Wiosenne sprzątanie komputera :)

zyzio · 22 Marca 2014

Witam, jako że nastała wiosna a u mnie w domu robią już porządki to i ja zacząłem sprzątać komputer. Avast wirusów nie wykrywa, ale często komputer się zacina przy przeglądaniu stron internetowych, graniu itp.

Wstawiam potrzebne logi i proszę o pomoc w sprzątaniu

FRST.txt

picasso · 4 Kwietnia 2014

Czynnej infekcji tu nie widać, choć są ślady po wirusie plików wykonywalnych Sality oraz inne szczątki. Kiedy ta infekcja występowała, czym była leczona i jakie działania prowadzono? System storpedowany Sality nie jest już taki sam jak przed infekcją, mogą pozostać uszkodzenia różnych plików.

Temat przenoszę do działu Windows, który jest odpowiedniejszy dla tematu. Wstępnie podaję te działania:

1. Usunięcie wpisów szczątkowych i inne korekty. W spoilerze:

1. Otwórz Notatnik i wklej w nim:

Task: C:\WINDOWS\Tasks\EPUpdater.job => C:\DOCUME~1\1\DANEAP~1\BABSOL~1\Shared\BabMaint.exe
SearchScopes: HKCU - DefaultScope {2FDEF81B-9DC2-48ED-B20E-BC49FFFF40FE} URL = http://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www1.delta-search.com/?q={searchTerms}&affID=119357&tt=gc_&babsrc=SP_ss&mntrId=DC4F00158315A310
SearchScopes: HKCU - {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=67738826-0645-4C83-9F62-B54AE0382F2A&apn_sauid=380B81D3-B00E-4E71-9CC5-5AD418A9C5CD
SearchScopes: HKCU - {2FDEF81B-9DC2-48ED-B20E-BC49FFFF40FE} URL = http://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7
SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.google.com/search?q={sear
BHO: Lyrmix - {A8E06666-F1AE-4436-80C1-A1A1A865F236} - C:\Program Files\Lyrmix\lyrmix.dll No File
Toolbar: HKCU - No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
FF HKLM\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3
FF HKCU\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3
FF HKCU\...\Firefox\Extensions: [lyrmix@lyrmix.net] - C:\Program Files\Lyrmix\FF\
CHR HKLM\...\Chrome\Extension: [jofdlbdmefjogcipddjnblinigmpagoj] - C:\Program Files\Lyrmix\Chrome.crx [2013-08-23]
HKLM\...\Run: [VDownloader] - C:\Program Files\VDownloader\VDownloader.exe /silent
S2 Apple Mobile Device; "C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe" [X]
S3 tap0901; C:\WINDOWS\System32\DRIVERS\tap0901.sys [35088 2013-04-30] (The OpenVPN Project)
S3 amsint32; \??\C:\WINDOWS\system32\drivers\ohgnt.sys [X]
S3 EagleNT; \??\C:\WINDOWS\system32\drivers\EagleNT.sys [X]
S3 EagleXNt; \??\C:\WINDOWS\system32\drivers\EagleXNt.sys [X]
C:\Documents and Settings\1\ciedeih.exe
C:\Documents and Settings\1\Dane aplikacji\Babylon
C:\Documents and Settings\1\Dane aplikacji\DealPly
C:\Documents and Settings\All Users\Dane aplikacji\Ask
C:\Documents and Settings\All Users\Dane aplikacji\Babylon
C:\Program Files\Mozilla Firefox\extensions
C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
C:\WINDOWS\System32\DRIVERS\tap0901.sys
D:\autorun.inf
Reg: reg add HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot /v AlternateShell /t REG_SZ /d cmd.exe /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System /v EnableLUA /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\lyrmix@lyrmix.net /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
CMD: sc config "PLAY ONLINE. RunOuc" start= demand
CMD: netsh firewall reset

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

2. W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

3. W Google Chrome:

- Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki.

- Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

2. Przez Dodaj/Usuń Programy odinstaluj zbędny Yahoo! Toolbar, wszystkie stare Java i OpenOffice.org (wymagana nowsza wersja do współpracy z najnowszą Java). Rozważ też pozbycie się większej ilości zbędnych programów. Po deinstalacjach uruchom TFC - Temp Cleaner.

3. Wyłączenie zbędnych wpisów. Uruchom Autoruns i w karcie Logon odznacz te wpisy:

HKLM\...\Run: [Adobe ARM] - C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe [959904 2013-11-21] (Adobe Systems Incorporated)
HKLM\...\Run: [HP Software Update] - C:\Program Files\HP\HP Software Update\HPWuSchd2.exe [54840 2007-05-08] (Hewlett-Packard)

HKLM\...\Run: [securDisc] - C:\Program Files\Nero\Nero 7\InCD\NBHGui.exe [1629480 2007-06-25] (Nero AG)

HKLM\...\Run: [inCD] - C:\Program Files\Nero\Nero 7\InCD\InCD.exe [1057064 2007-06-25] (Nero AG)

HKLM\...\Run: [Zune Launcher] - C:\Program Files\Zune\ZuneLauncher.exe [159456 2011-08-05] (Microsoft Corporation)

HKLM\...\Run: [APSDaemon] - C:\Program Files\Common Files\Apple\Apple Application Support\APSDaemon.exe [59280 2012-10-11] (Apple Inc.)

HKLM\...\Run: [QuickTime Task] - C:\Program Files\QuickTime\qttask.exe [421888 2012-10-25] (Apple Inc.)

HKLM\...\Run: [bCSSync] - C:\Program Files\Microsoft Office\Office14\BCSSync.exe [89184 2012-11-05] (Microsoft Corporation)

HKU\S-1-5-21-746137067-1767777339-682003330-1004\...\Run: [Google Update] - C:\Documents and Settings\1\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe [116648 2012-04-13] (Google Inc.)

HKU\S-1-5-21-746137067-1767777339-682003330-1004\...\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] - C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe [152872 2007-06-27] (Nero AG)

HKU\S-1-5-21-746137067-1767777339-682003330-1004\...\Run: [LightScribe Control Panel] - C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe [455968 2007-08-23] (Hewlett-Packard Company)

HKU\S-1-5-21-746137067-1767777339-682003330-1004\...\Run: [ALLUpdate] - E:\Program Files\ALLPlayer\ALLUpdate.exe [2995712 2013-07-19] (ALLPlayer Group Ltd.)

HKU\S-1-5-21-746137067-1767777339-682003330-1004\...\Run: [Messenger (Yahoo!)] - C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe [6595928 2012-05-25] (Yahoo! Inc.)

Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\HP Digital Imaging Monitor.lnk

ShortcutTarget: HP Digital Imaging Monitor.lnk -> C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe (Hewlett-Packard Co.)

W karcie Services odznacz te pozycje: JavaQuickStarterService, KMService, nvUpdatusService, Skype C2C Service, SkypeUpdateYahooAUService. Ten KMService to crack Office...

4. W systemie są dwie wersje, Windows Update oraz Microsoft Update:

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1345018761781 (WUWebControl Class)

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1352566530015 (MUWebControl Class)

Microsoft Update może przyczynia się do spowolnienia. Wdróż te działania i zresetuj po tym system: KLIK.

5. Masz także zainstalowany protokół IPv6:

========================== Services (Whitelisted) ================= 

R2 6to4; C:\WINDOWS\System32\6to4svc.dll [100864 2010-02-12] (Microsoft Corporation)
 

==================== Drivers (Whitelisted) ====================
 

R1 Tcpip6; C:\WINDOWS\System32\DRIVERS\tcpip6.sys [226880 2010-02-11] (Microsoft Corporation)

Jeśli nieużywany, możesz się go pozbyć: KLIK.

6. Jest tu notowalny problem ze sterownikiem sieciowym nVidia:

==================== Faulty Device Manager Devices ============= 

Name: NVIDIA nForce Networking Controller

Description: NVIDIA nForce Networking Controller

Class Guid: {4D36E972-E325-11CE-BFC1-08002BE10318}

Manufacturer: NVIDIA

Service: NVENETFD

Problem: : Windows cannot load the device driver for this hardware. The driver may be corrupted or missing. (Code 39)

Resolution: Reasons for this error include a driver that is not present; a binary file that is corrupt; a file I/O problem, or a driver that references an entry point in another binary file that could not be loaded.

Uninstall the driver, and then click "Scan for hardware changes" to reinstall or upgrade the driver.

Nasuwa się reinstalacja. Wątpię jednak, by były dostępne aktualizacje. Stary system, stare sterowniki.

7. I tu jeszcze są ślady, że BSODy jakieś były:

System errors:
=============

Error: (03/21/2014 04:46:25 PM) (Source: System Error) (User: )

Description: Kod błędu 10000050, parametr 1 8a8e1337, parametr 2 00000000, parametr 3 bf85fc9e, parametr 4 00000000.
 

Error: (03/21/2014 04:45:45 PM) (Source: System Error) (User: )

Description: Kod błędu 1000008e, parametr 1 c0000005, parametr 2 bf85fc9e, parametr 3 af702ae4, parametr 4 00000000.
 

==================== One Month Created Files and Folders ========
 

2014-03-20 20:22 - 2014-03-20 20:22 - 00106496 _____ () C:\WINDOWS\Minidump\Mini032014-02.dmp

2014-03-20 18:46 - 2014-03-20 18:46 - 00106496 _____ () C:\WINDOWS\Minidump\Mini032014-01.dmp

2014-03-16 11:38 - 2014-03-16 11:38 - 00106496 _____ () C:\WINDOWS\Minidump\Mini031614-01.dmp

Czy ekrany śmierci są stałym elementem środowiska?

8. Zrób nowy skan FRST (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner.

.

zyzio · 4 Kwietnia 2014

Dziękuję za odpowiedź

Nie pamiętam kiedy ta infekcja została wykryta, jesli była to została usunięta przez avasta i tyle. Ponad rok temu oddałem komputer do serwisu między innymi przez blue screeny, i jedyne działania jakie tam wykonali to format dysku c i instalacja windowsa.

Tak blue screeny zdarzają się, komputer się wyłącza po czym następuje niebieski ekran i dalej sam się uruchamia.

Wszystkie czynności wykonane.

zyzio · 16 Kwietnia 2014

Witam, przeglądając forum zauważyłem że nie dodałem raportu z GMER. Postanowiłem go wykonać i w wyniku odnalazł się rootkit. Wstawiam log z GMER oraz aktualniejszy log z FRST.

gmer.txt

FRST.txt

picasso · 24 Kwietnia 2014

Czy po przeprowadzonych działaniach jest jakaś poprawa w funkcjonowaniu systemu? Jeszcze drobnostki:

1. Otwórz Notatnik i wklej w nim:

SearchScopes: HKLM - DefaultScope value is missing.
HKLM\...\Run: [sunJavaUpdateSched] => "C:\Program Files\Java\jre1.7.0_17\bin\jusched.exe"
S3 usbbus; system32\DRIVERS\lgusbbus.sys [X]
S3 UsbDiag; system32\DRIVERS\lgusbdiag.sys [X]
S3 USBModem; system32\DRIVERS\lgusbmodem.sys [X]
C:\Documents and Settings\1\Dane aplikacji\OpenCandy
C:\Documents and Settings\1\Dane aplikacji\rmi

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Do wglądu wynikowy fixlog.txt.

2. W Autoruns w karcie Logon odfajkuj wpis HP Digital Imaging Monitor (podawałam go wcześniej).

3. Ponownie zastosuj TFC - Temp Cleaner.