Infekcja, brak trybu awaryjnego, brak możliwości uruchomienia AV

[vassir]

Witam

 

Logi OTL załączone.

Kilka skanów zostało już wykonanych, różnymi programami, obecnie jestem w trakcie skanu Comodo CE.

 

Co się dzieje dokładnie:

Brak możliwości zmiany ustawień windows update

program error protection module 1068 przy próbie skorzystania z Malwarebytes

reset przy chkdsc

Brak trybu awaryjnego

Ikona dostępu administratora przy najważniejszych aplikacjach.

 

Data infekcji to dziś, około godziny 15:30 jak sądzę, zignorowałem całkowicie moment, w którym wyskoczyło okienko o nowym sprzęcie, po czym nastąpił reset.

 

 

POPRAWKA

Skan Comodo zakończony, syshost zlokalizowany, usunięty dzięki czemu mogłem zrobić skan GMERem. Dodaję logi.

Extras.Txt

OTL.Txt

log.txt

[picasso]

GMER i objawy wskazują rootkita Necurs. Są aktualnie dwie aplikacje specjalizowane w jego usuwaniu.

 

1. Uruchom Kaspersky TDSSKiller. Jeśli wykryje tę infekcję, pozostaw akcje domyślnie dobrane przez narzędzie. Zresetuj system.

 

2. Zrób nowy log z GMER oraz OTL z opcji Skanuj. Dołącz log z usuwania TDSSKiller (na dysku C powstanie).

 

Po potwierdzeniu usunięcia rootkita przejdę do kolejnej partii czyszczenia.

 

 

PS. Na przyszłość: GMER nie jest przeznaczony dla systemów 64-bit. Tu wyjątkowa sytuacja, bo widzi na poziomie rejestru klucz Necurs, ale to nie zmienia faktów, że skanowanie na systemie 64-bit jest niepełnosprawne.

 

 

.

[vassir]

GMER całkowicie czysty. OTL i TDS wykonany po usunięciu, załączone.

 

Zmiany obecne po wszystkich wykonanych operacjach: CCleaner, Comodo, Malware:

AVG działa, jest zielony, aktualizacje się powiodły przez co można wykonać skanowanie, komputer wedle informacji, w pełni chroniony

OTL2.Txt

TDSSKiller.2.8.8.0_01.09.2012_05.28.24_log.txt

[picasso]

AVG zaczął działać, bo zdjęty został Necurs (blokuje sterowniki zabezpieczających aplikacji). Wg OTL ustąpiła też blokada innych driverów, co uprzednio było widzialne jako brak poboru danych:

 

 

========== Driver Services (SafeList) ==========

 

DRV:64bit: - [2012-04-18 19:08:03 | 000,188,736 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\nvhda64v.sys -- (NVHDA)

DRV:64bit: - [2012-03-01 08:46:16 | 000,023,408 | ---- | M] () [Recognizer | Boot | Unknown] -- C:\Windows\SysNative\drivers\fs_rec.sys -- (Fs_Rec)

DRV:64bit: - [2011-11-29 04:28:28 | 000,055,856 | ---- | M] () [Kernel | Boot | Running] -- C:\Windows\SysNative\Drivers\PxHlpa64.sys -- (PxHlpa64)

DRV:64bit: - [2011-07-08 07:20:48 | 000,203,320 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\ssudmdm.sys -- (ssudmdm)

DRV:64bit: - [2011-07-08 07:20:46 | 000,095,416 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\ssudbus.sys -- (dg_ssudbus)

DRV:64bit: - [2011-03-17 23:04:06 | 000,314,016 | ---- | M] () [Kernel | Auto | Running] -- C:\Windows\SysNative\drivers\atksgt.sys -- (atksgt)

DRV:64bit: - [2011-03-17 23:04:05 | 000,043,680 | ---- | M] () [Kernel | Auto | Running] -- C:\Windows\SysNative\DRIVERS\lirsgt.sys -- (lirsgt)

DRV:64bit: - [2011-03-16 22:06:35 | 000,513,080 | ---- | M] () [Kernel | Boot | Stopped] -- C:\Windows\SysNative\Drivers\sptd.sys -- (sptd)

DRV:64bit: - [2011-02-23 16:50:14 | 000,018,232 | ---- | M] () [Kernel | Boot | Running] -- C:\Windows\SysNative\Drivers\SmartDefragDriver.sys -- (SmartDefragDriver)

DRV:64bit: - [2010-12-21 02:31:00 | 000,316,080 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\SysNative\DRIVERS\e1c62x64.sys -- (e1cexpress)

DRV:64bit: - [2010-11-20 15:33:35 | 000,078,720 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\HpSAMD.sys -- (HpSAMD)

DRV:64bit: - [2010-11-20 13:07:05 | 000,059,392 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\tsusbflt.sys -- (TsUsbFlt)

DRV:64bit: - [2010-11-20 13:03:42 | 000,020,992 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\rdpvideominiport.sys -- (RdpVideoMiniport)

DRV:64bit: - [2010-11-20 12:49:51 | 000,146,432 | ---- | M] () [Kernel | Auto | Running] -- C:\Windows\SysNative\DRIVERS\RMCAST.sys -- (RMCAST)

DRV:64bit: - [2010-11-20 11:27:12 | 000,104,960 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\rpcxdr.sys -- (RpcXdr)

DRV:64bit: - [2010-11-20 11:26:56 | 000,246,272 | ---- | M] () [File_System | On_Demand | Running] -- C:\Windows\SysNative\drivers\nfsrdr.sys -- (NfsRdr)

DRV:64bit: - [2010-10-19 17:34:26 | 000,056,344 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\SysNative\DRIVERS\HECIx64.sys -- (MEIx64)

DRV:64bit: - [2010-04-27 10:30:52 | 000,184,968 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\nusb3xhc.sys -- (nusb3xhc)

DRV:64bit: - [2010-04-27 10:29:54 | 000,083,080 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\nusb3hub.sys -- (nusb3hub)

DRV:64bit: - [2009-08-21 01:52:10 | 000,079,976 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\SysNative\DRIVERS\xusb21.sys -- (xusb21)

DRV:64bit: - [2009-07-14 03:48:04 | 000,065,600 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\lsi_sas2.sys -- (LSI_SAS2)

DRV:64bit: - [2009-07-14 03:45:55 | 000,024,656 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\stexstor.sys -- (stexstor)

DRV:64bit: - [2009-07-14 02:26:13 | 000,189,440 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\mqac.sys -- (MQAC)

DRV:64bit: - [2009-07-14 02:01:09 | 000,679,936 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\xnacc.sys -- (xnacc)

DRV:64bit: - [2009-07-14 01:35:55 | 000,010,240 | ---- | M] () [File_System | On_Demand | Running] -- C:\Windows\SysNative\drivers\psxdrv.sys -- (PsxDrv)

DRV:64bit: - [2009-06-10 22:34:33 | 003,286,016 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\evbda.sys -- (ebdrv)

DRV:64bit: - [2009-06-10 22:31:59 | 000,031,232 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\hcw85cir.sys -- (hcw85cir)

DRV:64bit: - [2009-03-18 17:35:42 | 000,033,856 | -H-- | M] () [Kernel | On_Demand | Running] -- C:\Windows\SysNative\DRIVERS\hamachi.sys -- (hamachi)

 

 

Pytaniem jest: czy widzisz na Pulpicie znak wodny "Tryb testowy"? Necurs wykonuje edycję pliku startowego BCD.

 

 

---

Doczyszczenie reszty / adware:

 

1. Przez Panel sterowania odinstaluj adware uTorrentBar Toolbar.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKCU..\Run: [puush] C:\Program Files (x86)\puush\puush.exe ()
IE - HKCU\..\URLSearchHook: {cd90bf73-20f6-44ef-993d-bb920303bd2e} - No CLSID value found
 
:Files
C:\Program Files (x86)\puush
C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml
C:\Program Files (x86)\mozilla firefox\searchplugins\fcmdSrchddr.xml
C:\Program Files (x86)\mozilla firefox\searchplugins\v9.xml
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany, otworzy się log z wynikami usuwania.

 

3. Zrób nowy log OTL z opcji Skanuj (bez Extras). Dołącz log z usuwania OTL z punktu 1.

 

 

 

.

[vassir]

Skrypt wykonany, logi zalączone.

 

Utorrent toolbar nie może być odinstalowany przez brak install.log file. I faktycznie, widzę tryb testu w prawym dolnym rogu pulpitu.

09012012_161005.txt

OTL3.Txt

[picasso]

I faktycznie, widzę tryb testu w prawym dolnym rogu pulpitu.

 

Należy wyłączyć Tryb testowy, to jest robota rootkita, który modyfikował boot, by wstawić własny sterownik. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wpisz komendę:

 

bcdedit /set testsigning off

 

Zresetuj system i potwierdź, że znak wodny zniknął z Pulpitu.

 

 

Utorrent tollbar nie może być odinstalowany przez brak install.log file.

 

Na początek uruchom AdwCleaner i zastosuj Delete. Dostarcz log który utworzy z usuwania + nowy log OTL z opcji Skanuj. Jeśli AdwCleaner tego nie wyczuje, ręcznie usunę pasek.

 

 

.

[vassir]

Tryb testowy zniknął

 

Log cleanera załączony. utorrent nie zniknal z panelu ster.

 

Jedyne co mnie martwi to wciąż obecna icona uprawnień administratorskich przy pewnych programach, która wcześniej była niewidoczna, dopiero po infekcji się to pojawiło.

AdwCleanerR1.txt

[picasso]

Jedyne co mnie martwi to wciąż obecna icona uprawnień administratorskich przy pewnych programach, która wcześniej była niewidoczna, dopiero po infekcji się to pojawiło.

 

Podaj przykłady. Czy na pewno to jest nieprawidłowość?

 

 

Log cleanera załączony. utorrent nie zniknal z panelu ster.

 

Wg loga AdwCleaner go widzi, w tym wpis na liście zainstalowanych:

 

***** [Files / Folders] *****
 
Folder Found : C:\Program Files (x86)\uTorrentBar
Folder Found : C:\Users\DOMINOOO\AppData\LocalLow\uTorrentBar
Folder Found : C:\Users\Gość\AppData\LocalLow\uTorrentBar
 
***** [Registry] *****
 
Key Found : HKCU\Software\AppDataLow\Software\uTorrentBar
Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC}
Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC}
Key Found : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC}
Key Found : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\uTorrentBar Toolbar
Value Found : HKLM\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks [{BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC}]

 

Podałeś log z szukania w trybie tylko do odczytu, ja zadałam opcję Delete, która usuwa.

 

Dodatkowa uwaga: AdwCleaner usuwa też AVG Secure Search, gdyż traktuje to jako sponsora. Tak owszem jest.

 

 

.

[vassir]

No racja. Poprawny log dodany.

 

Co do programów, większość instalowanych w czasie infekcji, jak Malwareb itd, plus instalowane wcześniej programy, gry itd. W oknie ustawień dostępu jest coś takiego. http://puu.sh/10ZBj

 

Plus, nie mogłem zapisać adw loga na C przez brak uprawnień, ale nie wiem czy to ważna informacja.

 

To konto nieznane też pojawiło się po infekcji.

 

poprawka:

Utorrent zginął, więc jest dobrze.

AdwCleanersssS2.txt

[picasso]

Co do programów, większość instalowanych w czasie infekcji, jak Malwareb itd, plus instalowane wcześniej programy, gry itd. (...) Plus, nie mogłem zapisać adw loga na C przez brak uprawnień.

 

Wg mnie to wszystko wygląda prawidłowo. OTL wskazuje, że masz włączony UAC (brak detekcji wartości EnableLUA na zerze), a przy włączonym UAC ikona na określonych programach jest normalna + nie można zapisywać plików wprost na C (lokalizacja chroniona) bez podniesienia uprawnień. Oto widok kilku przykładowych aplikacji na moim wirtualnym Windows 7 z włączonym UAC:

 

 

Tu opisana odwrotność co się dzieje na terenie chronionych lokalizacji po wyłączeniu UAC: KLIK. Dodatkowo, po wyłączeniu UAC ikona nakładkowa z danej aplikacji wcale nie musi zniknąć, gdyż może nastąpić rozbieżność w obszarze cache ikon: KLIK.

 

Czyli pytanie: czy UAC było wyłączone przed Twoimi skanami?.

 

 

W oknie ustawień dostępu jest coś takiego. http://puu.sh/10ZBj (...) To konto nieznane też pojawiło się po infekcji.

 

Zrób log z sid.vbs: KLIK (punkt 3).

 

 

 

.

[vassir]

log dodany

 

wpisalem komendy w cmd, ale ikony wciaz pozostaly po uruchomieniu explorera. I tak, było wyłączone przed infekcją, podczas skanów było włączone.

SID.txt

[picasso]

Wykaz SID nie pokazuje takiego identyfikatora. Nasuwa się jedno z tych: było w systemie jakieś dodatkowe konto i zostało usunięte, bądź też do tego systemu uzyskiwano dostęp z poziomu np. innego systemu i dodało się konto dodatkowe. Po prostu usuń z listy uprawnień to dodatkowe konto.

 

 

wpisalem komendy w cmd, ale ikony wciaz pozostaly po uruchomieniu explorera. I tak, było wyłączone przed infekcją, podczas skanów było włączone.

 

vassir, ale wg Twojego loga z OTL UAC jest włączony, to czyszczenie cache ikon nie ma żadnego znaczenia (to był tylko przykład dla wyjaśnień dlaczego ikony mogą pozostać po wyłączeniu UAC). Overlay tarcz będzie na ikonach. I wszystko się zgadza wg mnie: przełączyłeś status UAC, to wyjaśnia to co Cię niepokoi (ograniczenia zapisu w root i overlay na ikonach). Tak swoją drogą to jaki ma cel wyłączanie UAC?

 

 

 

.

[vassir]

w zasadzie chyba tylko estetyczny. A przez ostatnie wydarzenia, można to potraktować jako komputerowe wynaturzenie

 

Dzięki bardzo za pomoc.

[picasso]

vassir, już się pogubiłam na czym stoimy. UAC jest aktualnie włączony czy wyłączony? Włączony: ikony będą. Wyłączony: czyszczenie cache ikon. Pomijając UAC: mam rozumieć, że wszystko jest już w porządku? I należy sfinalizować temat:

 

1. Porządki po narzędziach: w AdwCleaner zastosuj Uninstall, w OTL uruchom Sprzątanie, przez SHIFT+DEL skasuj poniższe foldery.

 

C:\TDSSKiller_Quarantine

C:\CCE_Quarantine

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Wykonaj podstawowe aktualizacje: KLIK. Z Twojej listy zainstalowanych:

 

Internet Explorer (Version = 8.0.7601.17514)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java™ 6 Update 22
"{AA59DDE4-B672-4621-A016-4C248204957A}" = Skype™ 5.5
"{AC76BA86-7AD7-1033-7B44-AA1000000001}" = Adobe Reader X (10.1.0)
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)

 

4. Prewencyjnie zmień hasła logowania w serwisach.

 

 

Uwaga poboczna: widzę w zainstalowanych Sunrise Seven. Pod żadnym pozorem nie czyść FileRepository. Ta opcja w programie to błąd, tego nie powinno być. Wyczyszczenie repozytorium sterowników ma poważne skutki uboczne (niemożność podpięcia nowych urządzeń + problemy Windows Update).

 

 

 

.

[vassir]

Zrobiłem wszystko.

 

Ostatni problem. Nie wiem dlaczego, ale mam problem z programem uTorrent, ściąganie jest niemożliwe. Odmowa dostępu. Można coś z tym zaradzić?

[picasso]

Nie wiem dlaczego, ale mam problem z programem uTorrent, ściąganie jest niemożliwe. Odmowa dostępu.

 

Gdzie konkretnie widzisz ten błąd? Jaki katalog jest ustawiony jako docelowy zapis? Czy katalog ten sprawdziłeś pod kątem uprawnień?

 

 

 

.

[vassir]

Dysk D, nie sprawdzałem pod kątem uprawnień ale tylko dysk C jest teraz przyblokowany na takie rzeczy pod kątem zapisu ( za każdym razem kiedy coś się zapisuje pojawia się komunikat że nie można zapisać na C i czy chcę zapisać w moich dokumentach )

[picasso]

Root dysku C:\ nie wskazuj, przy aktywnym UAC jest to lokalizacja chroniona. Natomiast w konfiguracji uTorrent spróbuj zmienić katalog dla pobierania na D:\jakiś folder.

 

 

.

[vassir]

Sprawdzę w domu, być może się coś zmieniło po infekcji, bo przed było tak, że wszystkie pliki czy to ściągane czy ściągnięte były zapisywane na D.

[vassir]

Tak jak sądziłem, wszystko jest ustawione na dysk D, dlatego totalnie nie wiem, o co chodzi z tym brakiem dostępu.

[picasso]

Ale root D:\ czy D:\jakiś folder jak mówiłam? Jeśli masz ustawiony root, to zmień to na obojętny folder zlokalizowany na tym dysku.

[vassir]

Już działa, wyłączyłem powiadomienia kontroli użytkownika, a folder był D:\jakiś.