Ciągły restart komputera i wirus sirefef.ah

[krzysztof333]

witam

 

mam dosc powazny problem z windows 7 pl.

Dwa dni temu nod wykryl wirusa w pamieci operacyjnej sirefef.ah, w pliku services.exe. Niestety mimo wielu prob nie dal sobie z nim rady. Co ciekawe, inne programy - skanery online jakos nie mogly nic znalezc. Zainstalowalem wiec microsoft esentials i on potwierdzil wirusa w pamieci, niestety podczas prob usuniecia /skanowania pojawil sie komunikat, ze system napotkal powazny blad i zostanie uruchomiony w ciagu minuty. Ta sytuacja dzieje sie w kolko, teraz to juz nic nie moge zrobic, gdyz zaraz po uruchomieniu, system sie zamyka.

Zwracam sie wiec o pomoc, w jaki sposob ( jesli mozna w jakis w miare opisowy sposob ) mozna przywrocic windows i usunac tego konia trojanskiego.

Za wszelkie sugestie bede wdzieczny.

 

pozdrawiam

 

Krzysztof

[picasso]

Przejdź w Tryb awaryjny Windows i wygeneruj logi z OTL + GMER. Nie podałeś czy to Windows 32-bit czy 64-bit, w tym drugim przypadku GMER odpada.

[krzysztof333]

Dziekuje za szybka odpowiedz, niestety w trybie awaryjnym tez jest to samo

"windows napotkal problem krytyczny i zostanie uruchomiony w ciagu jednej miknuty, Zapisz teraz swoja prace"

Nie mam mozliwosci w zasadzie na zaden ruch, zaraz nastepuje restart systemu

 

Krzysztof

[picasso]

F8 przy starcie komputera > Napraw komputer > Wiersz polecenia > wygeneruj log za pomocą narzędzia FRST uruchomionego z pendrive.

[krzysztof333]

dzieki

 

w zalaczniku - log

 

pozdrawiam

 

Krzysztof

FRST.txt

[picasso]

Raport z FRST nie przedstawia jawnego punktu ładowania infekcji. W związku z tym, że wzmiankowałeś plik services.exe, poproszę o wyszukiwanie na sumy kontrolne tego pliku. Uruchom narzędzie FRST, w polu wpisz services.exe, wciśnij przycisk Search File(s) i przedstaw wynikowy log Search.txt wygenerowany na pendrive.

[krzysztof333]

ten plik services.exe wskazal zarowno eset antywirus jak i ms essentials.

plik wynikowy:

 

Farbar Recovery Scan Tool Version: 03-06-2012

Ran by SYSTEM at 2012-06-04 22:26:57

Running from T:\

 

================== Search: "services.exe" ===================

 

C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_cf36168b2e9c967b\services.exe

[2009-07-14 00:11] - [2009-07-14 02:14] - 0259072 ____A (Microsoft Corporation) 5F1B6A9C35D3D5CA72D6D6FDEF9747D6

 

C:\Windows\System32\services.exe

[2009-07-14 00:11] - [2012-06-04 17:18] - 0259072 ____A (Microsoft Corporation) A302BBFF2A7278C0E239EE5D471D86A9

 

=== End Of Search ===

 

pozdrawiam

K

[picasso]

Plik services.exe jest naruszony:

 

C:\Windows\System32\services.exe
[2009-07-14 00:11] - [2012-06-04 17:18] - 0259072 ____A (Microsoft Corporation) A302BBFF2A7278C0E239EE5D471D86A9

 

Świeża data modyfikacji, a suma kontrolna A302BBFF2A7278C0E239EE5D471D86A9 nie odpowiada parametrom fabrycznego pliku. W systemie posiadasz prawidłową kopię pliku services.exe o sumie 5F1B6A9C35D3D5CA72D6D6FDEF9747D6 i ta kopia zostanie użyta do nadpisania pliku głównego.

 

1. Otwórz Notatnik i wklej w nim:

 

CMD: copy /y C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_cf36168b2e9c967b\services.exe C:\Windows\System32\services.exe

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i ulokuj obok narzędzia FRST na pendrive.

 

3. Uruchom FRST i zastosuj opcję Fix. Skrypt umieszczony na pendrive zostanie przetworzony i powstanie plik fixlog.txt.

 

4. Podejmij próbę uruchomienia Windows. W przypadku powodzenia wygeneruj logi z OTL + GMER. Dołącz pro forma plik fixlog.txt.

 

 

 

.

[krzysztof333]

Dzieki, chyba zadzialalo, narazie winda chodzi juz ponad 40 minut bez resetu, MS essentials tez chyba nic juz nie pokazuje, a dodatkowo wykasowalem pliki z kwarantanny. Co ciekawe esset mowil, ze to jest trojan sirefef.AH, natomiast MS Essentials ze to sirefef.EV.

Ponizej wklejam logi, mam nadzieje, ze zrobilem poprawnie

Jeszcze raz dziekuje za ratunek

 

 

Fix result of Farbar Recovery Tool (FRST written by Farbar) Version: 03-06-2012

Ran by SYSTEM at 2012-06-04 23:27:02 Run:1

Running from T:\

 

==============================================

 

 

========= copy /y C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_cf36168b2e9c967b\services.exe C:\Windows\System32\services.exe =========

 

Liczba skopiowanych plik˘w: 1.

 

========= End of CMD: =========

 

 

==== End of Fixlog ====

Extras.Txt

OTL.Txt

gmer_log.txt

[picasso]

Jak mówiłam, wyniki z fixlog.txt to formalność, sam opis aktualnego zachowania systemu jest dowodem pomyślnego wykonania akcji.

 

 

Co ciekawe esset mowil, ze to jest trojan sirefef.AH, natomiast MS Essentials ze to sirefef.EV.

 

To niuanse nazewnicze i nie ma to wybitnego znaczenia, każdy producent ma własną nomenklaturę i ta sama infekcja może występować pod kilkoma różnymi nazwami.

 

 

MS essentials tez chyba nic juz nie pokazuje, a dodatkowo wykasowalem pliki z kwarantanny.

 

Znaczniej bardziej interesuje mnie jakie pliki dodatkowe wykrywały skanery, by nie szukać czegoś co już jest zlikwidowane. Czy masz w dziennikach zdarzeń antywirusów archiwalne wyciągi z tego? Proszę dołącz, o ile tym dysponujesz.

 

 

 

.

[krzysztof333]

Dziekuje za cenne uwagi, z tych nerwow, czlowiek czasami postepuje czasami z pominieciem etykiety

Teraz juz moge pisac z wlasciwego kompa

 

wyniki skopiowane z historii infekcji - podaje w logu

 

pozdrawiam

 

Krzysztof

esetials_log.txt

eset_log.txt

[picasso]

Teraz mam jasny obraz sytuacji. Dodatkowe elementy trojana Sirefef, w postaci folderów {GUID}, zostały skasowane. Możemy przejść dalej, a zostało jeszcze trochę pracy, czyli usunięcie skutków infekcji Sirefef (modyfikacje usług Windows) oraz drobnicy adware. Dziennik zdarzeń notuje szkody wyrządzone przez trojana, czyli całkowicie skasowane z rejestru usługi Zapory systemu Windows:

 

Error - 2012-06-04 17:35:15 | Computer Name = KRZYSZTOFPC | Source = Service Control Manager | ID = 7023
Description = Usługa Przeglądarka komputera zakończyła działanie; wystąpił następujący
 błąd:   %%1060
 
Error - 2012-06-04 17:35:22 | Computer Name = KRZYSZTOFPC | Source = Service Control Manager | ID = 7003
Description = Usługa Moduły obsługi kluczy IPsec IKE i AuthIP zależy od następującej
 usługi: BFE. Ta usługa może nie być zainstalowana.
 
Error - 2012-06-04 17:36:13 | Computer Name = KRZYSZTOFPC | Source = Service Control Manager | ID = 7003
Description = Usługa Agent zasad IPsec zależy od następującej usługi: BFE. Ta usługa
 może nie być zainstalowana.

 

Przy okazji, będę korygować inny błąd z Dziennika, czyli zawieszenia usługi Hewlett-Packard, które skutkują długim rozruchem Windows:

 

Error - 2012-06-04 17:38:27 | Computer Name = KRZYSZTOFPC | Source = Service Control Manager | ID = 7022
Description = Usługa Usługa HP CUE DeviceDiscovery zawiesiła się podczas uruchamiania.

 

 

Stopniowo, w pierwszej kolejności przeczyszczenie gruntu:

 

1. Otwórz menedżer dodatków Firefox i odinstaluj: WinZipBar i paski DHL. Przez Panel sterowania odinstaluj WinZipBar Toolbar.

 

2. Zastosuj AdwCleaner z opcji Delete. Z tego działania powstanie log, do prezentacji.

 

3. Wygeneruj log z Farbar Service Scanner (wszystkie opcje zaznaczone) oraz OTL z opcji Skanuj na warunku dostosowanym, w polu Własne opcje skanowania / skrypt wklej:

 

HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s

 

Klik w Skanuj.

 

 

 

.

[krzysztof333]

witam

w zalacznikach logi wykonanych skanow

 

pozdrawiam

 

Krzysztof

AdwCleanerS1.txt

FSS.txt

OTL.Txt

[picasso]

Wg raportu z Farbar Service Scanner trojan skasował z rejestru Zaporę systemu Windows, Centrum zabezpieczeń i Windows Defender. Kolejne czynności do wykonania:

 

1. Uprzątnięcie szczątków, czyszczenie lokalizacji tymczasowych oraz rekonfiguracja usługi HP CUE Device Discovery. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
sc config hpqddsvc start= disabled /C
C:\Windows\System32\%APPDATA%
C:\Users\Krzysztof\AppData\Roaming\mozilla\Firefox\Profiles\a3snauxj.default\extensions\{50fafaf0-70a9-419d-a109-fa4b4ffd4e37}
C:\Users\Krzysztof\AppData\Roaming\mozilla\Firefox\Profiles\a3snauxj.default\extensions\{b8cbd8e0-e642-11dd-ba2f-0800200c9a66}
C:\Users\Krzysztof\AppData\Roaming\mozilla\Firefox\Profiles\a3snauxj.default\extensions\{edc0b8a5-c050-4bb2-b785-a623b4515abf}
 
:OTL
IE - HKCU\..\URLSearchHook: {50fafaf0-70a9-419d-a109-fa4b4ffd4e37} - No CLSID value found
IE - HKCU\..\SearchScopes\{F31BB791-2913-4EB7-9676-085018D3AD42}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3106777"
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {50FAFAF0-70A9-419D-A109-FA4B4FFD4E37} - No CLSID value found.
O4 - HKLM..\Run: []  File not found
O4 - HKCU..\Run: []  File not found
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} "http://download.eset.com/special/eos/OnlineScanner.cab" (Reg Error: Key error.)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami usuwania.

 

2. Odbuduj skasowane usługi:

• Rekonstrukcja usług Zapory systemu Windows: KLIK. Odtwarzasz dwie usługi (BFE i MpsSvc) a nie trzy i omijasz sfc /scannow.
  
• Rekonstrukcja usługi Centrum zabezpieczeń: KLIK.
  
• Rekonstrukcja usługi Windows Defender: KLIK.
  

3. Zresetuj system i wygeneruj nowy log z Farbar Service Scanner. Dołącz log z wynikami przetwarzania skryptu z punktu 1.

 

 

 

 

.

[krzysztof333]

mam pytania odnosnie punktu 2)

1. Czy po rekonstrukcji kazdej z uslug robie restart systemu ?, czy dopiero po wszystkich ?

2. Czy po rekonstrukcji Centrum zabezpieczen mam tez nie wykonywac sfc /scannow, czy tu w tym punkcie juz to nalezy wykonac zgodnie z opisem

 

K

[picasso]

1. Zbiorowo po wszystkich, dla wygody.

2. Skanowanie sfc /scannow nie jest tu konieczne.

[krzysztof333]

prawdopodobnie MS Defender jest dalej wylaczony

i zapora nie dziala - kod bledu : 0x80070424

 

co prawda mam esset smart security - wiec zapora tam jest wlaczona

 

zalaczam logi

 

pozdrawiam

 

Krzysztof

FSS.txt

otl_06052012_194848log.txt

[picasso]

Nie usunął się jeden z folderów śmieciarskiego rozszerzenia WinZipBar w Firefox:

 

Folder move failed. C:\Users\Krzysztof\AppData\Roaming\mozilla\Firefox\Profiles\a3snauxj.default\extensions\{50fafaf0-70a9-419d-a109-fa4b4ffd4e37} scheduled to be moved on reboot.

 

1. Uruchom GrantPerms, do okna wklej:

 

C:\Users\Krzysztof\AppData\Roaming\mozilla\Firefox\Profiles\a3snauxj.default\extensions\{50fafaf0-70a9-419d-a109-fa4b4ffd4e37}\chrome\CT3106777\content\tb\al
C:\Users\Krzysztof\AppData\Roaming\mozilla\Firefox\Profiles\a3snauxj.default\extensions\{50fafaf0-70a9-419d-a109-fa4b4ffd4e37}\chrome\CT3106777\content\tb
C:\Users\Krzysztof\AppData\Roaming\mozilla\Firefox\Profiles\a3snauxj.default\extensions\{50fafaf0-70a9-419d-a109-fa4b4ffd4e37}\chrome\CT3106777\content
C:\Users\Krzysztof\AppData\Roaming\mozilla\Firefox\Profiles\a3snauxj.default\extensions\{50fafaf0-70a9-419d-a109-fa4b4ffd4e37}\chrome\CT3106777
C:\Users\Krzysztof\AppData\Roaming\mozilla\Firefox\Profiles\a3snauxj.default\extensions\{50fafaf0-70a9-419d-a109-fa4b4ffd4e37}\chrome
C:\Users\Krzysztof\AppData\Roaming\mozilla\Firefox\Profiles\a3snauxj.default\extensions\{50fafaf0-70a9-419d-a109-fa4b4ffd4e37}

 

Klik w Unlock.

 

2. Przez SHIFT+DEL skasuj folder:

 

C:\Users\Krzysztof\AppData\Roaming\mozilla\Firefox\Profiles\a3snauxj.default\extensions\{50fafaf0-70a9-419d-a109-fa4b4ffd4e37}

 

 

zapora nie dziala - kod bledu : 0x80070424

 

Nie wykonałeś wszystkich poleceń jak należy, nie został zaimportowany plik REG MpsSvc:

 

MpsSvc Service is not running. Checking service configuration:
Checking Start type: ATTENTION!=====> Unable to open MpsSvc registry key. The service key does not exist.
Checking ImagePath: ATTENTION!=====> Unable to open MpsSvc registry key. The service key does not exist.
Checking ServiceDll: ATTENTION!=====> Unable to open MpsSvc registry key. The service key does not exist.

 

Powtarzaj kroki z odtwarzaniem usługi MpsSvc (import pliku REG + uprawnień przez SetACL) i zresetuj system.

 

 

co prawda mam esset smart security - wiec zapora tam jest wlaczona

 

Przy obecności ESET Smart Security owszem Zapora systemu Windows będzie zdeaktywowana, ale tu jest inny problem: skasowany z rejestru klucz Zapory. Windows Defender też chyba jest wyłączany przez ESET.

 

 

 

 

.

[krzysztof333]

witam

 

teraz juz powinno byc ok, po prostu nie zauwazylem, ze plik fix jest wiekszy od okna i nie skopiowalem wczesniej calosci.

Przy probie wlaczenia MS Defender otrzymuje teraz komunikat :

" Usluga zotala zatrzymana, mozna uruchomic ja recznie lub przez ponowny rozruch komputera. Kod bledu 0x800106ba "

 

pozdrawiam

 

Krzysztof

 

zalaczam log FSS

FSS.txt

[picasso]

Czy wykonałeś operacje kasowania folderu rozszerzenia Firefox?

 

 

Przy probie wlaczenia MS Defender otrzymuje teraz komunikat :

" Usluga zotala zatrzymana, mozna uruchomic ja recznie lub przez ponowny rozruch komputera. Kod bledu 0x800106ba "

 

Wg Farbar Service Scanner usługa Windows Defender pomyślnie została odtworzona w rejestrze. Aktualnie ma Typ uruchomienia ustawiony na Ręczny a nie Automatyczny + ustawioną politykę DisableAntiSpyware, co ewentualnie mógłbyś przekonfigurować w services.msc + rejestrze, ale nie rób tego. W systemie są zainstalowane antywirusy, które i tak mają na celu antykolizyjną deaktywację Windows Defender. Wspominane tu ustawienia były nieobecne przed importem fiksa rejestru (fiks zresztą ustawia Typu uruchomienia na Auto), ich pojawienie się świadczy, iż wygenerował te ustawienia któryś antywirus. Swoją drogą, aktualnie należy zredukować zestaw do tylko jednego antywirusa, ESET lub Microsoft Security Essentials, by nie obciążać systemu oraz ograniczyć potencjalne konflikty.

 

 

 

.

[krzysztof333]

tak wykonalem kasowanie rozszezenia firefoxa - mysle, ze poszlo wszystko OK.

Nie wiedzialem, ze ten Winzip Bar to jakies paskudstwo.

Antywirusa drugiego zainstalowalem po komunikatach esset-a - tego mam licencjowanego i go chyba zostawie. Dotychczas nie mialem z nim problemow.

Dziekuje za profesjonalna pomoc.

 

Krzysztof

[picasso]

Nie wiedzialem, ze ten Winzip Bar to jakies paskudstwo.

 

To jest taki mały śmieć o parametrach adware, ponieważ: jest szmuglowanym w instalatorze podstawowym obiektem dodatkowym nie związanym z funkcjami zasadniczymi, instaluje nowe elementy i przejmuje preferencje przeglądarek (wyszukiwarka Conduit).

 

 

Antywirusa drugiego zainstalowalem po komunikatach esset-a - tego mam licencjowanego i go chyba zostawie. Dotychczas nie mialem z nim problemow.

 

Tak, wiem od pierwszego posta, że drugi został doinstalowany w ramach ratowania się. Ja tylko komentuję, iż aktualna postać rzeczy nie może być zachowana, dwa czynne antywirusy z rezydentem to niepożądana kombinacja.

 

 

---

Możemy przejść do wykończeń:

 

1. Porządki po narzędziach: w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie, przez SHIFT+DEL skasuj folder C:\FRST oraz pozostałe narzędzia.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Wykonaj aktualizację Java, Google Chrome (wg ścieżek z OTL Google Chrome to wersja 17.0.963.66) oraz upewnij się, że masz najnowsze wersje Adobe Flash: KLIK.

 

4. Dla bezpieczeństwa prewencyjnie zmień hasła logowania w serwisach.

 

 

 

.

[krzysztof333]

witam

 

wszystkie zalecenia wykonane, mam nadzieje, ze wiecej niespodzianek nie bedzie.

Chcialem tylko jeszcze raz serdecznie podzekowac za wszelkie rady i skuteczna pomoc.

 

pozdrawiam

 

Krzysztof