marada13 Opublikowano 11 Czerwca 2012 Zgłoś Udostępnij Opublikowano 11 Czerwca 2012 Witam, System VISTA32, nagle i niespodziewanie po odpaleniu kompa (przed wyłączeniem wszystko było ok): - przestał działać Microsoft Security Essential - w autostarcie znalazłem coś nowego - nazwa jak q37xw95m.exe (lub podobnie - usunąłem wpis i plik) - potem nie można było przywrócić systemu (nieznany bład) - okazało się że nie ma dostępu do Centrum zabezpieczeń - po ponownej instalacji MSE wykrył sirefef.ah i chyba inne (nie zdążyłem odczytać, bo zaczęły się ciągłe restarty - zarówno w trybie normalnym jak i awaryjnym) . Prosiłbym o pomoc w rozwiązaniu problemu. W załączeniu logi. Pozdrawiam, Mariusz FRST.txtPobieranie informacji ... OTL.TxtPobieranie informacji ... Search.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 12 Czerwca 2012 Zgłoś Udostępnij Opublikowano 12 Czerwca 2012 Istotnie, Sirefef zainfekował plik services.exe, co wyjaśnia restarty: C:\Windows\System32\services.exe[2009-07-03 17:56] - [2012-06-11 21:55] - 0279552 ____A (Microsoft Corporation) 8737764F4FD36D6808EE80578409C843 1. Otwórz Notatnik i wklej w nim: CMD: copy /y C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6002.18005_none_d14b3973ca6acc56\services.exe C:\Windows\system32\services.exe C:\Windows\Installer\{a3db0ff4-6e11-e494-0774-fadfcda4aad0} C:\Users\Mariusz\AppData\Local\{a3db0ff4-6e11-e494-0774-fadfcda4aad0} C:\Windows\System32\%APPDATA% HKU\Mariusz\...\Run: [] [x] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt. Wstaw na pendrive obok narzędzia FRST. 2. F8 przy starcie komputera > "Napraw komputer" > w linii komend uruchom zgodnie z opisem narzędzie FRST i wybierz w nim opcję Fix. Skrypt umieszczony na pendrive zostanie przetworzony i powstanie plik fixlog.txt. Restartujesz do Windows. 3. Wygeneruj do oceny logi z OTL + GMER. . Odnośnik do komentarza
marada13 Opublikowano 12 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 12 Czerwca 2012 Witam, dziękuję za szybką i trafną poradę - zastosowałem. Ponieważ pora był późna a musiałem coś zrobić przed porankiem - to wyszukłaem na forum post o podobnej problematyce ("ciągły restart komputera i wirus sirefef.ah" z 04.06.2012) odpowiadającej moim objawom i z grubsza wykonałem wszytskie zalecenia (w tym związane z rekonstrukcją usług). Na razie działa, a efekty zmian w logach. Pozdrawiam, Mariusz Extras.TxtPobieranie informacji ... OTL.TxtPobieranie informacji ... GMER.txtPobieranie informacji ... Odnośnik do komentarza
marada13 Opublikowano 12 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 12 Czerwca 2012 A jednak kicha - trojan dlaej w systemie - co jakiś czas MSE informuje o znalezieniu sirefef. Nic nie zmieniałem od czasu powyższych logów. Pozdrawiam, mariusz Odnośnik do komentarza
picasso Opublikowano 12 Czerwca 2012 Zgłoś Udostępnij Opublikowano 12 Czerwca 2012 W zasadach działu jest wyraźnie napisane, by się nie wzorować na cudzych tematach. Skutków wykonania niedopasowanej instrukcji właśnie tu doświadczasz. A obiekty charakterystyczne tylko dla Twojej infekcji (Sirefef operuje na zmiennych komponentach), które zadałam do usuwania skryptem FRST, nadal w logu. W związku z tym, że nie wiem co naprawdę przeprowadziłeś, proszę o nowy skan. Uruchom SystemLook, do okna wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe :regfind {a3db0ff4-6e11-e494-0774-fadfcda4aad0} Klik w Look. Przedstaw raport. . Odnośnik do komentarza
marada13 Opublikowano 12 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 12 Czerwca 2012 Trochę sie poprawiłem.... Sorry. Log z Systemlook. Pozdrawiam, Mariusz SystemLook 30.07.11 by jpshortstuff Log created at 16:46 on 12/06/2012 by Mariusz Administrator - Elevation successful ========== reg ========== [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] (No values found) [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32] "ThreadingModel"="Both" @="%SystemRoot%\system32\shell32.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}] @="Microsoft WBEM New Event Subsystem" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] @="%systemroot%\system32\wbem\wbemess.dll" "ThreadingModel"="Both" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] @="MruPidlList" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] @="%SystemRoot%\system32\shell32.dll" "ThreadingModel"="Apartment" ========== filefind ========== Searching for "services.exe" C:\Windows\System32\services.exe --a---- 279552 bytes [16:56 03/07/2009] [06:27 11/04/2009] D4E6D91C1349B7BFB3599A6ADA56851B C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6002.18005_none_d14b3973ca6acc56\services.exe --a---- 279552 bytes [16:56 03/07/2009] [06:27 11/04/2009] D4E6D91C1349B7BFB3599A6ADA56851B ========== regfind ========== Searching for "{a3db0ff4-6e11-e494-0774-fadfcda4aad0}" No data found. -= EOF =- Odnośnik do komentarza
picasso Opublikowano 12 Czerwca 2012 Zgłoś Udostępnij Opublikowano 12 Czerwca 2012 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Windows\Installer\{a3db0ff4-6e11-e494-0774-fadfcda4aad0} C:\Users\Mariusz\AppData\Local\{a3db0ff4-6e11-e494-0774-fadfcda4aad0} C:\Windows\System32\%APPDATA% C:\Users\Mariusz\AppData\Roaming\mozilla\Extensions\{ae2cff10-0d52-4066-8be9-4abcf119fa79} :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" "Search Bar"=- "Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{5B353A30-95A5-49A4-877C-1DA3970D2F09}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{5B353A30-95A5-49A4-877C-1DA3970D2F09}" [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search] :OTL O3 - HKLM\..\Toolbar: (no name) - {ae07101b-46d4-4a98-af68-0333ea26e113} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - HKCU..\Run: [] File not found DRV - File not found [Kernel | Disabled | Stopped] -- system32\DRIVERS\UIUSYS.SYS -- (UIUSys) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\D5A2.tmp -- (MEMSWEEP2) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\igdkmd32.sys -- (igfx) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami usuwania. 2. Wygeneruj do oceny nowy log z OTL z opcji Skanuj. Mimo że już odtwarzałeś usługi, proszę o potwierdzający skan z Farbar Service Scanner (wszystkie opcje zaznaczone). Dołącz też log powstały z usuwania OTL w punkcie 1. . Odnośnik do komentarza
marada13 Opublikowano 12 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 12 Czerwca 2012 Tak jest! Zrobione. A przy okazji - przy tych wszystkich restartach winda nie pamięta ustawień pulpitu i za każdym razem zmienia układ i rozmiar ikon na pulpicie (wszystkie do lewj krawędzi) - ustawiam na nowo, a po resecie znów to samo. Pozdrawiam, Mariusz FSS.txtPobieranie informacji ... OTL.TxtPobieranie informacji ... 06122012_172938.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 12 Czerwca 2012 Zgłoś Udostępnij Opublikowano 12 Czerwca 2012 Jeszcze drobna poprawka: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=f1c91011-3c6a-478e-b1db-" O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSaveSettings = 0 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSaveSettings = 0 O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab (Reg Error: Key error.)" [2012-06-12 14:21:22 | 000,000,000 | ---- | M] () -- C:\Windows\System32\% Klik w Wykonaj skrypt. Do oceny wystarczy tylko log z wynikami usuwania. Cytat A przy okazji - przy tych wszystkich restartach winda nie pamięta ustawień pulpitu i za każdym razem zmienia układ i rozmiar ikon na pulpicie (wszystkie do lewj krawędzi) - ustawiam na nowo, a po resecie znów to samo. To wynik duplikatu tych wpisów: ========== reg ========== [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}](No values found) [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32]"ThreadingModel"="Both"@="%SystemRoot%\system32\shell32.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]@="MruPidlList" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]@="%SystemRoot%\system32\shell32.dll""ThreadingModel"="Apartment" Start > w polu szukania wpisz regedit > z prawokliku skasuj klucz: HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} Po restarcie systemu widoki się unormują. . Odnośnik do komentarza
marada13 Opublikowano 12 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 12 Czerwca 2012 Log gotowy. 06122012_181906.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 12 Czerwca 2012 Zgłoś Udostępnij Opublikowano 12 Czerwca 2012 Zrobione. Kroki końcowe: 1. Porządki po narzędziach: w OTL uruchom Sprzątanie, przez SHIFT+DEL skasuj katalog C:\FRST oraz resztę używanych a już zbędnych narzędzi. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Dla pewności zrób pełne skanowanie swoimi programami i przedstaw wyniki czy już czysto. . Odnośnik do komentarza
marada13 Opublikowano 12 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 12 Czerwca 2012 Przeskanowałem, anti-malware - czysto, MSEssential - czysto, maszynka chodzi tak jak przedwczoraj. Serdeczne dzięki za skuteczną pomoc i porady - sam nie dałbym rady (człowiek nie czuje jak mu sie rymuje). Temat do zamknięcia. Jeszcze raz z wrazami, pozdrawiam, Mariusz Odnośnik do komentarza
picasso Opublikowano 12 Czerwca 2012 Zgłoś Udostępnij Opublikowano 12 Czerwca 2012 Na sam koniec: 1. Drobne aktualizacje: KLIK. Tu wykaz wersji (Adobe Flash niewiadomy): ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{24D753CA-6AE9-4E30-8F5F-EFC93E08BF3D}" = Skype™ 4.0"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31"{AC76BA86-7AD7-1045-7B44-A91000000001}" = Adobe Reader 9.1 - Polish"7-Zip" = 7-Zip 4.65"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin"Mozilla Firefox 11.0 (x86 pl)" = Mozilla Firefox 11.0 (x86 pl) 2. Na wszelki wypadek zmiana haseł logowania w serwisach. PS. Spoza tematu, może Cię zainteresują alternatywy dla reklamodawczego potwora GG10. Artykuł: Darmowe komunikatory. Propozycje: WTW, Miranda, Kadu, AQQ. . Odnośnik do komentarza
Rekomendowane odpowiedzi