1
Running from G:\

==============================================


========= copy /y C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe C:\Windows\System32\services.exe =========

Liczba skopiowanych plików: 1.

========= End of CMD: =========


==== End of Fixlog ====

Załączone pliki

  • Załączony plik  OTL.Txt   82.97 KB   77 Ilość pobrań
  • Załączony plik  Extras.Txt   35.69 KB   50 Ilość pobrań


#6
Landuss

Landuss

    Moderator

  • Moderatorzy
  • 7315 postów
Teraz spod działającego systemu wykonaj jeszcze log dodatkowy - Uruchom SystemLook x64 i w oknie wklej:

:reg
HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s


Klik w Look i przedstaw wynikowy raport.

#7
rollcage

rollcage

    Użytkownik

  • Użytkownicy
  • PipPip
  • 17 postów
efekt sprawdzenia SystemLook:

SystemLook 30.07.11 by jpshortstuff
Log created at 20:06 on 29/06/2012 by Wojciech Ferenc
Administrator - Elevation successful

========== reg ==========

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]
(No values found)

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32]
"ThreadingModel"="Both"
@="C:\Users\Wojciech Ferenc\AppData\Local\{f0c79dd9-feaf-9725-47f4-d1b0f65aea46}\n."


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}]
@="Microsoft WBEM New Event Subsystem"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32]
@="%systemroot%\system32\wbem\wbemess.dll"
"ThreadingModel"="Both"


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]
@="MruPidlList"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
@="%SystemRoot%\system32\shell32.dll"
"ThreadingModel"="Apartment"


-= EOF =-


Pozdrawiam!

#8
Landuss

Landuss

    Moderator

  • Moderatorzy
  • 7315 postów
1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator i przeklej to polecenie:

reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f

Uruchom GrantPerms x64, w oknie wklej:

C:\Windows\system32\%APPDATA%


Klik w Unlock.

3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

:Files
C:\Windows\SysWow64\drivers\str.sys
C:\Windows\system32\%APPDATA%
C:\Windows\system32\services.exe.753736FE89BDF613
C:\Windows\system32\services.exe.888662AC693FC693
C:\Windows\system32\services.exe.1DCC7EA2E0405D85
C:\Windows\system32\services.exe.FF40DE6985294D36
C:\Windows\Installer\{f0c79dd9-feaf-9725-47f4-d1b0f65aea46}
C:\Users\Wojciech Ferenc\AppData\Local\{f0c79dd9-feaf-9725-47f4-d1b0f65aea46}

:Commands
[emptytemp]


Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.



Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

4. Prezentujesz nowy log z OTL ze skanowania (bez ekstras), z SystemLook oraz z Farbar Service Scanner (zaznacz wszystko do skanowania)

#9
rollcage

rollcage

    Użytkownik

  • Użytkownicy
  • PipPip
  • 17 postów
Kolejny raz dziękuje za zainteresowanie, w załączeniu proszone logi

Pozdrawiam!

SystemLook 30.07.11 by jpshortstuff
Log created at 21:16 on 29/06/2012 by Wojciech Ferenc
Administrator - Elevation successful

========== reg ==========

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]
(Unable to open key - key not found)

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}]
@="Microsoft WBEM New Event Subsystem"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32]
@="%systemroot%\system32\wbem\wbemess.dll"
"ThreadingModel"="Both"


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]
@="MruPidlList"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
@="%SystemRoot%\system32\shell32.dll"
"ThreadingModel"="Apartment"


-= EOF =-

Załączone pliki

  • Załączony plik  OTL.Txt   80.11 KB   79 Ilość pobrań
  • Załączony plik  FSS.txt   3.6 KB   46 Ilość pobrań


#10
Landuss

Landuss

    Moderator

  • Moderatorzy
  • 7315 postów
1. Ta seria obiektów nie została usunięta:


C:\Windows\system32\%APPDATA%
C:\Windows\system32\services.exe.753736FE89BDF613
C:\Windows\system32\services.exe.888662AC693FC693
C:\Windows\system32\services.exe.1DCC7EA2E0405D85
C:\Windows\system32\services.exe.FF40DE6985294D36


Sprawdź co się dzieje jeśli będziesz próbował je usuwać przez SHIFT + DEL. Jeśli będzie odmowa dostępu wklej te ścieżki do GrantPerms i daj Unlock i spróbuj wtedy usuwać.

2. Odbuduj skasowane usługi omijając polecenie sfc /scannow:
  • Rekonstrukcja usług Zapory systemu Windows (MpsSvc + bfe): KLIK.
  • Rekonstrukcja usługi Centrum zabezpieczeń: KLIK.
  • Rekonstrukcja usługi Windows Defender: KLIK.
3. Prezentujesz nowy log z OTL i z FSS

#11
rollcage

rollcage

    Użytkownik

  • Użytkownicy
  • PipPip
  • 17 postów
podane 4 pliki udało się usunąć bezproblemowo

w załączniku logi z OTL i FSS

Załączone pliki

  • Załączony plik  OTL.Txt   80.71 KB   58 Ilość pobrań
  • Załączony plik  FSS.txt   2.52 KB   51 Ilość pobrań


#12
Landuss

Landuss

    Moderator

  • Moderatorzy
  • 7315 postów
Jeszcze ten folder nie jest usunięty więc zrób to (to folder od infekcji):

[2012-06-28 17:50:49 | 000,000,000 | -HSD | C] -- C:\Windows\SysNative\%APPDATA%


Jest ukryty więc przestaw opcje widoku w panelu sterowania a go zobaczysz.

Poza tym jest dobrze i możesz kończyć sprawę:

1. Użyj opcji Sprzątanie z OTL.

2. Opróżnij folder przywracania systemu: KLIK

3. Zmień hasła logowania do serwisów w sieci.

#13
rollcage

rollcage

    Użytkownik

  • Użytkownicy
  • PipPip
  • 17 postów
Włączyłem pokazywanie ukrytych plików, ale w katalogu windows nie ma "SysNative", a po wklejeniu scieżki system pokazuje że nie może znaleźć elementu. Czy mógł zostać usunięty wcześniej?

Dodatkowo wyczyściłem foldery przywracania systemu.

Dziwne jest natomiat to że dalej nie mogę włączyć zapory systemu Windows, a Windows Defender pokazuje że jest wyłączony.


Pozdrawiam!

#14
Landuss

Landuss

    Moderator

  • Moderatorzy
  • 7315 postów

Włączyłem pokazywanie ukrytych plików, ale w katalogu windows nie ma "SysNative", a po wklejeniu scieżki system pokazuje że nie może znaleźć elementu.


Bo SysNative to jest alias na systemach 64-bitowych i takiego folderu w praktyce nie ma. To jest po prostu System32 i tam szukaj folderu %APPDATA%

Dziwne jest natomiat to że dalej nie mogę włączyć zapory systemu Windows


Jaki błąd?

a Windows Defender pokazuje że jest wyłączony.


Z tego powodu akurat bym nie płakał. Windows Defender to żadne cuda i ja osobiście u siebie mam go całkiem wyłączonego. Jeśli jednak chcesz go tak bardzo mieć to wklej w notatnik:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender]
"DisableAntiSpyware"=dword:00000000


Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG >>> uruchom ten plik

#15
rollcage

rollcage

    Użytkownik

  • Użytkownicy
  • PipPip
  • 17 postów
OK, %APPDATA% usunięty.

Co do zapory to pokazuje się informacja:
"Aktualizuj ustawienia zapory
Zapora systemu Windows nie używa zalecanych ustawień w celu ochrony komputera"
a po kliknięciu w "Użyj ustawień zalecanych" okno jest przez chwile nieaktywne "brak odpowiedzi" i nic się nie zmienia

przy próbie wejścia w Ustawienia zaawansowane wyświetla się okno z informacją że
"Wystąpił błąd podczas otwierania przystawki Zapora systemu Windows....", oraz na koniec kod błędu 0x6D9

#16
picasso

picasso

    Administrator

  • Administratorzy
  • 28242 postów

przy próbie wejścia w Ustawienia zaawansowane wyświetla się okno z informacją że
"Wystąpił błąd podczas otwierania przystawki Zapora systemu Windows....", oraz na koniec kod błędu 0x6D9


Wnioski: nie wykonałeś poprawnie rekonstrukcji Zapory. Wróć ponownie do mojego artykułu i odtwarzaj fragment SharedAccess (import pliku REG + import uprawnień przez SetACL).

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu.


#17
rollcage

rollcage

    Użytkownik

  • Użytkownicy
  • PipPip
  • 17 postów
Wykonałem ponownie kroki z artykułu @picasso i ruszyło.

mam nadzieje że to już koniec moich bojów z Sirefef


Bardzo dziękuje za udzielone rady, nie zapomne odwdzięczyć się za pomoc :)

Pozdrawiam!

#18
Landuss

Landuss

    Moderator

  • Moderatorzy
  • 7315 postów
To jeszcze sfinalizuj temat:

1. Użyj opcji Sprzątanie z OTL.

2. Opróżnij folder przywracania systemu: KLIK

3. Zmień hasła logowania do serwisów w sieci, tak dla bezpieczeństwa.




Użytkownicy przeglądający ten temat: 0

0 użytkowników, 0 gości, 0 anonimowych