majkPL Opublikowano 25 Stycznia 2013 Zgłoś Udostępnij Opublikowano 25 Stycznia 2013 Witam nie mogłem znaleźć otwartego tematu wprzypadku tego robala Win32/Sirefef.EZ , użyłem już SystemLook x64 z wynikiem : SystemLook 30.07.11 by jpshortstuff Log created at 10:19 on 25/01/2013 by z Administrator - Elevation successful ========== reg ========== [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] (Unable to open key - key not found) [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}] @="Microsoft WBEM New Event Subsystem" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] @="%systemroot%\system32\wbem\wbemess.dll" "ThreadingModel"="Both" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] @="MruPidlList" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] @="%SystemRoot%\system32\shell32.dll" "ThreadingModel"="Apartment" ========== filefind ========== Searching for "services.exe" C:\Windows\System32\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB -= EOF =- co dalej z tym zrobić proszę o pomoc i z góry sorx za dubel tematu Odnośnik do komentarza
picasso Opublikowano 26 Stycznia 2013 Zgłoś Udostępnij Opublikowano 26 Stycznia 2013 nie mogłem znaleźć otwartego tematu wprzypadku tego robala Win32/Sirefef.EZ , użyłem już SystemLook x64 z wynikiem Proszę zacząć od zasad działu: KLIK. Po pierwsze: zakaz dopisywania się do cudzych tematów, nie na darmo szybko zamykam wszystko. Po drugie: nie wolno się wzorować na cudzych tematach. Po trzecie wymagane są obowiązkowe logi (OTL + GMER) oraz wyciąg ze skanera gdzie widzi infekcję (dokładna ścieżka dostępu). Proszę to dostarczyć. Twój skan z SystemLook bezużyteczny, to są stare warunki szukania, log z OTL połowę z tego już ma uwzględnione w skanie. Ponadto wariantów ZeroAccess wiele, skąd wiesz że na to masz szukać? Mówię: proszę się nie wzorować na cudzuch tematach. . Odnośnik do komentarza
majkPL Opublikowano 26 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 26 Stycznia 2013 Wielkie sory za moje błędy już dostraczam wszystko co mi napisałeś i od razu  pragnę dodać że nie poruszam się biegle po tego typu programach i czynnościach nie wiem co jest ale nie moge dołaczyc plików  wiec musze tak po jednym je wkleić nie moge plików dodać mam  extras i  gmer ale nie moge ich dołączyć OTL.Txt Extras.txt Odnośnik do komentarza
picasso Opublikowano 26 Stycznia 2013 Zgłoś Udostępnij Opublikowano 26 Stycznia 2013 Ad "napisałeś" = jestem kobietą. Do uzupełniania posta, gdy nikt jeszcze nie odpisał, służy opcja Edytuj, posty powyżej sklejam. Co to znaczy "nie mogę dołączyć plików" = jaki błąd? EDIT: Jak mówiłam: Edytuj. Posty sklejam. Nadal nie odpowiedziałeś na pytanie jaki jest problem z dołączaniem plików. Post z GMER wyrzucam, przecież kompletnie nieczytelny log, wszystko sklejone. Dobra, zostaw to na razie, mam wystarczającą ilość danych. Działa tu wariant ZeroAccess uruchamiasz z Kosza (wszystko ukryte i zablokowane przez uprawnienia). Ponadto trojan zrobił rzeźnię w komponentach Windows, skasowane liczne usługi. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: reg delete HKCU\Software\Classes\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9} /f reg add HKLM\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InprocServer32 /ve /t REG_EXPAND_SZ /d %%systemroot%%\system32\wbem\fastprox.dll /f pause Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Kliknij prawym na plik i wybierz opcję Uruchom jako Administrator. Konieczny restart komputera, by odładować z pamięci ZeroAccess. 2. Otwórz Notatnik i wklej w nim: TAKEOWN /F C:\$Recycle.Bin /R /A /D Y icacls C:\$Recycle.Bin\S-1-5-18 /grant Wszyscy:F /T icacls C:\$Recycle.Bin\S-1-5-21-4253968316-357449742-714158169-1001\$ee1e92becee258131be6aec2d025359c /grant Wszyscy:F /T rd /s /q C:\$Recycle.Bin netsh winsock reset pause Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Kliknij prawym na plik i wybierz opcję Uruchom jako Administrator. Konieczny restart komputera, by dokończyć reset Winsock naruszony przez ZeroAccess. 3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Windows\SysWow64\%APPDATA% C:\Windows\assembly\GAC_32\Desktop.ini C:\Windows\assembly\GAC_64\Desktop.ini :OTL O4 - HKLM..\Run: [KiesTrayAgent] C:\Program Files (x86)\Samsung\Kies\KiesTrayAgent.exe File not found O4 - HKCU..\Run: [] C:\Program Files (x86)\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe File not found O4 - HKCU..\Run: [rigcerupzucr] c:\users\z\rigcerupzucr.exe File not found :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 4. Odbuduj usunięte przez trojana usługi za pomocą ServicesRepair. 5. Napraw martwą ikonę Centrum Akcji uszkodzoną przez trojana. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{F56F6FDD-AA9D-4618-A949-C1B91AF43B1A}] "AutoStart"="" Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 6. Zrób nowy log OTL z opcji Skanuj (już bez Extras), zaległy GMER oraz Farbar Service Scanner. Uruchom SystemLook x64 i do skanu wklej: :dir C:\$Recycle.Bin /s :filefind services.exe :reg HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects /s Klik w Look. Oczywiście teraz mi odpowiadasz już w nowym poście, nie edytujesz wstecznie starszych. . Odnośnik do komentarza
majkPL Opublikowano 26 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 26 Stycznia 2013 wielkie dzięki wszystko już gra , wielka profeska i pokłony z mojej strony dzięki raz jeszcze Odnośnik do komentarza
picasso Opublikowano 26 Stycznia 2013 Zgłoś Udostępnij Opublikowano 26 Stycznia 2013 (edytowane) Ale tu nie koniec działań! Trzeba potwierdzić wykonanie wszystkiego, zadać pewne czyszczenia kosmetyczne etc. Prosiłam, byś po wykonaniu akcji podał dane: 6. Zrób nowy log OTL z opcji Skanuj (już bez Extras), zaległy GMER oraz Farbar Service Scanner. Uruchom SystemLook x64 i do skanu wklej: :dir C:\$Recycle.Bin /s :filefind services.exe :reg HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects /s Klik w Look. Edytowane 26 Lutego 2013 przez picasso 26.02.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi