xennon Opublikowano 23 Lutego 2013 Zgłoś Udostępnij Opublikowano 23 Lutego 2013 Witam drogich specjalistów. Przedstawiam dolegliwości kompa: ESET NOD32 jest wyłączony i raportuje, że ma uszkodzony moduł i żeby przeinstalować go. Wykrywa też rootkita w pamięci. Przy próbie naprawy antywirusa wyskakuje błąd systemowy i nie idzie naprawić. Wszelkie zabezpieczenia systemowe i aktualizacje są wyłączone. Załączam wymagane logi. Przy uruchomieniu gmera wyskoczył dodatkowo błąd, stąd załączam zrzut błędu. Kolejny zrzut już z wynikiem pokazuje opcje, które mogłem zaptaszkować dla pełnego skanu (nie dało się wszystkich). Pozdrawiam! gmer_log.txt gmer_log_quick.txt OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 23 Lutego 2013 Zgłoś Udostępnij Opublikowano 23 Lutego 2013 Siedzi tu rootkit Necurs, którego jedna z ról to blokada oprogramowania zabezpieczającego. 1. Uruchom ESET Necurs Remover. Zresetuj system. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL SRV - [2013-01-24 20:33:09 | 000,057,344 | ---- | M] () [Auto | Stopped] -- C:\Documents and Settings\Kozakiewicz\Ustawienia lokalne\temp\DAT1318.tmp.exe -- (jmsmxofeftaqfvj) SRV - [2013-01-24 20:33:01 | 000,061,440 | ---- | M] () [Auto | Running] -- C:\WINDOWS\Installer\{A9A1DCF2-B263-0A66-5B7C-844D3B4A108B}\syshost.exe -- (syshost32) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\VBoxNetFlt.sys -- (VBoxNetFlt) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\tifm21.sys -- (tifm21) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\KOZAKI~1\USTAWI~1\Temp\catchme.sys -- (catchme) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\t -- (aksusb) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\akshhl.sys -- (akshhl) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\akshasp.sys -- (akshasp) O3 - HKU\S-1-5-21-3859823971-3261552694-948437020-1006\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found. O3 - HKU\S-1-5-21-3859823971-3261552694-948437020-1006\..\Toolbar\WebBrowser: (no name) - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No CLSID value found. O4 - HKU\S-1-5-21-3859823971-3261552694-948437020-1006..\Run: [AML] C:\Documents and Settings\All Users\Dane aplikacji\c0a378\AMc0a_2121.exe () O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-21-3859823971-3261552694-948437020-1006\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-21-3859823971-3261552694-948437020-1006\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} "http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB" (Reg Error: Key error.) O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab" (Reg Error: Key error.) :Files C:\WINDOWS\System32\drivers\qstr.sys C:\WINDOWS\Installer\{A9A1DCF2-B263-0A66-5B7C-844D3B4A108B} C:\Documents and Settings\All Users\Dane aplikacji\c0a378 c:\Documents and Settings\Kozakiewicz\Ustawienia lokalne\temp :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 3. Odinstaluj stare Ad-Aware. 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras) oraz log z GMER, ale po usunięciu DAEMON Tools i okropnie archaicznych jego sterowników: DRV - [2003-12-27 20:42:12 | 000,137,216 | ---- | M] ( ) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\d344bus.sys -- (d344bus)DRV - [2003-12-27 02:38:10 | 000,005,248 | ---- | M] ( ) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\d344prt.sys -- (d344prt) Dołącz log z usuwania OTL powstały w punkcie 2. . Odnośnik do komentarza
xennon Opublikowano 24 Lutego 2013 Autor Zgłoś Udostępnij Opublikowano 24 Lutego 2013 Załączam nowe logi. Tym razem GMER już miał wszystko zaptaszkowane. ESET wykrywa mi jeszcze trojany w system restore (rozumiem, że mam usunąć punkty przywracania systemu?) oraz w system startup (inne trojany). OTL - 02232013_171829.txt OTL.Txt gmer2.txt Odnośnik do komentarza
picasso Opublikowano 24 Lutego 2013 Zgłoś Udostępnij Opublikowano 24 Lutego 2013 Tym razem GMER już miał wszystko zaptaszkowane. Ustały czynności Necurs, dlatego. ESET wykrywa mi jeszcze trojany w system restore (rozumiem, że mam usunąć punkty przywracania systemu?) oraz w system startup (inne trojany). Czyszczenie folderów Przywracania systemu na końcu, tu jeszcze odbywają się akcje. Natomiast nie jest dla mnie jasne o co chodzi z "w system startup" = przeklej te wyniki. Sterownik Necurs pomyślnie wyłączony, teraz można go usunąć. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL DRV - [2013-01-24 20:34:05 | 000,059,776 | ---- | M] () [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\drivers\328283668ce358b1.sys -- (328283668ce358b1) [2012-11-25 16:01:15 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\tmp :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. 2. Przedstaw do oceny tylko log z usuwania, nowy skan OTL nie jest potrzebny. . Odnośnik do komentarza
xennon Opublikowano 24 Lutego 2013 Autor Zgłoś Udostępnij Opublikowano 24 Lutego 2013 Załączam log z OTL i wyeksportowany events log z NOD32. Chodzilo mi pewnie o to, że to "startup scanner" wykrył tego trojana (pierwsza pozycja). Chyba już jest ok, bo dzisiaj jak uruchamiam już to żadnych ostrzeżeń. Przeklejam fragment loga z NODa: <ESET> - <LOG> - <RECORD> - <COLUMN NAME="Time"> <DATE>2013-02-23</DATE> <TIME>23:48:41</TIME> </COLUMN> <COLUMN NAME="Scanner">Startup scanner</COLUMN> <COLUMN NAME="Object">file</COLUMN> <COLUMN NAME="Name">C:\WINDOWS\System32\Drivers\328283668ce358b1.sys</COLUMN> <COLUMN NAME="Threat">a variant of Win32/Rootkit.Kryptik.SO trojan</COLUMN> <COLUMN NAME="Action">cleaned by deleting - quarantined</COLUMN> <COLUMN NAME="User" /> <COLUMN NAME="Information" /> </RECORD> - <RECORD> - <COLUMN NAME="Time"> <DATE>2013-02-23</DATE> <TIME>18:30:41</TIME> </COLUMN> <COLUMN NAME="Scanner">Real-time file system protection</COLUMN> <COLUMN NAME="Object">file</COLUMN> <COLUMN NAME="Name">C:\System Volume Information\_restore{38427997-5773-4E21-8FD7-5F2325D63EF5}\RP447\A0142986.exe</COLUMN> <COLUMN NAME="Threat">a variant of Win32/Kryptik.ATEG trojan</COLUMN> <COLUMN NAME="Action">cleaned by deleting - quarantined</COLUMN> <COLUMN NAME="User">ZARZĄDZANIE NT\SYSTEM</COLUMN> <COLUMN NAME="Information">Event occurred on a file modified by the application: C:\WINDOWS\system32\svchost.exe.</COLUMN> </RECORD> OTL-02242013_153114.txt Odnośnik do komentarza
picasso Opublikowano 24 Lutego 2013 Zgłoś Udostępnij Opublikowano 24 Lutego 2013 Chodzilo mi pewnie o to, że to "startup scanner" wykrył tego trojana (pierwsza pozycja). Chyba już jest ok, bo dzisiaj jak uruchamiam już to żadnych ostrzeżeń. I dlatego skrypt OTL nie przetworzył sterownika Necurs (oznaczony jako nieistniejący). Między skanem OTL a wykonaniem skryptu wszedł w paradę ESET i usunął sterownik. Rychło w czas, jak już co innego go zdeaktywowało. Możemy przejść do finalizacji: 1. Porządki po narzędziach: w OTL uruchom Sprzątanie, usuń ESET Necurs Remover. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Ważne aktualizacje. Do usunięcia wszystkie stare wersje Adobe / Java / Macromedia / Firefox, aktualizacja Opery, Skype i Office 2010 (instalacja SP1): KLIK. Wg raportu masz oprogramowanie z lukami, niektóre wersje tak stare, że szok: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{0456ebd7-5f67-4ab6-852e-63781e3f389c}" = Macromedia Flash Player"{26A24AE4-039D-4CA4-87B4-2F83216023FF}" = Java 6 Update 23"{3248F0A8-6813-11D6-A77B-00B0D0150000}" = J2SE Runtime Environment 5.0"{AC76BA86-7AD7-1033-7B44-A81300000003}" = Adobe Reader 8.1.5"{E633D396-5188-4E9D-8F6B-BFB8BF3467E8}" = Skype™ 5.1"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE)"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)"Mozilla Firefox (3.0.19)" = Mozilla Firefox (3.0.19)"Office14.PROPLUS" = Microsoft Office Professional Plus 2010"Opera 11.61.1250" = Opera 11.61 Uwaga dodatkowa: para Gadu-Gadu 7.7 (stare, słabo zabezpieczone, niezdolne obsłużyć własną sieć) + Tlen.pl (program nierozwijany i porzucony przez firmę). Zainteresuj się nowoczesną alternatywą WTW: KLIK. 4. Prewencyjnie wymień hasła logowania w serwisach. . Odnośnik do komentarza
xennon Opublikowano 24 Lutego 2013 Autor Zgłoś Udostępnij Opublikowano 24 Lutego 2013 Dziękuję bardzo Zaupdate'uję w wolnej chwili soft. Lapek jest bardzo stary, używany tylko do przeglądania sieci oraz office'a przez laika, stąd trochę zaniedbany. Powinienem go raz na jakiś czas wziąć, poinstalować łatki itp Pozdrawiam i życzę milego dnia! Odnośnik do komentarza
Rekomendowane odpowiedzi