Skocz do zawartości

Problem z Win7x64 i Sirefef


Rekomendowane odpowiedzi

Witam!

 

Mam podobny problem do takiego z tego tematu.

Microsoft Security Essential wykrył coś takiego

 

1. Win64/sirefef

2. Win64/sirefef.w

3. Win32.Phdet.E

 

oczywiście na komputerze nie da się pracować bo wyskakuje komunikat że "windows napotkal problem krytyczny i zostanie uruchomiony w ciagu jednej miknuty"

 

w załączniku log z programu FRST64

 

Czy mógłbym prosić o pomoc jak się tego pozbyć?

 

Dziękuje z góry

FRST.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Rzeczywiście jest tu infekcja ZeroAccess (Sirefef) w najnowszym wariancie i jest naruszony services.exe:

 

C:\Windows\System32\services.exe 014A9CB92514E27C0107614DF764BC06 ZeroAccess <==== ATTENTION!.

 

Plik będzie trzeba wymienić ale musisz zrobić dodatkowy raport, który ujawni czy posiadasz czysta kopię pliku w systemie - Uruchom FRST, w polu wpisz services.exe, wciśnij przycisk Search File(s) i przedstaw wynikowy log Search.txt

Odnośnik do komentarza

Farbar Recovery Scan Tool Version: 28-06-2012 02

Ran by SYSTEM at 2012-06-29 13:22:45

Running from G:\

 

================== Search: "services.exe" ===================

 

C:\Windows.old\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe

[2009-07-14 00:19] - [2009-07-14 02:39] - 0328704 ____A (Microsoft Corporation) 24ACB7E5BE595468E3B9AA488B9B4FCB

 

C:\Windows.old\Windows\System32\services.exe

[2009-07-14 00:19] - [2009-07-14 02:39] - 0328704 ____A (Microsoft Corporation) 24ACB7E5BE595468E3B9AA488B9B4FCB

 

C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe

[2009-07-14 00:19] - [2009-07-14 02:39] - 0328704 ____A (Microsoft Corporation) 24ACB7E5BE595468E3B9AA488B9B4FCB

 

C:\Windows\System32\services.exe

[2009-07-14 00:19] - [2009-07-14 02:39] - 0328704 ____A (Microsoft Corporation) 014A9CB92514E27C0107614DF764BC06

 

====== End Of Search ======

 

Dziękuje za szybką odpowiedz

 

Pozdrawiam!

Odnośnik do komentarza

Według raportu masz poprawną kopię pliku w systemie i teraz będziesz robił podmianę.

 

1. Otwórz notatnik i wklej w nim ten tekst:

 

CMD: copy /y C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe C:\Windows\System32\services.exe

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST

 

2. Uruchom FRST i zastosuj opcję Fix. Skrypt zostanie wykonany i powstanie plik fixlog.txt.

 

3. Spróbuj uruchomić Windows normalnie (nie powinno być już problemu) i wygeneruj logi z OTL Dołącz też plik fixlog.txt.

Odnośnik do komentarza

Po zastosowaniu skryptu system już uruchamia się normalnie :)

 

Będe wdzięczny za dalszą pomoc.

 

Fix result of Farbar Recovery Tool (FRST written by Farbar) Version: 28-06-2012 02

Ran by SYSTEM at 2012-06-29 15:30:06 Run:1

Running from G:\

 

==============================================

 

 

========= copy /y C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe C:\Windows\System32\services.exe =========

 

Liczba skopiowanych plików: 1.

 

========= End of CMD: =========

 

 

==== End of Fixlog ====

OTL.Txt

Extras.Txt

Odnośnik do komentarza

Teraz spod działającego systemu wykonaj jeszcze log dodatkowy - Uruchom SystemLook x64 i w oknie wklej:

 

:reg
HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s

 

Klik w Look i przedstaw wynikowy raport.

Odnośnik do komentarza

efekt sprawdzenia SystemLook:

 

SystemLook 30.07.11 by jpshortstuff

Log created at 20:06 on 29/06/2012 by Wojciech Ferenc

Administrator - Elevation successful

 

========== reg ==========

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

(No values found)

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32]

"ThreadingModel"="Both"

@="C:\Users\Wojciech Ferenc\AppData\Local\{f0c79dd9-feaf-9725-47f4-d1b0f65aea46}\n."

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}]

@="Microsoft WBEM New Event Subsystem"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32]

@="%systemroot%\system32\wbem\wbemess.dll"

"ThreadingModel"="Both"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

@="MruPidlList"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]

@="%SystemRoot%\system32\shell32.dll"

"ThreadingModel"="Apartment"

 

 

-= EOF =-

 

Pozdrawiam!

Odnośnik do komentarza

1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator i przeklej to polecenie:

 

reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f

 

Uruchom GrantPerms x64, w oknie wklej:

 

C:\Windows\system32\%APPDATA%

 

Klik w Unlock.

 

3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:Files

C:\Windows\SysWow64\drivers\str.sys

C:\Windows\system32\%APPDATA%

C:\Windows\system32\services.exe.753736FE89BDF613

C:\Windows\system32\services.exe.888662AC693FC693

C:\Windows\system32\services.exe.1DCC7EA2E0405D85

C:\Windows\system32\services.exe.FF40DE6985294D36

C:\Windows\Installer\{f0c79dd9-feaf-9725-47f4-d1b0f65aea46}

C:\Users\Wojciech Ferenc\AppData\Local\{f0c79dd9-feaf-9725-47f4-d1b0f65aea46}

 

:Commands

[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

4. Prezentujesz nowy log z OTL ze skanowania (bez ekstras), z SystemLook oraz z Farbar Service Scanner (zaznacz wszystko do skanowania)

Odnośnik do komentarza

Kolejny raz dziękuje za zainteresowanie, w załączeniu proszone logi

 

Pozdrawiam!

 

SystemLook 30.07.11 by jpshortstuff

Log created at 21:16 on 29/06/2012 by Wojciech Ferenc

Administrator - Elevation successful

 

========== reg ==========

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

(Unable to open key - key not found)

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}]

@="Microsoft WBEM New Event Subsystem"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32]

@="%systemroot%\system32\wbem\wbemess.dll"

"ThreadingModel"="Both"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

@="MruPidlList"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]

@="%SystemRoot%\system32\shell32.dll"

"ThreadingModel"="Apartment"

 

 

-= EOF =-

OTL.Txt

FSS.txt

Odnośnik do komentarza

1. Ta seria obiektów nie została usunięta:

 


C:\Windows\system32\%APPDATA%

C:\Windows\system32\services.exe.753736FE89BDF613

C:\Windows\system32\services.exe.888662AC693FC693

C:\Windows\system32\services.exe.1DCC7EA2E0405D85

C:\Windows\system32\services.exe.FF40DE6985294D36

 

Sprawdź co się dzieje jeśli będziesz próbował je usuwać przez SHIFT + DEL. Jeśli będzie odmowa dostępu wklej te ścieżki do GrantPerms i daj Unlock i spróbuj wtedy usuwać.

 

2. Odbuduj skasowane usługi omijając polecenie sfc /scannow:

  • Rekonstrukcja usług Zapory systemu Windows (MpsSvc + bfe): KLIK.
  • Rekonstrukcja usługi Centrum zabezpieczeń: KLIK.
  • Rekonstrukcja usługi Windows Defender: KLIK.

3. Prezentujesz nowy log z OTL i z FSS

Odnośnik do komentarza

Jeszcze ten folder nie jest usunięty więc zrób to (to folder od infekcji):

 

[2012-06-28 17:50:49 | 000,000,000 | -HSD | C] -- C:\Windows\SysNative\%APPDATA%

 

Jest ukryty więc przestaw opcje widoku w panelu sterowania a go zobaczysz.

 

Poza tym jest dobrze i możesz kończyć sprawę:

 

1. Użyj opcji Sprzątanie z OTL.

 

2. Opróżnij folder przywracania systemu: KLIK

 

3. Zmień hasła logowania do serwisów w sieci.

Odnośnik do komentarza

Włączyłem pokazywanie ukrytych plików, ale w katalogu windows nie ma "SysNative", a po wklejeniu scieżki system pokazuje że nie może znaleźć elementu. Czy mógł zostać usunięty wcześniej?

 

Dodatkowo wyczyściłem foldery przywracania systemu.

 

Dziwne jest natomiat to że dalej nie mogę włączyć zapory systemu Windows, a Windows Defender pokazuje że jest wyłączony.

 

 

Pozdrawiam!

Odnośnik do komentarza
Włączyłem pokazywanie ukrytych plików, ale w katalogu windows nie ma "SysNative", a po wklejeniu scieżki system pokazuje że nie może znaleźć elementu.

 

Bo SysNative to jest alias na systemach 64-bitowych i takiego folderu w praktyce nie ma. To jest po prostu System32 i tam szukaj folderu %APPDATA%

 

Dziwne jest natomiat to że dalej nie mogę włączyć zapory systemu Windows

 

Jaki błąd?

 

a Windows Defender pokazuje że jest wyłączony.

 

Z tego powodu akurat bym nie płakał. Windows Defender to żadne cuda i ja osobiście u siebie mam go całkiem wyłączonego. Jeśli jednak chcesz go tak bardzo mieć to wklej w notatnik:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender]
"DisableAntiSpyware"=dword:00000000

 

Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG >>> uruchom ten plik

Odnośnik do komentarza

OK, %APPDATA% usunięty.

 

Co do zapory to pokazuje się informacja:

"Aktualizuj ustawienia zapory

Zapora systemu Windows nie używa zalecanych ustawień w celu ochrony komputera"

a po kliknięciu w "Użyj ustawień zalecanych" okno jest przez chwile nieaktywne "brak odpowiedzi" i nic się nie zmienia

 

przy próbie wejścia w Ustawienia zaawansowane wyświetla się okno z informacją że

"Wystąpił błąd podczas otwierania przystawki Zapora systemu Windows....", oraz na koniec kod błędu 0x6D9

Odnośnik do komentarza
przy próbie wejścia w Ustawienia zaawansowane wyświetla się okno z informacją że

"Wystąpił błąd podczas otwierania przystawki Zapora systemu Windows....", oraz na koniec kod błędu 0x6D9

 

Wnioski: nie wykonałeś poprawnie rekonstrukcji Zapory. Wróć ponownie do mojego artykułu i odtwarzaj fragment SharedAccess (import pliku REG + import uprawnień przez SetACL).

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...