Trojan-Dropper.Win32.Injector.jhed, PDM:Trojan.Win32.Generic - blokada programów

[eMe]

Zwracam się do specjalistów z prośbą o analizę problemu.

 

System (Win 7 Pro x64),zaraz po załadowaniu, nie pozwalał na uruchomienie żadnego programu a poprawnie go wyłączyć można było tylko dzięki CrlAltDel. 

 

Skanowanie Kasperskim (również Rescue Disk) w trybie awaryjnym nic nie wykazało. ESET online - nic, Dr Web, Malware.. - nic. SMART dysków - w porządku, sprawdzanie systemu płytą instalacyjną - w porządku. Przywracanie systemu - ciągle problem.

Czasami udało się uruchomić go właściwie - loteria.

 

Stale działający KIS 2013 nie alarmował. Do wczoraj, gdy po użyciu RefreshPC (nigdy wcześniej nie był używany, liczyłam się z formatem) i bezproblemowej pracy pojawiło się to:

 

Typ: inne szkodliwe oprogramowanie (1)

PDM:Trojan.Win32.Generic Usunięty; wycofano 2013-08-28 17:15:23 c:\windows\syswow64\installdir\ windowsnt.exe  (z adnotacją: działania aplikacji zostały wycofane)

 

a dziś to:

 

Typ: koń trojański (1)

Trojan-Dropper.Win32.Injector.jhed Usunięty 2013-08-29 09:51:36 c:\windows\syswow64\ windownt.exe

 

System działa, był dziś wielokrotnie uruchamiany bez problemu, ale czy Kaspersky sobie poradził, skoro wcześniej nie reagował?

 

Bardzo proszę o sprawdzenie dołączonych logów z FRST, OTL  i GMER oraz wskazówki.

 

Z góry dziękuję za zainteresowanie się tematem.

Addition.txtPobieranie informacji ...

FRST.txtPobieranie informacji ...

Extras.TxtPobieranie informacji ...

OTL.TxtPobieranie informacji ...

GMER.txtPobieranie informacji ...

[picasso]

GMER został zrobiony w złym środowisku, przy czynnym sterowniku SPTD od emulacji napędów wirtuanych (KLIK).

 

R0 sptd; C:\Windows\System32\Drivers\sptd.sys [564824 2013-08-29] (Duplex Secure Ltd.)

 

W raportach nie notuję jawnej infekcji (tylko drobne szczątki adware w Firefox) ale:

 

  Cytat

Stale działający KIS 2013 nie alarmował. Do wczoraj, gdy po użyciu RefreshPC (nigdy wcześniej nie był używany, liczyłam się z formatem) i bezproblemowej pracy pojawiło się to:

 

Typ: inne szkodliwe oprogramowanie (1)

PDM:Trojan.Win32.Generic Usunięty; wycofano 2013-08-28 17:15:23 c:\windows\syswow64\installdir\ windowsnt.exe (z adnotacją: działania aplikacji zostały wycofane)

 

a dziś to:

 

Typ: koń trojański (1)

Trojan-Dropper.Win32.Injector.jhed Usunięty 2013-08-29 09:51:36 c:\windows\syswow64\ windownt.exe

Ta ścieżka C:\Windows\SysWow64\InstallDir sugeruje trojana zainstalowanego w kluczu Active Setup. Na dysku widzę dwa katalogi tego rodzaju:

 

2013-08-28 17:51 - 2013-08-27 14:38 - 00000000 ____D C:\Windows\SysWOW64\InstallDir

2013-08-28 17:17 - 2013-08-28 08:27 - 00000000 ____D C:\Users\Marta\AppData\Roaming\InstallDir

 

Podaj skan dodatkowy. Otwórz Notatnik i wklej w nim:

 

Folder: C:\Windows\SysWow64\InstallDir
Folder: C:\Users\Marta\AppData\Roaming\InstallDir
Reg: reg query "HKLM\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components" /s

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Przedstaw go.

 

 

 

.

[eMe]

Picasso, dziękuję za tak szybką odpowiedź

 

Odnośnie GMER - odinstalowałam napędy i wykonałam instrukcje dot. ich usuwania (do pkt. 2 włącznie), ale widocznie coś poszło nie tak (podejrzewam, że mogłam zapomnieć o restarcie).

 

W pierwszej kolejności odczytałam maila i wykonałam log z SystemLook.

 

Chwilę później przeczytałam odpowiedź na forum, więc dołączam także log z FRST.

 

Pozdrawiam

Fixlog.txtPobieranie informacji ...

[picasso]

Skan z SystemLook nie jest potrzebny (i wstawiłaś tam błędne komendy, czyli komendy FRST), więc go usuwam. Wg skanu foldery są puste, a w kluczu Active Setup nie ma żadnego odnośnika do trojana. Zabierzmy się więc po prostu za usunięcie resztek:

 

1. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł.

 

2. Otwórz Notatnik i wklej w nim:

 

2013-08-28 17:51 - 2013-08-27 14:38 - 00000000 ____D C:\Windows\SysWOW64\InstallDir
2013-08-28 17:17 - 2013-08-28 08:27 - 00000000 ____D C:\Users\Marta\AppData\Roaming\InstallDir
DPF: HKLM-x32 {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab
S3 13ABD630; \??\e:\temp marta\13ABD630.sys [x]
S3 58905472; \??\e:\temp marta\58905472.sys [x]
S3 BTMCOM; System32\Drivers\btmcom.sys [x]
S4 nvvad_WaveExtensible; system32\drivers\nvvad64v.sys [x]
Reg: reg delete "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer" /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD / /d 0xb5 /f

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

3. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt.

 

 

 

.

[eMe]

Firefox już zrestartowany.

 

Przesyłam nowe logi.

Fixlog.txtPobieranie informacji ...

FRST.txtPobieranie informacji ...

[picasso]

Jedna komenda się nie wykonała, bo omyłkowo podwójny // znak mi się zaplątał. Powtórz plik o zawartości i przedstaw wynikowy fixlog:

 

Reg: reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d 0xb5 /f

 

 

 

.

[eMe]

Witaj picasso,

 

dołączam logi z FRST

Fixlog.txtPobieranie informacji ...

[picasso]

Tylko fixlog był potrzebny (usuwam zbędny główny log). Możemy kończyć:

 

1. Porządki po narzędziach: przez SHIFT+DEL skasuj foldery C:\FRST + "Stare dane programu Firefox" na Pulpicie, w OTL uruchom Sprzątanie.

 

2. Wyczyść pliki tymczasowe za pomocą TFC - Temp Cleaner.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

 

 

.

[Gucio04]

Ps. Jestem tu nowy, dziś rejestrowany, pomóżcie !

[picasso]

Gucio04, proszę się nie dopisywać do cudzych tematów tylko założyć własny temat. Proszę przeczytać zasady działu: KLIK. Wszystko tam opisane jak i co. Zakładasz temat (a nie pisanie postów w cudzym) opisując dokładnie problem i załączając zestaw obowiązkowych logów (linki do instrukcji robienia raportów są również w zasadach).

 

Już tu kasowałam Twój post i wysłałam Ci PW z wyjaśnieniem, a Ty dalej swoje i śmiecisz cudzy temat.

 

[Posty na kasację]

[eMe]

Picasso,

 

zastosuję się oczywiście do wskazówek końcowych.

 

Bardzo dziękuję za poświęcenie cennego czasu na czytanie moich metrowych logów, szczegółowe instrukcje, temperowanie nadgorliwości - całą pomoc w tym temacie.

 

Mam nadzieję, że nie będę musiała zakładać nowego wątku w tym dziale, ale wiem do kogo zgłoszę się w przypadku podobnego problemu.

 

Serdecznie pozdrawiam!