paweldiabel Opublikowano 7 Czerwca 2012 Zgłoś Udostępnij Opublikowano 7 Czerwca 2012 Witam!! Jak w temacie Pc złapał bakterie typu: esecik nie dał rady C:\Windows\assembly\GAC_32\Desktop.ini - Win32/Sirefef.EZ trojanC:\Windows\assembly\GAC_64\Desktop.ini - Win64/Sirefef.AD trojan walczylem za pomoca combofix,który poradził sobie z bakteriami lecz po ponownym uruchomieniu windy problem powrócił. Powtórzyłem leczenie przez combofix lecz program nie chce ponownie sie uruchomic... Combo uruchamia sie prawidłowo http://www.fotosik.pl/pokaz_obrazek/de39ceb2e7332cb8.html lecz po wylaczeniu esetu wcisnieciu "OK" wyskakuje http://www.fotosik.pl/pokaz_obrazek/4b9db85049611d8b.html i program nie uruchamia sie Eseczik Zaczoł rowniez wyrzacacz siebie informacje na temat C:\Windows\Installer\{2ced0e94-1dbb-23d2-2653-13daabb5dea7}\U\00000008.@ - Win64/Agent.BA trojan - cleaned by deleting - quarantined C:\Windows\Installer\{2ced0e94-1dbb-23d2-2653-13daabb5dea7}\U\80000032.@ - probably a variant of Win32/Sirefef.EU trojan - cleaned by deleting - quarantined pozdrawiam! proszę o pozytywne rozpatrzenie tego przypadku Odnośnik do komentarza
Landuss Opublikowano 7 Czerwca 2012 Zgłoś Udostępnij Opublikowano 7 Czerwca 2012 Zacznijmy od tego - kto ci kazał tu w ogóle używać ComboFix? To wcale nie jest konieczne. Na początek proszę o wykonanie w twoim wypadku logów z OTL. Od razu wykonasz log poszerzony pod kątem najnowszej wersji ZeroAccess. A więc pobierz i uruchom OTL, wszystkie opcje ustaw na "Użyj filtrowania" natomiast w okno Własne opcje skanowania / skrypt wklej: netsvcs C:\Windows\system32\consrv.dll /64 C:\Windows\assembly\GAC_64\*.* C:\Windows\assembly\GAC_32\*.* dir /s /a C:\Windows\assembly\temp /C dir /s /a C:\Windows\assembly\tmp /C HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s /md5start services.exe /md5stop Klikasz w Skanuj i prezentujesz logi, które umieść opcją załączniki na forum. Odnośnik do komentarza
paweldiabel Opublikowano 7 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 7 Czerwca 2012 Zacznijmy od tego - kto ci kazał tu w ogóle używać ComboFix? tu?? nikt:| ale już bede słuchał OTL.Txt Extras.Txt Odnośnik do komentarza
Landuss Opublikowano 7 Czerwca 2012 Zgłoś Udostępnij Opublikowano 7 Czerwca 2012 Sprawa jest jasna, usuwane składniki infekcji wracają bo jest zainfekowany services.exe: < MD5 for: SERVICES.EXE > [2009-07-14 03:39:37 | 000,328,704 | ---- | M] (Microsoft Corporation) MD5=24ACB7E5BE595468E3B9AA488B9B4FCB -- C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe [2009-07-14 03:39:37 | 000,329,216 | ---- | M] (Microsoft Corporation) MD5=50BEA589F7D7958BDD2528A8F69D05CC -- C:\Windows\SysNative\services.exe Suma kontrolna 50BEA589F7D7958BDD2528A8F69D05CC odpowiada modyfikacji ZeroAccess. 1. Wykonaj komendę sfc /scannow w celu naprawienia pliku i za pomocą kolejnej komendy przefiltruj log do wystąpień znaczników [sR]: KLIK. Zachowaj wynikowy log. 2. Uruchom BlitzBlank i w karcie Script wklej: DeleteFolder: C:\Windows\Installer\{2ced0e94-1dbb-23d2-2653-13daabb5dea7} DeleteFile: C:\Windows\assembly\GAC_64\Desktop.ini C:\Windows\assembly\GAC_32\Desktop.ini Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Execute Now. Zatwierdź restart komputera. BlitzBlank wygeneruje na dysku C log z usuwania. 3. Reset Winsock: Start > Uruchom > cmd i wpisz komendę netsh winsock reset. Zresetuj system. 4. Przedstawiasz logi z: - filtrowania SFC z punktu 1 - Blitzblank z punktu 2 - nowy log z OTL na dodatkowym warunku tak jak poprzednio opcją Skanuj - log z Farbar Service Scanner z wszystkimi opcjami zaznaczonymi. Odnośnik do komentarza
paweldiabel Opublikowano 8 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 8 Czerwca 2012 Witam przedstawiam raporty.. BlitzBlank 1.0.0.32 File/Registry Modification Engine native application MoveDirectoryOnReboot: sourceDirectory = "\??\c:\windows\installer\{2ced0e94-1dbb-23d2-2653-13daabb5dea7}", destinationDirectory = "(null)", replaceWithDummy = 0 MoveFileOnReboot: sourceFile = "\??\c:\windows\installer\{2ced0e94-1dbb-23d2-2653-13daabb5dea7}\@", destinationFile = "(null)", replaceWithDummy = 0 MoveDirectoryOnReboot: sourceDirectory = "\??\c:\windows\installer\{2ced0e94-1dbb-23d2-2653-13daabb5dea7}\L", destinationDirectory = "(null)", replaceWithDummy = 0 MoveFileOnReboot: sourceFile = "\??\c:\windows\installer\{2ced0e94-1dbb-23d2-2653-13daabb5dea7}\L\00000004.@", destinationFile = "(null)", replaceWithDummy = 0 MoveFileOnReboot: sourceFile = "\??\c:\windows\installer\{2ced0e94-1dbb-23d2-2653-13daabb5dea7}\L\00000008.@", destinationFile = "(null)", replaceWithDummy = 0 MoveDirectoryOnReboot: sourceDirectory = "\??\c:\windows\installer\{2ced0e94-1dbb-23d2-2653-13daabb5dea7}\U", destinationDirectory = "(null)", replaceWithDummy = 0 MoveFileOnReboot: sourceFile = "\??\c:\windows\installer\{2ced0e94-1dbb-23d2-2653-13daabb5dea7}\U\00000004.@", destinationFile = "(null)", replaceWithDummy = 0 MoveFileOnReboot: sourceFile = "\??\c:\windows\installer\{2ced0e94-1dbb-23d2-2653-13daabb5dea7}\U\00000008.@", destinationFile = "(null)", replaceWithDummy = 0 MoveFileOnReboot: sourceFile = "\??\c:\windows\installer\{2ced0e94-1dbb-23d2-2653-13daabb5dea7}\U\000000cb.@", destinationFile = "(null)", replaceWithDummy = 0 MoveFileOnReboot: sourceFile = "\??\c:\windows\installer\{2ced0e94-1dbb-23d2-2653-13daabb5dea7}\U\80000032.@", destinationFile = "(null)", replaceWithDummy = 0 MoveFileOnReboot: sourceFile = "\??\c:\windows\assembly\gac_64\desktop.ini", destinationFile = "(null)", replaceWithDummy = 0 MoveFileOnReboot: sourceFile = "\??\c:\windows\assembly\gac_32\desktop.ini", destinationFile = "(null)", replaceWithDummy = 0 FSS.txt OTL.Txt sfc.txt Odnośnik do komentarza
Landuss Opublikowano 8 Czerwca 2012 Zgłoś Udostępnij Opublikowano 8 Czerwca 2012 Wszystko wygląda na poprawnie wykonane. Infekcja została usunięta i nic nie powróciło. Można wykonać dalsze czynności korygujące. 1. Wklej do notatnika systemowego ten tekst: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend] "DisplayName"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-103" "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,73,00,65,00,63,00,73,00,76,00,63,00,73,00,00,00 "Start"=dword:00000002 "Type"=dword:00000020 "Description"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-1176" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00 "ObjectName"="LocalSystem" "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,\ 00,6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,\ 65,00,00,00,53,00,65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,\ 74,00,6f,00,72,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\ 00,00,00,53,00,65,00,44,00,65,00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,\ 69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,68,00,61,00,6e,00,67,\ 00,65,00,4e,00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,\ 6c,00,65,00,67,00,65,00,00,00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,\ 00,74,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 53,00,65,00,53,00,68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6e,00,63,00,\ 72,00,65,00,61,00,73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,41,00,73,00,73,00,\ 69,00,67,00,6e,00,50,00,72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,\ 00,65,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 00,00 "DelayedAutoStart"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,69,\ 00,6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,\ 20,00,44,00,65,00,66,00,65,00,6e,00,64,00,65,00,72,00,5c,00,6d,00,70,00,73,\ 00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Security] "Security"=hex:01,00,14,80,dc,00,00,00,e8,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,ac,00,06,00,00,00,00,00,28,00,ff,01,0f,00,01,06,00,00,00,00,00,\ 05,50,00,00,00,b5,89,fb,38,19,84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,\ 00,0b,28,00,00,00,00,10,01,06,00,00,00,00,00,05,50,00,00,00,b5,89,fb,38,19,\ 84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,00,00,14,00,fd,01,02,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,\ 05,20,00,00,00,20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,\ 04,00,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,01,\ 01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo\0] "Type"=dword:00000005 "Action"=dword:00000001 "GUID"=hex:e6,ca,9f,65,db,5b,a9,4d,b1,ff,ca,2a,17,8d,46,e0 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender] "DisableAntiSpyware"=dword:00000000 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku opcja Scal Jeśli wyskoczy jakiś błąd (co może się zdarzyć) po prostu go zignoruj. 2. Uruchom AdwCleaner z opcji Delete 3. Prezentujesz już tylko nowy log z FSS oraz z OTL (bez ekstras) Odnośnik do komentarza
paweldiabel Opublikowano 8 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 8 Czerwca 2012 Wyskoczył błąd... w załaczniku FSS.txt OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 8 Czerwca 2012 Zgłoś Udostępnij Opublikowano 8 Czerwca 2012 Błąd był spodziewany, ale mimo tego wszystko zostało poprawnie wykonane. Możesz w takim razie przejść do czynności końcowych: 1. Wklej do notatnika systemowego ten tekst: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{FE9D6929-D583-4b0b-98B8-B0D683887D05}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{FE9D6929-D583-4b0b-98B8-B0D683887D05}] Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG >>> uruchom ten plik 2. Użyj opcji Sprzątanie z OTL oraz Uninstall z AdwCleaner. Pozostałe programy użyte do usuwania infekcji też usuń. 3. Opróżnij folder przywracania systemu: KLIK 4. Zaktualizuj Jave i FF do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216013FF}" = Java 6 Update 26 "Mozilla Firefox 12.0 (x86 pl)" = Mozilla Firefox 12.0 (x86 pl) Szczegóły aktualizacyjne: KLIK 5. W ramach bezpieczeństwa zmień hasła logowania do najważniejszych serwisów w sieci. To by było wszystko z mojej strony. Pozostaje twoje podsumowanie czy wszystko jest już jak powinno. Odnośnik do komentarza
paweldiabel Opublikowano 8 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 8 Czerwca 2012 punkt pierwszy wykonany punkt drugi tez punkt 3: "Wystąpił nieoczekiwany błąd na stronie właściwości: Błąd przywracania systemu. Spróbuj ponownie użyć przywracania systemu. (0x81000203) Zamknij stronę właściwości i spróbuj ponownie." Odnośnik do komentarza
Landuss Opublikowano 8 Czerwca 2012 Zgłoś Udostępnij Opublikowano 8 Czerwca 2012 Ten błąd jest mi znany. Możliwe, że chodzi tu o kwestię usługi Dostawca kopiowania w tle oprogramowania firmy Microsoft Pobierz sobie jeszcze raz OTL na dysk, uruchom go, wszystkie opcje ustaw na Żadne + Brak i w oknie Własne opcje skanowania / skrypt wklej: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\swprv /s /md5start swprv.dll /md5stop Kliknij w Skanuj. Wklej wynikowy raport. Odnośnik do komentarza
paweldiabel Opublikowano 8 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 8 Czerwca 2012 gotowe OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 8 Czerwca 2012 Zgłoś Udostępnij Opublikowano 8 Czerwca 2012 Log wykazuje, ze ta usługa jest u ciebie wyłączona a tak być nie powinno. Wciśnij klawisz z flagą Windows + R wpis services.msc i z prawokliku Uruchom jako Administrator. Na liście dwuklik na usługę "Dostawca kopiowania w tle oprogramowania firmy Microsoft" i Typ uruchomienia zmień z Wyłączony na Ręczny Zrestartuj system. Daj znać czy dalej masz problem z przywracaniem. Odnośnik do komentarza
paweldiabel Opublikowano 8 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 8 Czerwca 2012 poszło jak po sznurku. przywracanie systemu zakonczone pomyślnie. aktualizacje zrobione. dziękuje za istruktarz oraz pomoc Odnośnik do komentarza
Rekomendowane odpowiedzi