Nieaktywny antywirus

[mcww]

Witam,

mam problem z Avg Antu-Virus FreeEdition2012, jest nie aktywny, nie działa ochrona, inne antywirusy również nie działają, proszę po pomoc.

o to logi:

OTL.Txt

Extras.Txt

[picasso]

W systemie działa rootkit Necurs, co oznajmia sekcja sterowników Windows (są zablokowane = brak poboru danych) + ten sterownik rootkita:

 

========== Services (SafeList) ==========
 
SRV:64bit: - [2012-08-29 11:41:03 | 000,084,416 | ---- | M] () [unknown (-1) | Unknown] -- C:\Windows\SysNative\drivers\ff3aec12599bc249.sys -- (ff3aec12599bc249)
 
[2012-08-29 11:41:03 | 000,084,416 | ---- | M] () -- C:\Windows\SysNative\drivers\ff3aec12599bc249.sys

 

To on jest odpowiedzialny za blokowanie antywirusów. Ponadto, masz i inne infekcje: java_u.jar (KLIK) oraz niedoczyszczonego UKASHa i szczątki adware.

 

 

 

---

Akcja:

 

1. Uruchom Kaspersky TDSSKiller. Dla wyniku Rootkit.Win32.Necurs.gen zostaw akcję domyślnie dobraną przez narzędzie, a powinno to być Delete. Uwaga: TDSSKiller pokaże także ogromną ilość innych prawidłowych sterowników ze statusem "Locked" = tego nie wolno usunąć (sterowniki zostaną odblokowane, gdy działanie Necurs zostanie zdjęte) i wszędzie pozostaw domyślną akcję Skip. Zresetuj system.

 

2. Po usunięciu rootkita Necurs na Pulpicie pojawi się znak wodny "Tryb testu". Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator i wpisz komendę:

 

bcdedit /set testsigning off

 

Zresetuj system.

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Oracle Java"=-
 
:Files
C:\Users\Administrator\AppData\Roaming\java_u.jar
C:\Users\Administrator\AppData\Local\Microsoft\Windows\912
C:\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\203i6d2v.default\searchplugins\mailru---.xml
C:\Windows\Tasks\PDVD8Serv.EXE_20110126_232716_0217.job
C:\Windows\Tasks\{3506272D-DBC5-43E9-AEEE-8A835AD5BCD7}.job
C:\Windows\Tasks\{DB0B8399-C80F-4A6E-8091-BDC2D229B432}.job
 
:OTL
IE - HKCU\..\SearchScopes\{E88E0043-C9D4-4e33-8555-FEE4F5B63060}: "URL" = "http://go.mail.ru/search?q={searchTerms}&utf8in=1&fr=ietb"
FF - prefs.js..browser.search.defaultenginename: "http://www.mail.ru/"
FF - prefs.js..browser.search.defaulturl: "http://go.mail.ru/search?fr=fftb&utf8in&q="
FF - prefs.js..keyword.URL: "http://search.sweetim.com/search.asp?src=2&q="
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=15.4.3502.0922: C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll File not found
O2:64bit: - BHO: (no name) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - No CLSID value found.
O2 - BHO: (no name) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - No CLSID value found.
O2 - BHO: (no name) - {8984B388-A5BB-4DF7-B274-77B879E179DB} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - No CLSID value found.
O4:64bit: - HKLM..\Run: [WSManHTTPConfig] C:\Users\Administrator\AppData\Local\Microsoft\Windows\912\WSManHTTPConfig.exe File not found
[2012-09-05 22:50:46 | 000,000,000 | ---D | C] -- C:\ProgramData\AVAST Software
[2012-09-05 22:50:46 | 000,000,000 | ---D | C] -- C:\Program Files\AVAST Software
[2012-08-21 11:13:12 | 000,054,072 | ---- | M] (AVAST Software) -- C:\Windows\SysNative\drivers\aswRdr2.sys
[2012-08-21 11:12:33 | 000,041,224 | ---- | M] (AVAST Software) -- C:\Windows\avastSS.scr
[2012-08-21 11:12:23 | 000,227,648 | ---- | M] (AVAST Software) -- C:\Windows\SysWow64\aswBoot.exe
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany, otworzy się log z wynikami usuwania.

 

4. W Firefox w Dodatkach odmontuj SweetIM Toolbar for Firefox. Następnie uruchom AdwCleaner i zastosuj Delete. Z tego działania powstanie log na dysku C.

 

5. Niepotrzebnie zimmunizowałeś dyski twarde co dopiero uruchomionym USBFixem, tworząc foldery autorun.inf:

 

O32 - AutoRun File - [2012-09-07 20:14:39 | 000,000,000 | RHSD | M] - C:\Autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2012-09-07 20:14:39 | 000,000,000 | RHSD | M] - D:\Autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2012-09-07 20:14:39 | 000,000,000 | RHSD | M] - E:\Autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2012-09-07 20:14:39 | 000,000,000 | RHSD | M] - F:\Autorun.inf -- [ NTFS ]

 

Dlaczego na Windows 7 jest to niepożądane: KLIK. Zastosuj wskazywane w temacie narzędzie MKV, by to odkręcić.

 

6. Plik HOSTS nie ma idealnie zgodnej z Windows 7 zawartości. Zresetuj go do postaci domyślnej za pomocą automatycznego narzędzia Fix-it z artykułu: KB972034.

 

7. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL pozyskany w punkcie 3 oraz log z usuwania AdwCleaner pozyskany w punkcie 4.

 

 

 

.

[mcww]

Dziękuje na pomoc, oto załączone pliki:

OTL.Txt

09082012_104633.log.txt

AdwCleanerS5.txt

[picasso]

Rootkit definitywnie usunięty (odblokowane sterowniki + zanik sterownika rootkit). Reszta zadań też pomyślnie wykonana. Jest mały dysonans: czy na pewno usuwałeś SweetIM Toolbar for Firefox w Dodatkach? Zajął się usuwaniem pliku AdwCleaner, w preferencjach Firefox został wpis extensions.enabledAddons punktujący to rozszerzenie (dlatego jest "not found"):

 

FF - prefs.js..extensions.enabledAddons: {EEE6C361-6118-11DC-9C72-001320C79847}:1.5.0.2
 
File not found (No name found) -- C:\USERS\ADMINISTRATOR\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\203I6D2V.DEFAULT\EXTENSIONS\{EEE6C361-6118-11DC-9C72-001320C79847}.XPI

 

Oba zdarzenia nie powinny mieć miejsca przy poprawnej deinstalacji rozszerzenia. Jeszcze mam pytanie, czy ta wyszukiwarka w Google Chrome była ustawiana celowo:

 

========== Chrome  ==========
 
CHR - default_search_provider: DataLife Engine Demo (Enabled)
CHR - default_search_provider: search_url = "http://epidemz.net/index.php?story={searchTerms}&do=search&subaction=search"
CHR - default_search_provider: suggest_url = 

 

 

1. Drobna poprawka. Zamknij Firefox. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
FF - prefs.js..extensions.enabledAddons: {EEE6C361-6118-11DC-9C72-001320C79847}:1.5.0.2
[2012-09-07 17:35:13 | 000,000,027 | ---- | M] () -- C:\Windows\SysNative\drivers\etc\hosts.old

 

Klik w Wykonaj skrypt. Tym razem nie będzie restartu.

 

2. Przypuszczalnie są uszkodzone Zmienne środowiskowe (wpis z explorer.exe jako "not found", co nie jest zgodne z prawdą). Panel sterowania > System i zabezpieczenia > System > Zaawansowane ustawienia systemu > Zmienne środowiskowe > w sekcji Zmienne systemu sprawdź czy widnieje zmienna Path równa:

 

%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;%SYSTEMROOT%\System32\WindowsPowerShell\v1.0\

 

Jeśli jest, ale ma inny ciąg, zedytuj. Jeśli w ogóle jej nie ma, opcją Nowa... utwórz.

 

3. Zrób nowy log OTL z opcji Skanuj (bez Extras).

 

 

 

.

[mcww]

Usunąłem SweetIM Toolbar w Firefox, wyszukiwarki Google Chrome nie ustawiałem celowo.

OTL.Txt

[picasso]

1. Ja nadal widzę taki odczyt w logu:

 

O20:64bit: - HKLM Winlogon: Shell - (Explorer.exe) - File not found

 

Czy na pewno dobrze sprawdziłeś Zmienne środowiskowe?

 

2. Co do tej wyszukiwarki w Google Chrome, wejdź do ustawień i w zarządzaniu wyszukiwarkami przestaw domyślną z DataLife Engine Demo na cokolwiek innego, po tym DataLife Engine Demo usuń z listy.

 

 

.

[mcww]

zmienne środowiskowe zmieniłem na prawidłowe, domyślne wyszukiwarki usunąłem w Chrome. Jeszcze raz dzięki za wszystko:)

[picasso]

To nie koniec.

 

1. Porządki po narzędziach: odinstaluj USBFix, w AdwCleaner uruchom Uninstall, w OTL uruchom Sprzątanie, przez SHIFF+DEL skasuj katalog C:\TDSSKiller_Quarantine.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Wykonaj pełne skanowanie w Kaspersky Virus Removal Tool. Jeśli coś wykryje, przedstaw wyniki.

 

 

.

[mcww]

Wszystko śmiga:) Kaspersky Virus Removal Tool nic nie wykrył, dzięki wielkie:) Pozdro

[picasso]

I dopiero teraz finalizujemy

 

1. Podstawowe aktualizacje do wykonania: KLIK. Z Twojej listy zainstalowanych co należy zaadresować:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX 64-bit (wtyczka dla IE)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0CC46434-C9F1-4091-9F45-DBCCF929543F}" = Opera 11.51
"{2470870F-4F76-4C34-8D6A-C61EF365FBD0}" = Opera 11.50
"{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java™ 6 Update 33
"{548D4E14-F59D-4FA3-A357-CE5BA0D41D34}" = Opera 11.01
"{87CC8013-56D1-43E1-A0A5-AD406B4EBA95}" = Opera 10.63
"{90110415-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003
"{95A36786-E9A6-4CC8-AE28-29D038DDBDC6}" = Opera 11.52
"{977CCCA9-B420-405A-9A4A-2A610F28D10F}" = Opera 11.10
"{AA59DDE4-B672-4621-A016-4C248204957A}" = Skype™ 5.5
"{AC76BA86-7AD7-1033-7B44-A93000000001}" = Adobe Reader 9.3
"{D3397488-6A10-4972-A4B5-1CA41FBDB25A}" = Opera 11.60
"{FB6925F8-346B-44BD-ACBA-3DA3916A3146}" = Opera 11.61
"{FE6BAD47-65BD-4C5F-BDF6-DCA408E0419A}" = Opera 11.11
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin (wtyczka dla Opera/Firefox)
"Mozilla Firefox 5.0 (x86 pl)" = Mozilla Firefox 5.0 (x86 pl)
"Opera 12.01.1532_1" = Opera 12.01
"Opera 12.02.1578" = Opera 12.02
 
========== HKEY_CURRENT_USER Uninstall List ==========
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Google Chrome" = Google Chrome 18.0.1025.152

 

Zwracam uwagę, że na liście zainstalowanych jest ogromna ilość wystąpień Opery. Jak sądzę, te starsze wersje 10.x i 11.x to odpadkowe wpisy w rejestrze. Uruchom automat deinstalacyjny: KLIK. Wybierz tryb automatyczny i z listy zainstalowanych usuń wszystkie stare wejścia Opera.

 

2. Prewencyjna zmiana haseł logowania w serwisach.

 

 

PS. Komentarz poboczny na temat pary Gadu-Gadu 10 + Tlen.pl: pierwszy nie do przyjęcia, drugi zakończył żywot. Sugeruję obejrzenie alternatyw z obsługą obu sieci, np. WTW. Pełny opis komunikatora: KLIK.

 

 

.

[mcww]

Udało się Mam nadzieję ze już wszystko:)