celeronik Opublikowano 8 Stycznia 2014 Zgłoś Udostępnij Opublikowano 8 Stycznia 2014 Witam Od 2 dni mam zablokowanego NIS oraz Malwarebytes Anti-Malware, a także kilka innych programów. Skaner Emsisoft znajduje SecHijack (A) w MPCMDRUN.EXE -> DEBUGGER , MSMPENG.EXE -> DEBUGGER oraz MSSECES.EXE -> DEBUGGER ale nie usuwa problemu, prosze o pomoc. Extras.Txt OTL.Txt FRST.txt Addition.txt GMER.txt Odnośnik do komentarza
picasso Opublikowano 8 Stycznia 2014 Zgłoś Udostępnij Opublikowano 8 Stycznia 2014 Infekcja w systemie siedzi niewątpliwie i nabyłeś ją prawdopodobnie z lewego programu / cracka, log coś tak jakby sugeruje, że to się zagnieździło przez próby mataczenia z "Avira System Speedup" z torrent: ==================== One Month Created Files and Folders ======== 2014-01-07 17:02 - 2014-01-07 18:30 - 00000000 ___HD C:\REGVIEW 2014-01-07 17:01 - 2014-01-07 17:02 - 00000000 ____D C:\Users\Damian\AppData\Local\AviraSpeedup 2014-01-07 17:01 - 2014-01-07 17:01 - 00001175 _____ C:\Users\UpdatusUser\Desktop\Avira System Speedup.lnk 2014-01-07 17:01 - 2014-01-07 17:01 - 00001175 _____ C:\Users\NeroMediaHomeUser.4\Desktop\Avira System Speedup.lnk 2014-01-07 17:01 - 2014-01-07 17:01 - 00000000 ____D C:\Program Files (x86)\Avira 2014-01-07 16:49 - 2014-01-07 16:53 - 00274432 __RSH C:\ProgramData\1274638726487231648723648726384.exe 2014-01-07 16:48 - 2014-01-07 16:48 - 00015900 _____ C:\Users\Damian\Downloads\[www.tnt24.info] Avira System Speedup 1.2.1.9600 [ENG].torrent A to co znajduje Emsisoft to Debugger nałożony przez infekcję, który blokuje uruchomienie określonych programów / skanerów. Prawdopodobnie te wpisy Debugger są zablokowane przez uprawnienia, bo na forum był co dopiero taki temat. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: (Microsoft Corporation) C:\Windows\SysWOW64\wscript.exe () C:\REGVIEW\regview.exe C:\REGVIEW C:\ProgramData\1274638726487231648723648726384.exe Startup: C:\Users\Damian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Google.com.url () Reg: reg query HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run HKLM-x32\...\Run: [Windows System] - C:\Windows\System32\taskmgr.exe [255488 2009-04-06] (Microsoft Corporation) HKLM\...\Winlogon: [userinit] c:\windows\syswow64\userinit.exe HKCU\...\Winlogon: [shell] Explorer.exe [2871808 2013-01-26] (Microsoft Corporation) HKCU\...\CurrentVersion\Windows: [Load] C:\REGVIEW\regview.exe HKU\NeroMediaHomeUser.4\...\Winlogon: [shell] Explorer.exe [2871808 2013-01-26] (Microsoft Corporation) HKU\UpdatusUser\...\Winlogon: [shell] Explorer.exe [2871808 2013-01-26] (Microsoft Corporation) Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options IFEO\avcenter.exe: [Debugger] louse.exe IFEO\avguard.exe: [Debugger] louse.exe IFEO\avp.exe: [Debugger] louse.exe IFEO\bdagent.exe: [Debugger] louse.exe IFEO\ccuac.exe: [Debugger] louse.exe IFEO\ComboFix.exe: [Debugger] louse.exe IFEO\egui.exe: [Debugger] louse.exe IFEO\hijackthis.exe: [Debugger] louse.exe IFEO\keyscrambler.exe: [Debugger] louse.exe IFEO\mbam.exe: [Debugger] louse.exe IFEO\MpCmdRun.exe: [Debugger] louse.exe IFEO\MSASCui.exe: [Debugger] louse.exe IFEO\MsMpEng.exe: [Debugger] louse.exe IFEO\msseces.exe: [Debugger] louse.exe IFEO\NIS.exe: [Debugger] louse.exe IFEO\spybotsd.exe: [Debugger] louse.exe IFEO\wireshark.exe: [Debugger] louse.exe IFEO\zlclient.exe: [Debugger] louse.exe U4 ClipSrv; U3 dmadmin; U3 ImapiService; U3 LiveUpdate; U4 NetDDE; U4 NetDDEdsdm; U3 ose; U3 RDSessMgr; U3 rpcapd; U4 TlntSvr; U3 WcwService; S3 BprotectEx; \??\C:\Windows\System32\drivers\BprotectEx.sys [x] U3 CiSvc; U3 mnmsrvc; S3 RTL8192cu; system32\DRIVERS\RTL8192cu.sys [x] S3 rtlss; System32\Drivers\rtlss.sys [x] U2 TMAgent; HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\56047018.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\BsScanner => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\56047018.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\avasdmft => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\avas_service => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\avss_service => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\BsScanner => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\tdifw => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\tpavdrw_service => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\tpmgma_service => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\tpsec => ""="Driver" Task: {0B799F2C-6734-4E1D-A5BB-527B9348A61D} - System32\Tasks\Driver Booster Scan => C:\Program Files (x86)\IObit\Driver Booster\Scheduler.exe Task: {8D7D27E3-2002-4AE5-8E5F-14F5C1269C6D} - System32\Tasks\Game_Booster_AutoUpdate => C:\Program Files (x86)\IObit\Game Booster 3\AutoUpdate.exe Task: {552AF4EA-E582-417B-8C20-9AD903590DFF} - System32\Tasks\JetCleanLoginCheckUpdate => C:\Program Files (x86)\BlueSprig\JetClean\AutoUpdate.exe CHR HKCU\SOFTWARE\Policies\Google: Policy restriction StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe C:\Users\Damian\AppData\Roaming\AntiBrowserSpy 2009 C:\Program Files (x86)\mozilla firefox Folder: C:\Program Files\Microsoft Folder: C:\Program Files (x86)\Microsoft Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Shell /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Shell /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Shell /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\policies" /f Reg: reg delete "HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer" /f Reg: reg delete "HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer" /f Reg: reg delete "HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer" /f Reg: reg delete "HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer" /f Reg: reg delete "HKCU\Software\Policies\Microsoft\Internet Explorer" /f Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\policies\Explorer" /v NoSMHelp /f Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\policies\Explorer" /v NoDesktop /f Reg: reg add "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Search Bar" /f Reg: reg delete "HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Start Page" /f Reg: reg delete "HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Search Bar" /f Reg: reg delete "HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Start Page" /f Reg: reg delete "HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Search Bar" /f Reg: reg delete "HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Start Page" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Search Bar" /f Reg: reg delete "HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main" /v "Search Bar" /f Reg: reg delete "HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main" /v CustomizeSearch /f Reg: reg delete "HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main" /v SearchAssistant /f Reg: reg delete "HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main" /v SearchURL /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Usuń wszystkie crackowane programy świeżo doinstalowane, to może być źródło. 3. Zresetuj cache wtyczek Google Chrome. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Uruchom TFC - Temp Cleaner. 5. Zrób nowe logi: FRST (bez Addition), OTL (bez Extras) oraz GMER. Dołącz plik fixlog.txt. . Odnośnik do komentarza
celeronik Opublikowano 9 Stycznia 2014 Autor Zgłoś Udostępnij Opublikowano 9 Stycznia 2014 Tak doinstalowałem patcha do Aviry, mój błąd. Edit Po ponownym uruchomieniu komputera w trayu pojawił się Norton OTL.Txt FRST.txt Fixlog.txt GMER.txt Odnośnik do komentarza
picasso Opublikowano 10 Stycznia 2014 Zgłoś Udostępnij Opublikowano 10 Stycznia 2014 Wszystko pomyślnie wykonane. Norton się ujawnił, gdyż został ściągnięty Debugger go blokujący. Ustąpiły także podejrzane odczyty notowane uprzednio przez GMER. 1. Pozbądź się w całości Avira System Speedup. Jest to z torrent, nie wiadomo co tam jeszcze jest "zmodyfikowane". To bardzo ryzykowny biznes pobierać programy tuningujące i zabezpieczające (sic!) z takich miejsc, mogą mieć zaszyte backdoory. Podobne zastrzeżenia mam do niejakiego "Norton Trial Reset". I darmowe programy wcale nie są gorsze. 2. Usuń używane narzędzia. Przez SHIFT+DEL skasuj GMER, FRST oraz te pozycje: C:\AdwCleaner C:\FRST C:\TDSSKiller_Quarantine C:\ProgramData\Doctor Web C:\Users\Damian\Doctor Web C:\Users\Damian\Downloads\Kaspersky-Rescue-Disk(12771).exe * W OTL uruchom Sprzątanie. I mam pytanie: czy Baidu Security jest już odinstalowany? Nie widzę takiego wejścia na liście zainstalowanych, a z drugiej strony stanowczo zbyt dużo elementów w systemie. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. System był już skanowany rozmaitymi narzędziami, jednakże odbywało się to w czasie, gdy infekcja była aktywna, toteż skanery były blokowane. Widzę, że masz zainstalowany m.in. Malwarebytes Anti-Malware. Na wszelki wypadek zrób jeszcze w nim pełny skan. W razie wykrycia czegoś przedstaw raport. W przeciwnym wypadku jest on zbędny. * Kaspersky-Rescue-Disk(12771).exe to nie jest poprawny oryginalny plik, tylko "Asystent pobierania", którego cel to zabrudzić system. Do wglądu materiał: KLIK. . Odnośnik do komentarza
celeronik Opublikowano 10 Stycznia 2014 Autor Zgłoś Udostępnij Opublikowano 10 Stycznia 2014 Jest jeszcze problem, bo w plikach programów mam zablokowane foldery avira, baidu security, iobit i malwarebytes anti-malware i nie mam jak tego usunąć. Do Nortona mam key z allegro. Baidu był odinstalowany ale śmieci pozostawił. Narazie nic nie ruszam czekam na dalsze wskazówki. Odnośnik do komentarza
picasso Opublikowano 10 Stycznia 2014 Zgłoś Udostępnij Opublikowano 10 Stycznia 2014 Jest jeszcze problem, bo w plikach programów mam zablokowane foldery avira, baidu security, iobit i malwarebytes anti-malware i nie mam jak tego usunąć. Na czym to polega, jaki konkretnie błąd się pokazuje? Baidu był odinstalowany ale śmieci pozostawił. Baidu wygląda jakby nie został odinstalowany, pozostawił w systemie czynne komponenty (sterowniki). Zajmę się nim, ale sprecyzuj w/w wątek. Do Nortona mam key z allegro. Na dysku były pliki gatunku "trial reset"... . Odnośnik do komentarza
celeronik Opublikowano 10 Stycznia 2014 Autor Zgłoś Udostępnij Opublikowano 10 Stycznia 2014 Wyświetlało mi po prostu że nie mam uprawnień, ale dałem kontynuuj i już mogłem wejść do folderu, jednak ikonka zabezpieczenia przy folderze nie zniknęła. W folderze Baidu są puste foldery Baidu Antivirus, PC Faster i App Store (w program data PC Faster i Rpdata i tu już coś tam jest). Zalecenia wykonałem, programy które były zablokowane działają. Odnośnik do komentarza
picasso Opublikowano 10 Stycznia 2014 Zgłoś Udostępnij Opublikowano 10 Stycznia 2014 Wyświetlało mi po prostu że nie mam uprawnień, ale dałem kontynuuj i już mogłem wejść do folderu, jednak ikonka zabezpieczenia przy folderze nie zniknęła. To normalne przy włączonym UAC. Lokalizacja C:\Program files jest chroniona, a programy wymagające uprawnień administracyjnych są flagowane tarczą. W folderze Baidu są puste foldery Baidu Antivirus, PC Faster i App Store (w program data PC Faster i Rpdata i tu już coś tam jest). Jak mówiłam, Baidu zostawił zbyt dużo elementów. Foldery może i puste, ale sterowniki programu są nadal uruchomione. Należy to wykończyć. Jeśli usunąłeś FRST, to pobierz go ponownie. Otwórz Notatnik i wklej w nim: R1 Bfilter; C:\Windows\System32\drivers\Bfilter.sys [52032 2013-12-17] (Baidu, Inc.) R1 Bfmon; C:\Windows\System32\drivers\Bfmon.sys [34624 2013-12-17] (Baidu, Inc.) R1 Bprotect; C:\Windows\System32\drivers\Bprotect.sys [128448 2013-12-18] (Baidu, Inc.) C:\Windows\System32\drivers\Bfilter.sys C:\Windows\System32\drivers\Bfmon.sys C:\Windows\System32\drivers\Bprotect.sys C:\Program Files (x86)\Baidu Security C:\ProgramData\Baidu Security C:\Users\Public\Documents\Baidu Security Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. . Odnośnik do komentarza
celeronik Opublikowano 10 Stycznia 2014 Autor Zgłoś Udostępnij Opublikowano 10 Stycznia 2014 Zrobione Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 10 Stycznia 2014 Zgłoś Udostępnij Opublikowano 10 Stycznia 2014 Skrypt pomyślnie wykonany. O ile nie zresetowałeś systemu jeszcze, należy to zrobić teraz. I wykonujesz dalsze instrukcje podane uprzednio w poście numer #4. . Odnośnik do komentarza
celeronik Opublikowano 10 Stycznia 2014 Autor Zgłoś Udostępnij Opublikowano 10 Stycznia 2014 Wykonane, dziękuje za pomoc. Odnośnik do komentarza
picasso Opublikowano 10 Stycznia 2014 Zgłoś Udostępnij Opublikowano 10 Stycznia 2014 Czy na pewno wykonałeś to: 4. System był już skanowany rozmaitymi narzędziami, jednakże odbywało się to w czasie, gdy infekcja była aktywna, toteż skanery były blokowane. Widzę, że masz zainstalowany m.in. Malwarebytes Anti-Malware. Na wszelki wypadek zrób jeszcze w nim pełny skan. W razie wykrycia czegoś przedstaw raport. W przeciwnym wypadku jest on zbędny. vs. Zalecenia wykonałem, programy które były zablokowane działają. Mi nie chodzi o to czy się uruchamiają (ja to wiem bez Twoich potwierdzeń, bo wiem kiedy ściągnęłam Debugger), tylko o wykonanie pełnego skanowania dla potwierdzenia że nic nie jest już wykrywane. . Odnośnik do komentarza
celeronik Opublikowano 10 Stycznia 2014 Autor Zgłoś Udostępnij Opublikowano 10 Stycznia 2014 Skanowałem, nic nie znaleziono. Odnośnik do komentarza
picasso Opublikowano 10 Stycznia 2014 Zgłoś Udostępnij Opublikowano 10 Stycznia 2014 OK, czyli kończymy. Ostatnie kroki: 1. Usunięcie starej wersji Java oraz aktualizacja Thunderbird oraz Internet Explorer (nawet jeśli nie używasz go). Wersje widziane obecnie w systemie: Internet Explorer Version 10 ==================== Installed Programs ====================== Java 7 Update 17 (64-bit) (Version: 7.0.170 - Oracle) Mozilla Thunderbird 24.0.1 (x86 pl) (x32 Version: 24.0.1 - Mozilla) 2. Na wszelki wypadek pozmieniaj hasła logowania w serwisach, gdyż trudno stwierdzić na co była ukierunkowana ta infekcja. . Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się