"Windows Defender. Nie można zainicjować aplikacji: 0x80070006. Nieprawidłowe dojście..."

[gliceryna]

Witam

Przy każdym uruchomieniu systemu (vista home premium servis pack2) pojawia mi się tabliczka z komunikatem: "Windows Defender. Nie można zainicjować aplikacji: 0x80070006. Nieprawidłowe dojście."
Nie znalazłam również zainstalowanego żadnego programu antywirusowego, choć wydaje mi się, że miałam (ale być może "wygasł" i odinstalowałam go, a zapomniałam zainstalować nowy - nie pamiętam). Gdy próbowałam teraz zainstalować Avast free antivirus - nie chce się uruchamiać.
Poczytałam troszkę na Waszych stronach o pozbywaniu się oprogramowania typu rootkit i podjęłam już następujące czynności:

- sprawdziłam czy nie mam zainstalowanych emulatorów napędów (z "czegoś podobnego" mam tylko UltraIso i Nero)
- przeskanowałam komputer programem OTL (log zamieszczam)
- przeskanowałam komputer programem GMER (log załączam), ale nie udało mi się zastosowć ustawień zalecanych przez Państwa: w karcie Rootkit/Malvare, po automatycznym przeskanowaniu wstępnym, pojawił się komunikat o wykryciu malvare (pierwszy wiersz na skanie) i pytanie o skanowanie pełne. Kliknęłam na "nie", bo chciałam najpierw ustawić "ptaszki" na karcie. Okazało się to jednak niemożliwe, bo od "biblioteki: w górę, aż do "system", pola były zaszarzone i nie dawały się zaznaczyć. Zaznaczyłam więc dysk C (systemowy) i uruchomiłam "start".
Końcowy komunikat: "Uwaga! GMER odnalazł modyfikacje systemu wskazujące na obecność ROOTKIT'a"
Co można z tym zrobić?
Pozdrawiam.

Jeszcze jedno: przy uruchomianiu programu GMER, zanim wyświetliło się okno programu, pokazał się komunikat o jakimś niedziałającym urządzeniu (skan załączam)

Niestety, GMER, mimo powtórnego ściągnięcia, zachowuje się tak jak ściągnięty wcześniej. Przy uruchamianiu najpierw wyświetla się komunikat o niedziałającym urządzeniu, a dopiero po zaakceptowaniu go pokazuje się okno programu z niedającymi się zaznaczać opcjami: system, sekcje, IAT/EAT, urządzenia, Trace I/0, moduły, procesy, wątki i biblioteki. Próba uruchomienia programu GMER w trybie awaryjnym niczego nowego nie daje, jedynie komunikat na początku programu nieco się zmienia i w ostatnim zdaniu brzmi: "Tej usługi nie można uruchomić w trybie awaryjnym" zamiast "Urządzenie podłączone do komputera nie działa". Po zaakceptowaniu ukazuje się okno programu z takimi samymi ograniczeniami, jak wyżej.
Sprawdzałam też ew. obecność sterownika SPTD, ale nie został w systemi wykryty.
Przy okazji - firma hostingowa zablokowała jedno z moich kont pocztowych, gdyż w ciągu kilku ostatnich dni dwukrotnie rozsyłało całą masę spamu. Oba te problemy chyba się wiążą?
Pozdrawiam

[picasso]

Posty sklejam. W systemie działa rootkit Necurs, stąd blokada programów (Windows Defender i GMER), a także rozsyłanie spamu na komputerze.

 

1. Uruchom Kaspersky TDSSKiller. Dla wyników Rootkit.Win32.Necurs.gen (8e9fb5f4e9008b17) + UDS:DangerousObject.Multi.Generic (syshost32) zastosuj akcję Delete. Natomiast jeśli pokażą się jakiekolwiek wyniki typu LockedFile.Multi.Generic, dla nich tylko akcja Skip. Zresetuj system.

 

2. Zrób nowy skan FRST (bez Addition i Shortcut). Dołącz log utworzony przez TDSSKiller na dysku C:\.

 

 

.

[gliceryna]

Witam

Dzięki za radę. postąpiłam zgodnie ze wskazówkami. Przeskanowałam system programem TDSSKiller (z tym, że po uruchomieniu kazał mi zresetować komputer w celu zainstalowania modułu rozszerzającego skanowanie - co uczyniłam) - log załączam.

W efekcie, przy inicjacji windowsa nie pokazała się już tabliczka o błędzie defendera, ale inna - pochodząca z defendera właśnie, wskazująca na obecność w systemie infekcji (skan załączam). Sugerowała, żeby usunąć wskazany plik poprzez kliknięcie OK, co uczyniłam.

Wykonałam powtórny skan systemu programem FRST - log załączam.

Czy akcję można uznać za zakończoną?

Pozdrawiam

[picasso]

Niestety tu nie koniec zmagań. System jest nadal zainfekowany (dwa czynne wpisy). Tam jedna rzecz się zwichrowała w podejściu TDSSKiller, on nie wykrył jako infekcji drugiego komponenetu:

 

08:05:01.0653 0x16c0 syshost32 ( LockedFile.Multi.Generic ) - skipped by user

08:05:01.0653 0x16c0 syshost32 ( LockedFile.Multi.Generic ) - User select action: Skip 

 

Komponent był zablokowany (notabene: przez ... swój własny sterownik) i otrzymał inną detekcję niż należy. I ten komponent Necurs jest nadal aktywny. Ponadto, mamy do czyszczenia różne odpadkowe wpisy po programach. Akcja:

 

 

1. Otwórz Notatnik i wklej w nim:

 

() C:\Users\Vista\xusyvykyxcyz.exe
(Mozilla Foundation) C:\Users\Vista\AppData\Local\Temp\~tmp9C4642\xulrunner.exe
Reg: reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM\...\Run: [Regedit32] => C:\Windows\system32\regedit.exe
HKU\S-1-5-21-1058216481-2180761106-2217758376-1000\...\Run: [xusyvykyxcyz] => C:\Users\Vista\xusyvykyxcyz.exe [62976 2014-04-12] ()
HKU\S-1-5-21-1058216481-2180761106-2217758376-1000\...\Run: [Regedit32] => C:\Windows\system32\regedit.exe
HKU\S-1-5-21-1058216481-2180761106-2217758376-1000\...\Run: [AdobeBridge] => [X]
S2 syshost32; C:\Windows\Installer\{50DC793C-6DC5-BF2B-9A15-9D2679C24EE3}\syshost.exe [81920 2014-04-02] ()
R2 aswHwid; C:\Windows\system32\drivers\aswHwid.sys [24184 2014-04-22] ()
S2 .1254667122; C:\Program Files\1254667122\Vista1254667122L.exe [X]
S3 hpqcxs08; C:\Program Files\HP\Digital Imaging\bin\hpqcxs08.dll [X]
S2 hpqddsvc; C:\Program Files\HP\Digital Imaging\bin\hpqddsvc.dll [X]
S3 gdrv; \??\C:\Windows\gdrv.sys [X]
AlternateDataStreams: C:\Windows:4EE65BCA044A8D46
Task: {A33DF31D-302D-474B-91C9-A416F77169FB} - System32\Tasks\PCConfidential => C:\Program Files\Winferno\PC Confidential\PCConfidential.exe
Task: C:\Windows\Tasks\PCConfidential.job => C:\Program Files\Winferno\PC Confidential\PCConfidential.exe
127.0.0.1 symantec.com.102.112.2o7.net
ProxyServer: 80.248.221.57:3128
URLSearchHook: HKCU - (No Name) - {BC86E1AB-EDA5-4059-938F-CE307B0C6F0A} - No File
URLSearchHook: HKCU - (No Name) - {37483b40-c254-4a72-bda4-22ee90182c1e} - No File
SearchScopes: HKLM - DefaultScope value is missing.
SearchScopes: HKCU - {00231EAD-09C4-451f-8DF0-079848A18F62} URL = http://www.google.com/cse?cx=partner-pub-3794288947762788%3A4067623346&ie=UTF-8&q={searchTerms}&sa=Search&siteurl=www.google.com%2Fcse%2Fhome%3Fcx%3Dpartner-pub-3794288947762788%3A4067623346
SearchScopes: HKCU - {80C4CAB5-040C-4c1d-B18E-68ECA5881634} URL = http://search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=STDVM
SearchScopes: HKCU - {93B83575-A752-4881-95DC-4D1210B65759} URL = http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=937811&p={searchTerms}
Toolbar: HKCU - No Name - {37483B40-C254-4A72-BDA4-22EE90182C1E} - No File
FF HKLM\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3
FF HKCU\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3
C:\Program Files\AVAST Software
C:\Users\Vista\xusyvykyxcyz.exe
C:\Users\Vista\AppData\Local\XulTest
C:\Users\Vista\AppData\Roaming\AVAST Software
C:\Users\Vista\AppData\Roaming\BITS
C:\Users\Vista\AppData\Roaming\FlashGet
C:\Users\Vista\AppData\Roaming\FlashGetBHO
C:\Users\Vista\AppData\Roaming\FlashgetSetup
C:\Users\Vista\AppData\Roaming\XulTest
C:\Windows\Installer\{50DC793C-6DC5-BF2B-9A15-9D2679C24EE3}
C:\Windows\system32\140414-124726
C:\Windows\system32\140414-074225
C:\Windows\system32\140412-084029
C:\Windows\system32\140411-065416
C:\Windows\system32\140410-083220
C:\Windows\system32\140409-074032
C:\Windows\system32\140408-083810
C:\Windows\system32\140406-082521
C:\Windows\system32\140405-090653
C:\Windows\system32\140404-074620
C:\Windows\system32\140403-152416
C:\Windows\system32\Drivers\aswHwid.sys
Reg: reg delete HKCU\Software\Mozilla\SeaMonkey /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\MenuExt\&Pobierz wszystko przez FlashGet" /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\MenuExt\&Pobrane przez FlashGet" /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\MenuExt\Download all links by FlashGet3" /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\MenuExt\Download by FlashGet3" /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\MenuExt\Pobierz wszystko FlashGetem3" /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Extensions\{DDE87865-83C5-48c4-8357-2F5B1AA84522}" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{DDE87865-83C5-48c4-8357-2F5B1AA84522}" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reboot:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Odinstaluj zbędnik Akamai NetSession Interface oraz stary UnHackMe 5.99 release.

 

3. W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować.

 

4. Uruchom TFC - Temp Cleaner.

 

5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

 

 

 

.

[gliceryna]

Witam

Wykonałam wszystko wg zaleceń.

Po oczyszczeniu systemu narzędziem TFC Temp Cleaner otrzymałam komunikat podsumowujący akcję, którego skan dodatkowo załączam.

Pozdrawiam i proszę o ocenę efektów zastosowanych działań.

 

[picasso]

Większość przetworzona. Poprawki:

 

1. Otwórz Notatnik i wklej w nim:

 

HKLM\...\Run: [Regedit32] => C:\Windows\system32\regedit.exe
HKLM\...\runonceex: [Flags] - 128
HKLM\...\runonceex: [Title] - UnHackMe Rootkit Check
HKU\S-1-5-21-1058216481-2180761106-2217758376-1000\...\Run: [Akamai NetSession Interface] => "C:\Users\Vista\AppData\Local\Akamai\netsession_win.exe"
U0 Partizan; system32\drivers\Partizan.sys [X]
C:\Program Files\UnHackMe
C:\Users\Vista\AppData\Local\CrashDumps
C:\Users\Vista\AppData\Local\XulTest
CMD: rd /s /q C:\AdwCleaner
CMD: rd /s /q C:\TDSSKiller_Quarantine
CMD: rd /s /q "C:\Users\Vista\Desktop\Stare dane programu Firefox"
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Extensions\{DDE87865-83C5-48c4-8357-2F5B1AA84522}" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{DDE87865-83C5-48c4-8357-2F5B1AA84522}" /f
Reboot:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Zrób nowy log FRST (bez Addition i Shortcut). Podaj też fixlog.txt.

 

 

 

.

[gliceryna]

OK. Wszystko zrobione. Załączam logi.

[picasso]

Wszystko wykonane, tylko ten folder C:\TDSSKiller_Quarantine się nie usunął (moja literówka, za późno poprawiona). Jedziemy ku końcowi:

 

1. Usuń używane narzędzia z folderu C:\Users\Vista\Desktop\Narzędzia anty-rootkit. Popraw narzędziem DelFix. Jeśli coś nie zostanie usunięte, ręcznie dokończ.

 

2. Wyczyść foldery Przywracania systemu, o ile coś powstało w międzczasie (początkowo brak punktów): KLIK.

 

3. Masz zainstalowany Malwarebytes Anti-Malware. Upewnij się, że ma aktualne bazy i zrób za jego pomocą pełny skan. Jeśli coś zostanie wykryte, przedstaw wynikowy raport, w przeciwnym wypadku jest on zbędny.

 

 

 

.

[gliceryna]

Skan Malwarebytes Anti-Malware nie ujawnił żadnych podejrzanych plików.

Wszystkie inne czynności uprzedzające również wykonałam zgodnie z zaleceniem.

No to chyba koniec walki?

Pozdrawiam i bardzo, bardzo dziękuję.

G.

[picasso]

Na zakończenie:

 

1. Odinstaluj poniższe programy i zastąp najnowszymi wersjami: KLIK.

 

==================== Installed Programs ======================
 

Adobe Flash Player 12 ActiveX (HKLM\...\Adobe Flash Player ActiveX) (Version: 12.0.0.77 - Adobe Systems Incorporated) ----> wtyczka dla IE

Adobe Flash Player 12 Plugin (HKLM\...\Adobe Flash Player Plugin) (Version: 12.0.0.77 - Adobe Systems Incorporated) ----> wtyczka dla Firefox

Java 7 Update 51 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F83217025FF}) (Version: 7.0.510 - Oracle)

Java™ 6 Update 31 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F83216031FF}) (Version: 6.0.310 - Oracle)

 

2. Zainstaluj wybranego antywirusa. Wcześniej infekcja blokowała, obecnie pole czyste.

 

 

.