Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Zablokowany antywirus, wyłączone aktualizacje, nieaktywny Defender

greg83

Przez greg83
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

greg83

greg83

Opublikowano
Opublikowano

Witam Wszystkich.

 

Zwracam się z prośbą o pomoc, gdyż sam już wymiękam. Laptop mojej siostry napadło jakieś paskudztwo, które ubiło Defendera, zablokowało możliwość aktualizacji windowsa oraz blokuje antywirusy - rozsypał się całkowicie Nod (za wyjątkiem Pandy, którą udało mi się zrobić skan systemu i jako zagrożenia wskazywała głównie jakieś ciasteczka - nie jestem w stanie dokładnie napisać co to było). Udało mi się zainstalować Avasta, ale nie mam możliwości zrobienia skanu, ponadto usługa Avast jest cały czas wyłączona i nie ma możliwości jej uruchomienia.

 

System Vista Home Basic SP 2, 32-Bitowy.

 

Logi z Gmer niekompletne, gdyż przy starcie wyskakuje komunikat.

34cf9ce30c452ffe.jpg

 

/Edit: Zgodnie z sugestią @Rucek, spróbowałem zrobić log w trybie awaryjnym, niestety bez powodzenia.

 

Pozdrawiam i z góry dzięki za pomoc.

greg83

Extras.Txt

OTL.Txt

gmer.txt

Addition.txt

FRST.txt

Shortcut.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

W systemie działa rootkit Necurs. Przeprowadź następujące działania:

 

1. Uruchom ESET Necurs Remover. Opis jest stary i nie odpowiada aktualnej formie narzędzia. Zresetuj system. W folderze skąd zostało uruchomione narzędzie powstanie log.

 

2. Zrób nowe logi: FRST (bez Addition i Shortut), GMER i Farbar Service Scanner. Dołącz log z ESET.

 

 

 

.

Odnośnik do komentarza
greg83

greg83

Opublikowano
  • Autor
Opublikowano

Problem udało mi się rozwiązać ostatnim przypływem energii, za pomocą tdsskiller, który to właśnie znalazł rootkita Necurs. Niestety loga z Eset nie mam, gdyż usunąłem cały program. Pewnie moje próby walki z rootkitem zostawiły jeszcze trochę śmieci w rejestrze. Dołączam log z tdsskiller-a. Dzięki za wszelkie sugestie.

TDSSKiller.3.0.0.25_17.03.2014_14.56.20_log.txt

FRST.txt

gmer.txt

FSS.txt

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

TDSSKiller zrobił to samo co miał zrobić ESET Necurs Remover. Infekcja została pomyślnie usunięta, więc tylko kosmetyczne działania zostały, tzn. usunięcie wpisów szczątkowych i starych programów. I od razu uwaga, to nie są poprawne instalatory tylko śmieci "Asystenci pobierania" orientowani na instalację adware:

 

C:\Users\Grzegorz\Desktop\HijackThis(12030).exe

C:\Users\Renia\Downloads\Dr.WEB-CureIt(12976).exe

C:\Users\Renia\Downloads\Vit-Registry-Fix-Free-Edition(15913).exe

 

Więcej tu: KLIK.

 

 

Wykonaj:

 

1. Otwórz Notatnik i wklej w nim:

 

SearchScopes: HKCU - {72D39A6F-3EBE-462E-87A2-02E5FE7C9296} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=C9AE0582-ABAC-47E5-9463-81616EA02411&apn_sauid=35A77B34-C649-43E0-999D-3A69AF267BF8
Toolbar: HKCU - No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
S3 IntcAzAudAddService; system32\drivers\RTKVHDA.sys [X]
S0 SMR410; System32\drivers\SMR410.SYS [X]
C:\fsc.tmp
C:\Program Files\Common Files\Symantec Shared
C:\Program Files\Panda Security
C:\ProgramData\Kaspersky Lab
C:\ProgramData\Norton
C:\Users\Grzegorz\Desktop\HijackThis(12030).exe
C:\Users\Renia\Doctor Web
C:\Users\Renia\AppData\Local\CrashDumps
C:\Users\Renia\AppData\Local\NPE
C:\Users\Renia\AppData\Roaming\Panda Security
C:\Users\Renia\Downloads\Dr.WEB-CureIt(12976).exe
C:\Users\Renia\Downloads\Vit-Registry-Fix-Free-Edition(15913).exe
C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
C:\Windows\system32\Drivers\krynsszl.sys
C:\Windows\system32\Drivers\lswhkyhp.sys
C:\Windows\system32\Drivers\nyxdoesk.sys
C:\Windows\system32\Drivers\stxfijek.sys
C:\Windows\system32\Drivers\tlklfdqf.sys

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Odinstaluj to wszystko:

 

==================== Installed Programs ======================
 

Adobe Reader 8 - Polish (HKLM\...\{AC76BA86-7AD7-1045-7B44-A81200000003}) (Version: 8.1.2 - Adobe Systems Incorporated)

Adobe Reader 8.1.2 Security Update 1 (KB403742) (HKLM\...\{AC76BA86-7AD7-1045-7B44-A81200000003}_Adobe Reader 8 - Polish) (Version: - )

ESET Online Scanner v3 (HKLM\...\ESET Online Scanner) (Version: - )

Java 7 Update 21 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F83217021FF}) (Version: 7.0.210 - Oracle)

Java™ 6 Update 37 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F83216037FF}) (Version: 6.0.370 - Oracle)

Opera 9.64 (HKLM\...\{E1BBBAC5-2857-4155-82A6-54492CE88620}) (Version: 9.64 - Opera Software ASA)

Skaner on-line mks_vir (HKLM\...\SkanerOnline) (Version: - )

 

3. Następnie usuń szczątki innej wersji ESET uprzednio zainstalowanej. Przejdź w Tryb awaryjny Windows i zastosuj zgodnie z opisem ESET Uninstaller.

 

4. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. Używane rozszerzenia będą do przeinstalowania potem.

 

5. Uruchom TFC - Temp Cleaner.

 

6. Zrób nowy log FRST (bez Addition i Shortcut). Dołącz też fixlog.txt.

 

 

 

.

Odnośnik do komentarza
  • 3 tygodnie później...
picasso

picasso

Opublikowano
Opublikowano

Czy na pewno odinstalowałeś wszystkie Java? Ostał się jeden zbyt kompletny wpis relatywny do Java 6. Poza tym wszystko zrobione. Kończymy:

 

1. Poprawka. Otwórz Notatnik i wklej w nim:

 

BHO: No Name - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - No File
BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll (Sun Microsystems, Inc.)
C:\Program Files\Java\jre6
C:\Program Files\mozilla firefox\plugins

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix.

 

2. Na wszelki wypadek zastosuj jeszcze specjalne usuwacze do Java: KLIK.

 

3. Usuń używane narzędzia za pomocą DelFix. Przez SHIFT+DEL dokasuj folder Stare dane programu Firefox z Pulpitu.

 

4. Wyczyść foldery Przywracania systemu, o ile powstały jakieś od momentu założenia tematu (w pierwszym Addition było pusto): KLIK.

 

5. Już zadawałam deinstalację starych programów, ale jeszcze te do aktualizacji:

 

Internet Explorer Version 8
 

==================== Installed Programs ======================
 

Gadu-Gadu 7.7 (HKLM\...\Gadu-Gadu) (Version: - )

GG 7.0+ Special Emots v.0.4 (HKLM\...\GG 7.0+ Special Emots_is1) (Version: - Paweł Nowicki)

Mozilla Firefox 27.0.1 (x86 pl) (HKLM\...\Mozilla Firefox 27.0.1 (x86 pl)) (Version: 27.0.1 - Mozilla)

Skype™ 5.6 (HKLM\...\{AA59DDE4-B672-4621-A016-4C248204957A}) (Version: 5.6.110 - Skype Technologies S.A.)

Tlen.pl (HKLM\...\Tlen.pl) (Version: 6.0.3.73 - o2.pl Sp. z o. o.)

 

Archaiczne Gadu i martwy Tlen można zamienić jednym solidnym programem WTW: KLIK.

 

 

 

.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...