Sirefef.gen!C

[fresh]

Wchodząc 3 dni temu na przeglądarkę Chrome wyskoczył mi taki o to komunikat: "The certificate received indicates that this computer is infected with Sirefef.gen!C.". Próbowałem usunąć tego wirusa za pomocą programu Microsoft Security Essentials, ale to pomogło tylko do restartu systemu. Później program przestał działać, lecz przy próbię reinstalacji programu wyskoczył błąd 0x80070643. Nie wiem co mam dalej robić ponieważ nie jestem informatykiem. Przy próbie skanowania za pomocą programu Security Check wyskoczył błąd: "netsh.exe - Nie znaleziono punktu wejścia procedury MigrateWinsockConfiguration w bibliotece MSWSOCK.dll. Proszę o pomoc z usunięciem tego rootkita i o wyrozumiałość. Z góry dziękuje.

 

OTL.Txt

Extras.Txt

[picasso]

Infekcja ZeroAccess (alias Sirefef) w wariancie infekującym sterowniki systemowe. Security Check rzuca błędem, bo rootkit przekierował cały katalog sieciowy Winsock, a MSSE nie działa, bo rootkit go uszkadza (podobnie jak i kilka innych usług systemowych).
Dodaj raport GMER, który zresztą jest tu w składzie obowiązkowych raportów, za pomocą którego wstępnie zostaną pobrane dane jaki sterownik jest zainfekowany.



.

[fresh]

Przepraszam nie doczytałem, że raport z GMER jest obowiązkowy. Podczas pierwszego skanowania występował błąd, który uniemożliwiał pełne skanowanie nawet w trybie awaryjnym. Po ponownym ściągnięciu GMER pełne skanowanie udało się. Dołączam preskan z pierwszego skanowania i czekam na dalsze instrukcje. 

GMER - preskan.txt

GMER.txt

[picasso]

Zainfekowany jest sterownik systemowy NETBT.SYS. Przechodzimy do usuwania infekcji:

 

1. Uruchom Kaspersky TDSSKiller. Zostaw wszystkie akcje domyślnie dobrane przez narzędzie. Zresetuj system, by wdrożyć leczenie systemu. Na dysku C powstanie log z wynikami usuwania.

 

2. Zresetuj Winsock: Start > Uruchom > cmd, wpisz komendę netsh winsock reset i zresetuj system.

 

3. Zrób nowe logi: OTL z opcji Skanuj (bez Extras), GMER oraz Farbar Service Scanner. Dołącz log utworzony przez TDSSKiller podczas usuwania.

 

 

 

.

[fresh]

Po zrobieniu punktu 1. komputer przestał łapać internet. Stan połączenia pokazuje: "Pobieranie adresu sieciowego" i nic dalej się nie dzieje. Modem działa, bo mam internet na telefonie. Wykonałem punkt równierz punkt 2. Zrobię logi i wrzucę jak najszybciej.

[picasso]

Na razie nie zwracaj uwagi na brak sieci (infekcja mocno ingeruje w te partie). Wykonaj co opisałam i dostarcz logi. To na ich podstawie ocenię co się dzieje.

[fresh]

Dodaje logi. Niestety pelne skanowanie GMER nie powiodło się ani w trybie normalnym, ani w trybie awaryjnym.

OTL.Txt

GMER - błąd.txt

FSS.txt

TDSSKiller.2.8.16.0_20.05.2013_14.25.47_log.txt

[picasso]

Sieć padła, bo TDSSKiller nie przeprowadził roboty do końca, tzn. zostawił swoją tymczasową ścieżkę w parametrach sterownika:

 

DRV - File not found [Kernel | System | Stopped] -- system32\drivers\tsk35.tmp -- (NetBT)

 

Należy skierować usługę na prawidłowy plik. Poza tym, w logu Farbar tradycyjna sieczka: trojan skasował usługi Centrum zabezpieczeń, Zapory systemu i Windows Update.

 

1. Rekonstrukcja wszystkich uszkodzonych usług. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS]
"Type"=dword:00000020
"Start"=dword:00000003
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"DisplayName"="Usługa inteligentnego transferu w tle"
"DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00
"DependOnGroup"=hex(7):00,00
"ObjectName"="LocalSystem"
"Description"="Używa przepustowości bezczynnej sieci do transferu danych. Jeżeli BITS zostanie wyłączone, funkcje takie jak Windows Update przestaną działać."
"FailureActions"=hex:00,00,00,00,00,00,00,00,00,00,00,00,03,00,00,00,68,e3,0c,\
00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS\Parameters]
"ServiceDll"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,\
00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
71,00,6d,00,67,00,72,00,2e,00,64,00,6c,00,6c,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS\Enum]
"0"="Root\\LEGACY_BITS\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT]
"ImagePath"=hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\
52,00,49,00,56,00,45,00,52,00,53,00,5c,00,6e,00,65,00,74,00,62,00,74,00,2e,\
00,73,00,79,00,73,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc]
"Type"=dword:00000020
"Start"=dword:00000002
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"DisplayName"="Centrum zabezpieczeń"
"DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,77,00,69,00,6e,00,\
6d,00,67,00,6d,00,74,00,00,00,00,00
"ObjectName"="LocalSystem"
"Description"="Monitoruje ustawienia zabezpieczeń i konfiguracje systemu."
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Parameters]
"ServiceDll"=hex(2):25,00,53,00,59,00,53,00,54,00,45,00,4d,00,52,00,4f,00,4f,\
00,54,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
77,00,73,00,63,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Enum]
"0"="Root\\LEGACY_WSCSVC\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv]
"Type"=dword:00000020
"Start"=dword:00000002
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"DisplayName"="Aktualizacje automatyczne"
"ObjectName"="LocalSystem"
"Description"="Umożliwia pobieranie i instalowanie ważnych aktualizacji systemu Windows. Jeśli ta usługa zostanie wyłączona, komputer nie będzie umożliwiał korzystania z funkcji Automatyczne aktualizacje lub strony Windows Update."
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters]
"ServiceDll"=hex(2):43,00,3a,00,5c,00,57,00,49,00,4e,00,44,00,4f,00,57,00,53,\
00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,77,00,75,00,\
61,00,75,00,73,00,65,00,72,00,76,00,2e,00,64,00,6c,00,6c,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Security]
"Security"=hex:01,00,14,80,78,00,00,00,84,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,00,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,48,00,03,00,00,00,00,00,14,00,9d,00,02,00,01,01,00,00,00,00,00,\
05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
20,02,00,00,00,00,14,00,ff,01,0f,00,01,01,00,00,00,00,00,05,12,00,00,00,01,\
01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Enum]
"0"="Root\\LEGACY_WUAUSERV\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]
"Type"=dword:00000020
"Start"=dword:00000002
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"DisplayName"="Zapora systemu Windows/Udostępnianie połączenia internetowego"
"DependOnService"=hex(7):4e,00,65,00,74,00,6d,00,61,00,6e,00,00,00,57,00,69,00,\
6e,00,4d,00,67,00,6d,00,74,00,00,00,00,00
"DependOnGroup"=hex(7):00,00
"ObjectName"="LocalSystem"
"Description"="Zapewnia usługi translacji adresów sieciowych, adresowania, rozpoznawania nazw i/lub blokowania dostępu intruzów wszystkim komputerom w sieci domowej lub biurowej."
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch]
"Epoch"=dword:0000042e
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters]
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
69,00,70,00,6e,00,61,00,74,00,68,00,6c,00,70,00,2e,00,64,00,6c,00,6c,00,00,\
00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup]
"ServiceUpgrade"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup\InterfacesUnfirewalledAtUpdate]
"All"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Enum]
"0"="Root\\LEGACY_SHAREDACCESS\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001

 

Adnotacja dla innych czytających: import dopasowany do Windows XP.

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik

 

2. Wykończenie resztek ZeroAccess i skanerów. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files


C:\WINDOWS\$NtUninstallKB30729$

C:\Program Files\Enigma Software Group

C:\Program Files\Sophos

C:\Documents and Settings\All Users\Dane aplikacji\*.bin

C:\Documents and Settings\All Users\Dane aplikacji\AVG

C:\Documents and Settings\All Users\Dane aplikacji\Common Files

C:\Documents and Settings\All Users\Dane aplikacji\MFAData

C:\Documents and Settings\All Users\Dane aplikacji\Tarma Installer

C:\Documents and Settings\Sonic\Dane aplikacji\AVG

C:\Documents and Settings\Sonic\Dane aplikacji\Mozilla

C:\Documents and Settings\Sonic\Dane aplikacji\QuickScan

C:\Documents and Settings\Sonic\Ustawienia lokalne\Dane aplikacji\MFAData

C:\Documents and Settings\Sonic\Ustawienia lokalne\Dane aplikacji\Avg2013

C:\Documents and Settings\LocalService\Dane aplikacji\QuickScan

C:\Documents and Settings\All Users\Menu Start\Programy\Antivirus Free Edition
 

:Services

15286671

esgiguard

MEMSWEEP2
 

:Commands

[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart.

 

3. Zrób nowy log OTL z opcji Skanuj (bez Extras) oraz Farbar Service Scanner.

 

 

 

.

[fresh]

Nadal brak sieci. Dodaje logi.

OTL.Txt

FSS.txt

05212013_161256.txt

[picasso]

W ogóle nie zaimportowałeś pliku FIX.REG, żadnych zmian i wszystkie uszkodzenia nadal na miejscu. Opisz mi jak to robisz i co się pokazało przy próbie uruchomienia pliku.

[fresh]

Zaimportowalem, otworzylem notatnik, wkleilem to co mialem wkleic, zapisalem jako FIX.REG i uruchomilem. Napisane bylo, ze pomyslnie dodano do rejestru.

[picasso]

Mówisz o ponownym imporcie pliku FIX.REG? Jeśli tak, zresetuj system i zrób nowy log Farbar Service Scanner.

[fresh]

Odzyskałem połączenie z siecią, nadal nie mogę zainstalować MSE. Dodaje logi FSS.

FSS.txt

[picasso]

Zadanie tym razem przeprowadzone poprawnie. Teraz diagnostyka co się dzieje z Microsoft Security Essentials i czy aby jego folder nie jest zmanipulowany w specjalny sposób.

 

Start > Uruchom > cmd, wklej komendę dir /s "C:\Program Files\Microsoft Security Client" > C:\log.txt i ENTER. Przedstaw wynikowy plik C:\log.txt.

 

 

 

.

[fresh]

Oto log. Jest również problem z plikiem kernel32.dll. Rozumiem, że wirusa się pozbyłem. Jaki program, najlepiej darmowy, polecasz aby uniknąć takich infekcji w przyszłości?

log.txt

[picasso]

O jakim problemie z kernel32.dll mówisz? A infekcja nie jest jeszcze wyleczona. Nowy skan katalogu MSSE pokazuje rozwalone przez trojana składniki, wszystko fałszywie przekierowane techniką linków symbolicznych. Należy rozlinkować każdy obiekt, zresetować uprawnienia i dopiero wtedy można się zabrać za reinstalację aplikacji.

 

1. Otwórz Notatnik i wklej w nim:

 

fsutil reparsepoint delete "C:\Program Files\Microsoft Security Client\Backup"
fsutil reparsepoint delete "C:\Program Files\Microsoft Security Client\DbgHelp.dll"
fsutil reparsepoint delete "C:\Program Files\Microsoft Security Client\Drivers"
fsutil reparsepoint delete "C:\Program Files\Microsoft Security Client\en-us"
fsutil reparsepoint delete "C:\Program Files\Microsoft Security Client\EppManifest.dll"
fsutil reparsepoint delete "C:\Program Files\Microsoft Security Client\LegitLib.dll"
fsutil reparsepoint delete "C:\Program Files\Microsoft Security Client\MpAsDesc.dll"
fsutil reparsepoint delete "C:\Program Files\Microsoft Security Client\MpClient.dll"
fsutil reparsepoint delete "C:\Program Files\Microsoft Security Client\MpCmdRun.exe"
fsutil reparsepoint delete "C:\Program Files\Microsoft Security Client\MpCommu.dll"
fsutil reparsepoint delete "C:\Program Files\Microsoft Security Client\MpEvMsg.dll"
fsutil reparsepoint delete "C:\Program Files\Microsoft Security Client\MpOAv.dll"
fsutil reparsepoint delete "C:\Program Files\Microsoft Security Client\MpRTP.dll"
fsutil reparsepoint delete "C:\Program Files\Microsoft Security Client\MpSvc.dll"
fsutil reparsepoint delete "C:\Program Files\Microsoft Security Client\MsMpCom.dll"
fsutil reparsepoint delete "C:\Program Files\Microsoft Security Client\MsMpEng.exe"
fsutil reparsepoint delete "C:\Program Files\Microsoft Security Client\MsMpLics.dll"
fsutil reparsepoint delete "C:\Program Files\Microsoft Security Client\MsMpRes.dll"
fsutil reparsepoint delete "C:\Program Files\Microsoft Security Client\msseces.exe"
fsutil reparsepoint delete "C:\Program Files\Microsoft Security Client\MsseWat.dll"
fsutil reparsepoint delete "C:\Program Files\Microsoft Security Client\pl-pl"
fsutil reparsepoint delete "C:\Program Files\Microsoft Security Client\Setup.exe"
fsutil reparsepoint delete "C:\Program Files\Microsoft Security Client\SetupRes.dll"
fsutil reparsepoint delete "C:\Program Files\Microsoft Security Client\shellext.dll"
fsutil reparsepoint delete "C:\Program Files\Microsoft Security Client\SqmApi.dll"
fsutil reparsepoint delete "C:\Program Files\Microsoft Security Client\SymSrv.dll"
fsutil reparsepoint delete "C:\Program Files\Microsoft Security Client\SymSrv.yes"
pause

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT

 

Zauważ, że tym razem to FIX.BAT a nie FIX.REG. Uruchom plik przez dwuklik.

 

2. Start > Uruchom > cmd, wklej komendę dir /s "C:\Program Files\Microsoft Security Client" > C:\log.txt i ENTER. Przedstaw wynikowy plik C:\log.txt.

 

 

 

 

.

[fresh]

Problem z kernel32.dll występuje przy próbie odpalenia programu Photoshop. Dodaje log.

log.txt

[picasso]

Proszę podaj dokładny błąd jaki pojawia się przy próbie uruchamia Photoshopa, bo samo wymienienie pliku nic nie mówi. Natomiast zadanie z MSSE wykonane pomyślnie, został rozlinkowany. Teraz dalsza część z nim związana:

 

1. Uruchom GrantPerms i w oknie wklej:

 

C:\Program Files\Microsoft Security Client\Backup
C:\Program Files\Microsoft Security Client\DbgHelp.dll
C:\Program Files\Microsoft Security Client\Drivers
C:\Program Files\Microsoft Security Client\en-us
C:\Program Files\Microsoft Security Client\EppManifest.dll
C:\Program Files\Microsoft Security Client\LegitLib.dll
C:\Program Files\Microsoft Security Client\MpAsDesc.dll
C:\Program Files\Microsoft Security Client\MpClient.dll
C:\Program Files\Microsoft Security Client\MpCmdRun.exe
C:\Program Files\Microsoft Security Client\MpCommu.dll
C:\Program Files\Microsoft Security Client\MpEvMsg.dll
C:\Program Files\Microsoft Security Client\MpOAv.dll
C:\Program Files\Microsoft Security Client\MpRTP.dll
C:\Program Files\Microsoft Security Client\MpSvc.dll
C:\Program Files\Microsoft Security Client\MsMpCom.dll
C:\Program Files\Microsoft Security Client\MsMpEng.exe
C:\Program Files\Microsoft Security Client\MsMpLics.dll
C:\Program Files\Microsoft Security Client\MsMpRes.dll
C:\Program Files\Microsoft Security Client\msseces.exe
C:\Program Files\Microsoft Security Client\MsseWat.dll
C:\Program Files\Microsoft Security Client\pl-pl
C:\Program Files\Microsoft Security Client\Setup.exe
C:\Program Files\Microsoft Security Client\SetupRes.dll
C:\Program Files\Microsoft Security Client\shellext.dll
C:\Program Files\Microsoft Security Client\SqmApi.dll
C:\Program Files\Microsoft Security Client\SymSrv.dll
C:\Program Files\Microsoft Security Client\SymSrv.yes

 

Klik w Unlock.

 

2. Start > Uruchom > wklej komendę deinstalacji i ENTER:

 

"C:\Program Files\Microsoft Security Client\Setup.exe" /x

 

To uruchomi kreator deinstalacji programu.

 

3. Zastosuj to narzędzie czyszczące: KLIK. Wybierz tryb nieautomatyczny i wskaż do deinstalacji rejestrację MSI Microsoft Security Client. Jeśli taki wpis będzie nieobecny, oznaczać to będzie, że wcześniejsza komenda deinstalacji wykonała swoje.

 

4. Sprawdź czy jesteś w stanie zainstalować ponownie program. Pomyślność zadania będzie równa potwierdzeniu usunięcia ingerencji ZeroAccess w tym obszarze.

 

 

 

.

[fresh]

1. Udało się zainstalować program. Wykrył on VirToolwin32/Obfuscator.XZ. Element zarażony to D:\Gry\NBA 2K13\rld.dll. Usunąłem ten plik.

 

2. Przy próbie odpalenie Photshop'a wyskakuje błąd.

 

Sygnatura błędu:

AppName:photoshop.exe

AppVer: 13.0.0.0

ModName: kernel32.dll

ModVer: 5.1.2600.6293

Offset: 00012fd3

 

3. Czy już pozbyłem się wszelkiego robactwa na komputerze?

[fresh]

W trakcie pełnego skanowania systemu za pomocą MSE program wyłączył się. Po próbie ponownego uruchomienia wyskakuje błąd:

 

"C:\Program Files\Microsoft Security Client\msseces.exe

 

System nie może uzyskać dostępu do pliku."

[fresh]

Znów od początku!!!!!!

 

"The certificate received indicates that this computer is infected with Sirefef.gen!C."

[picasso]

Wygląda na to, że infekcja wróciła... Czy w momencie gdy MSSE robił skan i go "wyłączyło" odwiedzałeś jakąś szczególną stronę, uruchamiałeś jakiś pobrany z internetu plik lub crack?

 

Od początku, proszę o nowy zestaw logów: OTL, GMER, Farbar Service Scanner oraz log z komendy dir o który prosiłam w poście #14.

 

 

 

 

.

[fresh]

Jakiś szczególnych raczej nie. Uruchomiłem Facebooka i przesłuchałem parę piosenek.  Żadnych gier nie włączałem.

GMER.txt

OTL.Txt

FSS.txt

log.txt

[picasso]

Tak jest, reinfekcja. Tym razem zainfekowany sterownik systemowy to afd.sys. Tylko nie rozumiem w jaki sposób doszło do reinfekcji. Wszystko wyglądało dobrze...

1. Uruchom Kaspersky TDSSKiller. Tak jak poprzednio: zostaw wszystkie akcje domyślnie dobrane przez narzędzie i zresetuj system.

2. Uruchom ComboFix. Postępuj zgodnie z opisem uruchomienia.

3. Zrób nowe logi: OTL, GMER, Farbar Service Scanner oraz log z komendy dir z posta #14. Dołącz logi utworzone przez TDSSKiller oraz ComboFix.
 
 
 
.

[fresh]

Przy próbie uruchomienia ComboFix wyskakuje "Ostrzeżenie !!" aby wyłączyć ochronę MSE. Jak mam to zrobić skoro program nie uruchamia się, a w "Dodaj lub usuń programy" nie wyświetla.