"Blue screen" i automatyczny ponowny rozruch komputera po instalacji antywirusa

[Cyclop]

Na komputerze znajdował się nieaktualny antywirus. W sylwestra odinstalowałem avg i zainstalowałem avasta . Avast w skanowaniu przy rozruchu wykrył jakiegoś trojana. Komputer sprawował się dobrze, jednak po kilku dniach antywirus przy próbie wejścia na jakąkolwiek stronę internetową (np. google) zaczął informwać o zagrożeniu malvare uniemożliwiając dostęp do internetu. Już wtedy na komputerze zaczął wyskakiwać "blue screen", po którym następował ponowny rozruch. Przywróciłem komputer do stany sprzed instalacji avasta i zainstalowałem Nortona 360. "Blue screen" i ponowny automatyczny rozruch zaczął pojawiać się około raza dziennie. P.S. Po wykonaniu raportów odinstalowałęm Javę.

 

--------------- logi z OTL i Extras zamieściłem poniżej w załączniku --------------

 

 

Results of screen317's Security Check version 0.99.56

Windows 7 Service Pack 1 x86 (UAC is enabled)

Internet Explorer 8 Out of date!

``````````````Antivirus/Firewall Check:``````````````

Norton 360

WMI entry may not exist for antivirus; attempting automatic update.

`````````Anti-malware/Other Utilities Check:`````````

Adobe Flash Player 10 Flash Player out of Date!

Adobe Flash Player 11.1.102.55

Adobe Reader XI

Mozilla Firefox (17.0.1)

````````Process Check: objlist.exe by Laurent````````

Norton ccSvcHst.exe

`````````````````System Health check`````````````````

Total Fragmentation on Drive C:

````````````````````End of Log``````````````````````

Extras.Txt

OTL.Txt

[picasso]

Logi proszę umieszczaj jako załączniki a nie wprost w poście.

 

 

(...) jednak po kilku dniach antywirus przy próbie wejścia na jakąkolwiek stronę internetową (np. google) zaczął informwać o zagrożeniu malvare uniemożliwiając dostęp do internetu. Już wtedy na komputerze zaczął wyskakiwać "blue screen", po którym następował ponowny rozruch.

 

W logach OTL brak oznak infekcji, ale to jeszcze nic nie oznacza, bo OTL nie jest zdolny skanować obiekty rootkit. Brakuje obowiązkowego raportu z GMER. Dodaj.

 

 

 

 

.

[Cyclop]

Oto log z GMERA.

 

W stosunku do instrukcji obsługi gmera na forum, pojawiła się tam jeszcze jedna opcja "quick scan". Odznaczyłem przy niej "ptaszka".

gmer.txt

[picasso]

Log z GMER wskazuje, że w systemie działa rootkit Rloader modyfikujący sterownik sprzętowy systemu, co wyjaśniałoby BSOD:

 

---- Kernel code sections - GMER 2.0 ----
 
.text   ataport.SYS!AtaPortGetScatterGatherList + B44   839D644E 1 Byte  [CC] {INT 3 }
 
---- Threads - GMER 2.0 ----
 
Thread  System [4:328]   86B0139F
Thread  System [4:392]   874A80F4
Thread  System [4:3408]  AEF12F2E

 

 

1. Uruchom Kaspersky TDSSKiller. Powinien wykryć infekcję Virus.Win32.Rloader.a, dla której należy dobrać akcję Cure. Restart systemu.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253"
IE - HKU\S-1-5-21-2378946254-2719399970-649331198-1000\..\URLSearchHook: {687578b9-7132-4a7a-80e4-30ee31099e03} - No CLSID value found
IE - HKU\S-1-5-21-2378946254-2719399970-649331198-1000\..\SearchScopes\{A3FF8B52-584D-4E28-A254-7E8BEE2999AE}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=0F525783-B90A-42C1-8856-AC1F1612CB64&apn_sauid=8064D765-9605-4CB9-90CC-FD5FD20AD053"
IE - HKU\S-1-5-21-2378946254-2719399970-649331198-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253"
O3 - HKU\S-1-5-21-2378946254-2719399970-649331198-1000\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
[2012-12-31 21:39:01 | 000,000,000 | ---D | C] -- C:\ProgramData\AVAST Software
[2012-12-31 21:39:01 | 000,000,000 | ---D | C] -- C:\Program Files\AVAST Software
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

3. Zrób nowy log z GMER oraz OTL z opcji Skanuj (już bez Extras). Dołącz raport utworzony przez TDSSKiller.

 

 

 

 

.

[Cyclop]

Polecenia wykonane. Oto logi.

TDSSKiller.2.8.15.0_18.01.2013_16.21.59_log.txt

GMER2.txt

OTL2.Txt

[picasso]

TDSSKiller leczył zainfekowany plik:

 

16:22:22.0812 3964  Detected object count: 1
16:22:22.0812 3964  Actual detected object count: 1
16:22:39.0582 3964  C:\Windows\system32\drivers\Wdf01000.sys - copied to quarantine
16:22:58.0287 3964  Backup copy not found, trying to cure infected file..
16:22:58.0302 3964  Cure success, using it..
16:22:58.0536 3964  C:\Windows\system32\drivers\Wdf01000.sys - will be cured on reboot
16:22:58.0536 3964  Wdf01000 ( Virus.Win32.Rloader.a ) - User select action: Cure 

 

W GMER ustąpiły określone objawy, z wyjątkiem sekcji Threads. Tam nadal wisi jakiś wątek nie wiadomo od czego. Na wszelki wypadek sprawdź ponownie czy TDSSKiller coś widzi.

 

 

.

[Cyclop]

Oto raport z TDSSKiller.

Blur screeny już nie wyskakują, komputer działa normalnie.

[picasso]

Log z TDSSKiller zbędny (usuwam), skoro nic nie wykrył. Czyli sprawa załatwiona. Zakończ temat:

 

1. Mini poprawka na stronę startową IE. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_USERS\S-1-5-21-2378946254-2719399970-649331198-1000\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"

 

Klik w Wykonaj skrypt. Tym razem nie będzie restartu.

 

2. Porządki po narzędziach: przez SHIFT+DEL skasuj folder C:\TDSSKiller_Quarantine, w OTL uruchom Sprzątanie.

 

3. W Dzienniku zdarzeń masz błąd WMI numer 10. Napraw narzędziem Fix-it: KLIK.

 

4. Wyczyść foldery Przywracania systemu: KLIK.

 

5. Odinstaluj starsze wersje Adobe / Java / Silverlight, zaktualizuj Firefox, Internet Explorer oraz zainstaluj pakiet SP3 dla Office 2007: KLIK. Wg raportu obecnie masz zainstalowane w systemie wersje:

 

Internet Explorer (Version = 8.0.7601.17514)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83217010FF}" = Java 7 Update 10
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)
"ENTERPRISE" = Microsoft Office Enterprise 2007
"Mozilla Firefox 17.0.1 (x86 pl)" = Mozilla Firefox 17.0.1 (x86 pl)
 
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Program Files\Microsoft Silverlight\5.0.61118.0\npctrl.dll ( Microsoft Corporation)

 

6. Prewencyjnie zmień hasła logowania w serwisach.

 

 

 

 

.