majster1976 Opublikowano 4 Czerwca 2012 Zgłoś Udostępnij Opublikowano 4 Czerwca 2012 Witam. Avast zgłasza infekję Win64:Sirefef-A [Trj], Win32:Sirefef-AO [Rtk] i jeszcze jakąś gen.Malware. Logi poniżej: Pozdrawiam. Odnośnik do komentarza
Landuss Opublikowano 4 Czerwca 2012 Zgłoś Udostępnij Opublikowano 4 Czerwca 2012 Jest infekcja ZeroAccess i to w najnowszym wydaniu co sugeruje Gmer: ---- Processes - GMER 1.0.15 ---- Library c:\windows\system32\n (*** hidden *** ) @ C:\Program Files\Internet Explorer\iexplore.exe [2260] 0x45670000 Library c:\windows\system32\n (*** hidden *** ) @ C:\Program Files\Internet Explorer\iexplore.exe [2760] 0x45670000 Potrzebny kolejny raport na warunku dostosowanym. Uruchom OTL, wszystkie opcje ustaw na Brak + Żadne, w sekcji Własne opcje skanowania / skrypt wklej: HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s /md5start services.exe /md5stop Klik w Skanuj i przedstaw raport. Odnośnik do komentarza
majster1976 Opublikowano 5 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 5 Czerwca 2012 W miedzyczasie sytuacja się zmieniła. Przestał chodzić internet (internet Explorer się nie właczał), Zacząłem kombinować, najpierw z przywracaniem systemu, co nic nie dało. a system nie urochamia się w trybie normalnym (stoi na ładowaniu ustawień użytkownika). Założyłem nowe konto. Piszę teraz z trybu awaryjnego z obsługą sieci na starym koncie. W tym środowisku uruchomiłem OTL Odnośnik do komentarza
Landuss Opublikowano 5 Czerwca 2012 Zgłoś Udostępnij Opublikowano 5 Czerwca 2012 Nie ma się co dziwić, ze są tego typu problemy. ZeroAccess (Sirefef) to infekcja z wysokiej półki. Przejdziesz teraz do usuwania. Ma ono być prowadzone z konta, na którym jest problem. 1. Otwórz Notatnik i wklej w nim: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f reg delete HKLM\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f reg add HKLM\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /ve /t REG_SZ /d C:\WINDOWS\system32\wbem\wbemess.dll /f Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Plik umieść wprost na C:\. 2. Uruchom BlitzBlank i w karcie Script wklej: DeleteFolder: C:\WINDOWS\Installer\{ff24043d-55f8-5ce9-a20a-8337d9b4b888} "C:\Documents and Settings\Ksiegowosc1\Ustawienia lokalne\Dane aplikacji\{ff24043d-55f8-5ce9-a20a-8337d9b4b888}" Execute: C:\fix.bat Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Execute Now. Zatwierdź restart komputera. BlitzBlank wygeneruje na dysku C log z usuwania. 3. Zaprezentuj raport z BlitzBlank oraz log z OTL na warunku dostosowanym tak jak poprzednio. Odnośnik do komentarza
majster1976 Opublikowano 5 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 5 Czerwca 2012 mam głupi problem. Mam najniższą rozdzielczosc i nie mogę kliknąc w execute now Odnośnik do komentarza
Landuss Opublikowano 5 Czerwca 2012 Zgłoś Udostępnij Opublikowano 5 Czerwca 2012 No to nie możesz przestawić na większą? Albo przesunąć okna z programem? Nie spotkałem się jeszcze z tym problemem. Odnośnik do komentarza
majster1976 Opublikowano 5 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 5 Czerwca 2012 (edytowane) Nie mogę. Okno do tego programu jest niestandardowe i nie działa skrót alt-spacja. Mogę chwycić okno myszką i przesunąć, wtedy widzę ten przycisk, gry jednak puszczę myszkę okno wraca na swoje miejsce. Śmieszne. Ale być może sobie poradzę: uruchomiłem w trybie VGA. Tu mogłem zmienić rozdzielczość na 800x600. Niestety w tym trybie zawiesił się Internet Explorer a skryptu nie zapisałem wcześniej (kopiowałem wtedy z posta, w awaryjnym z obsługą sieci internet działał). . Martwią mnie jeszcze dwie rzeczy. Log Gmera w trybie normalnym był wykonywany prawdopodobnie z aktywnym sterownikiem stpd (tak to się pisze?) chociaż nie ma żadnych napędów wirtualnych. Zorientowałem się uruchamiając system w trybie awaryjnym. Podczas ładowania było coś w stylu "to load stpd press now Enter". Druga sprawa to to że nie mogę zalogować się nawet na to drugie konto w trybie normanym, też wisi na ładowaniu ustawień uźytkownika. Aktualnie nie mam dostępu do tego komputera będę walczył jutro rano. Skopuję teraz zawartość skryptu i przyniosę na pendrajwie. Edycja: Poradziłem sobie w trybie VGA. Wszystko działa dobrze. logi: Edytowane 6 Czerwca 2012 przez majster1976 Odnośnik do komentarza
Landuss Opublikowano 6 Czerwca 2012 Zgłoś Udostępnij Opublikowano 6 Czerwca 2012 W porządku, można kończyć sprawę. 1. Wklej do notatnika: reg delete HKLM\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT i uruchom ten plik z dwukliku 2. Użyj opcji Sprzątanie z OTL. 3. Opróżnij folder przywracania systemu: KLIK 4. Java i Adobe Reader do aktualizacji: KLIK 5. Możesz wykonać skan przez Malwarebytes Anti-Malware 6. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci. Odnośnik do komentarza
majster1976 Opublikowano 6 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 6 Czerwca 2012 Dzięki za pomoc! Skan przez malwarebytes się jeszcze robi, ale dotychczas wykrył dwa zarażone pliki. Po zakończeniu zrobić skip i przedstawić raport czy usuwać? Odnośnik do komentarza
Landuss Opublikowano 6 Czerwca 2012 Zgłoś Udostępnij Opublikowano 6 Czerwca 2012 Najpierw wolałbym abyś przedstawił raport i dopiero wtedy podejmie się kroki czy usuwać czy nie. Odnośnik do komentarza
majster1976 Opublikowano 6 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 6 Czerwca 2012 Oto log: Odnośnik do komentarza
Landuss Opublikowano 6 Czerwca 2012 Zgłoś Udostępnij Opublikowano 6 Czerwca 2012 Dwie pozycje do usunięcia natomiast ten wynik z total-copy zignoruj. Odnośnik do komentarza
majster1976 Opublikowano 6 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 6 Czerwca 2012 (edytowane) Ogromne dzięki. Zrobione. Program prosił o restart systemu. Pewnie wszystko usunął. Total Copy też pozwoliłem sobie usunać. Jaki program antywirusowy polecasz? Najlepiej darmowy. Komputer jest nie pierwszej młodości, ale ponag giga pamięci ma. Czy warto instalować ten antiwirus Microsoftu, Czy może po prostu zaktualizować Avasta do wersji 7?. Czy zesoaccess rozprzestrzenia się przez pendrajwy, Nie chciałbym się powtórnie zarazić. Edycja: Nie działa windowsowa zapora i nie mogę jej właczyć. Na razie zainstalowałem M$ Security Essentials Edytowane 6 Czerwca 2012 przez majster1976 Odnośnik do komentarza
Landuss Opublikowano 6 Czerwca 2012 Zgłoś Udostępnij Opublikowano 6 Czerwca 2012 Czy warto instalować ten antiwirus Microsoftu, Czy może po prostu zaktualizować Avasta do wersji 7?. To zależy tylko od Ciebie i jest obojętne. Czy zesoaccess rozprzestrzenia się przez pendrajwy, Nie chciałbym się powtórnie zarazić. Ta infekcja nie ma nic wspólnego z pendrivami, nie rozprzestrzenia się w ten sposób. Nie działa windowsowa zapora i nie mogę jej właczyć Tylko zapora czy całe centrum zabezpieczeń? naprawię i jedno i drugie. Tak czy inaczej to wygląda na robotę ZeroAccess i wymaga naprawy. Wklej do notatnika ten tekst: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess] "DependOnGroup"=hex(7):00,00 "DependOnService"=hex(7):4e,00,65,00,74,00,6d,00,61,00,6e,00,00,00,57,00,69,00,\ 6e,00,4d,00,67,00,6d,00,74,00,00,00,00,00 "Description"="Zapewnia usługi translacji adresów sieciowych, adresowania, rozpoznawania nazw i/lub blokowania dostępu intruzów wszystkim komputerom w sieci domowej lub biurowej." "DisplayName"="Zapora systemu Windows/Udostępnianie połączenia internetowego" "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "ObjectName"="LocalSystem" "Start"=dword:00000002 "Type"=dword:00000020 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch] "Epoch"=dword:000000ee [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters] "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 69,00,70,00,6e,00,61,00,74,00,68,00,6c,00,70,00,2e,00,64,00,6c,00,6c,00,00,\ 00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup] "ServiceUpgrade"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup\InterfacesUnfirewalledAtUpdate] "All"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Enum] "0"="Root\\LEGACY_SHAREDACCESS\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc] "Type"=dword:00000020 "Start"=dword:00000002 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "DisplayName"="Centrum zabezpieczeń" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,77,00,69,00,6e,00,\ 6d,00,67,00,6d,00,74,00,00,00,00,00 "ObjectName"="LocalSystem" "Description"="Monitoruje ustawienia zabezpieczeń i konfiguracje systemu." [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Parameters] "ServiceDll"=hex(2):25,00,53,00,59,00,53,00,54,00,45,00,4d,00,52,00,4f,00,4f,\ 00,54,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,73,00,63,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Enum] "0"="Root\\LEGACY_WSCSVC\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik O efektach poinformuj. Odnośnik do komentarza
majster1976 Opublikowano 6 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 6 Czerwca 2012 zanim to zrobię jeszcze pytanie. U mnie centrum zabezpieczeń wygląda tak: Nieco inaczej niż na XP na sąsiednim komputerze. Czy patch jest bezpieczny? na czystym komputerze jest tak: Oba komputery xp prof sp3 Odnośnik do komentarza
Landuss Opublikowano 8 Czerwca 2012 Zgłoś Udostępnij Opublikowano 8 Czerwca 2012 To nie ma żadnego znaczenia dla wykonania powyższych moich instrukcji. Nie o wygląd tu chodzi tylko o rejestr. Odnośnik do komentarza
majster1976 Opublikowano 8 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 8 Czerwca 2012 Po restarcie zapora zaczeła działać. A przynajmniej pokazało się jej okienko z właczonymi ustawieniami. Wielkie dzięki. Pozdrawiam. Odnośnik do komentarza
Rekomendowane odpowiedzi