Avast wykrył trojany / spowolnienie systemu / przeglądarki nie działają

[amaru]

Dobry wieczór

 

Proszę o pomoc.

 

Problem z komputerem wygląda tak, że przy uruchamianiu Opery lub Chrome przeglądarki zawieszają się (można wpisać kilka znaków w pole adresu i nic więcej).

 

Avast wykrył trojany (Win32: Mobogenie-N, NextLive-A, Installcore-F; Java: Agent-FMa, Agent-EJC, Agent-FLQ, Agent-FUF, Agent-GJE, Malware-gen,Evo; NSIS:NextLive-A, itp.)

 

System bardzo wolno się uruchamia i tak też pracuje. Po uruchomieniu IE wyskakiwał BSOD (idgpmd64.sys), natomiat teraz po odinstalowaniu Opery, Chrome i użyciu Kaspersky TDSSKiller, MBAR, AdwCleaner, Sophos Virus Removal Tool oraz Yet Another Cleaner IE działa, ale nie można otworzyć strony google.com (przekierowuje na bing.com) i też czasem wyrzuca BSOD (i reset).

 

Był używany ComboFix, ale nie mogę znaleźć raportu...

 

Był używany hijackthis

 

Pozdrawiam

Adam

 

 

Raport z Security Check:

 

Results of screen317's Security Check version 0.99.87
Windows 7 Service Pack 1 x64 (UAC is enabled)
Internet Explorer 11
``````````````Antivirus/Firewall Check:``````````````
avast! Antivirus
Antivirus up to date!
`````````Anti-malware/Other Utilities Check:`````````
Yet Another Cleaner!
JavaFX 2.1.1
Java 7 Update 9
Java version out of Date!
Adobe Flash Player 14.0.0.179
Adobe Reader 10.1.11 Adobe Reader out of Date!
````````Process Check: objlist.exe by Laurent````````
PLAY ONLINE OnlineUpdate ouc.exe
AVAST Software Avast AvastSvc.exe
AVAST Software Avast afwServ.exe
AVAST Software Avast avastui.exe
`````````````````System Health check`````````````````
Total Fragmentation on Drive C:
````````````````````End of Log``````````````````````

Addition.txt

Extras.Txt

FRST.txt

OTL.Txt

Shortcut.txt

gmer.txt

[picasso]

Log z GMER zrobiony w złych warunkach, przy czynnym Alcoholu i emulatorze SPTD.

 

 

Cytat

Avast wykrył trojany (Win32: Mobogenie-N, NextLive-A, Installcore-F; Java: Agent-FMa, Agent-EJC, Agent-FLQ, Agent-FUF, Agent-GJE, Malware-gen,Evo; NSIS:NextLive-A, itp.)

 

Nie podałeś w czym zostały wykryte, czyli precyzyjne ścieżki dostępu. Nazwa nie wystarczy. Po nazwach to tylko tyle można powiedzieć, że "Mobogenie" + "NextLive" to składniki programu Mobogenie instalowanego metodami adware/PUP. Programu tego nie ma w ogóle w formie widocznej w raportach, dlatego są niezbędne dane gdzie są składniki wykrywane.

 

 

Cytat

System bardzo wolno się uruchamia i tak też pracuje. Po uruchomieniu IE wyskakiwał BSOD, natomiat teraz po odinstalowaniu Opery, Chrome i użyciu Kaspersky TDSSKiller, MBAR, AdwCleaner, Sophos Virus Removal Tool oraz Yet Another Cleaner IE działa, ale nie można otworzyć strony google.com (przekierowuje na bing.com) i też czasem wyrzuca BSOD (i reset).

 

Zapomniałeś wspomnieć, że w obrotach był i ComboFix. Nie przedstawiłeś w ogóle wyników / logów z używanych narzędzi, kto to wie co było usuwane. A pogrubiony to kolejny delikwent do wyrzucenia z systemu. Na pewnych portalach jest owszem linkowany. Toż to wątpliwy program (podejrzane zachowania promocyjne), jego komponenty częściowo wykrywa AdwCleaner (tu to nie wyszło na jaw, bo YAC zamontowałeś po uruchomieniu AdwCleaner) i od niedawna flagowany również przez FRST jako instalacja "PUP":

 

Yet Another Cleaner! (HKLM-x32\...\iSafe) (Version:  - ELEX DO BRASIL PARTICIPAÇÕES LTDA) <==== ATTENTION

 

Program ten wprowadził liczne usługi / sterowniki, co może być nie bez znaczenia (potencjalne spowolnienie, problemy z siecią, błędy):

 

R2 iSafeService; C:\Program Files (x86)\iSafe\iSafeSvc.exe [118048 2014-08-08] (Elex do Brasil Participações Ltda)
R1 iSafeKrnl; C:\Program Files (x86)\iSafe\iSafeKrnl.sys [247488 2014-08-08] (Elex do Brasil Participações Ltda)
S3 iSafeKrnlBoot; C:\Windows\System32\DRIVERS\iSafeKrnlBoot.sys [45248 2014-08-08] (Elex do Brasil Participações Ltda)
R1 iSafeKrnlKit; C:\Program Files (x86)\iSafe\iSafeKrnlKit.sys [78016 2014-08-08] (Elex do Brasil Participações Ltda)
R1 iSafeKrnlR3; C:\Program Files (x86)\iSafe\iSafeKrnlR3.sys [65216 2014-08-08] (Elex do Brasil Participações Ltda)
R1 iSafeNetFilter; C:\Program Files (x86)\iSafe\iSafeNetFilter.sys [49320 2014-08-06] (Elex do Brasil Participações Ltda)

 

Pomijając ten wątpliwy program (pojawił się w trakcie diagnostyki), nie ma w systemie oznak infekcji. Widać za to szczątki Google Chrome oraz znaki uszkodzenia WMI. Póki co do wykonania:

 

1. Odinstaluj Yet Another Cleaner!.

 

2. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt]
"DisplayName"="@%Systemroot%\\system32\\wbem\\wmisvc.dll,-205"
"ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"Description"="@%Systemroot%\\system32\\wbem\\wmisvc.dll,-204"
"ObjectName"="localSystem"
"ErrorControl"=dword:00000000
"Start"=dword:00000002
"Type"=dword:00000020
"DependOnService"=hex(7):52,00,50,00,43,00,53,00,53,00,00,00,00,00
"ServiceSidType"=dword:00000001
"FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\
00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt\Parameters]
"ServiceDllUnloadOnStop"=dword:00000001
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\
00,6c,00,6c,00,00,00
"ServiceMain"="ServiceMain"

[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Google\Chrome]

[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search]

[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]

[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]

[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Plik ma być zapisany na Pulpicie.

 

3. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com/ie
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
SearchScopes: HKCU - {640A5880-642C-41FC-8281-073BE9650C9D} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3289075&CUI=UN20725252785441155&UM=1
SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.google.com/search?q={sear
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
S3 hwusbfake; system32\DRIVERS\ewusbfake.sys [X]
S3 RimUsb; System32\Drivers\RimUsb_AMD64.sys [X]
Task: {4D3F98A2-EC2C-4CB7-A030-7C02A70A05BD} - \Program aktualizacji online firmy Adobe. No Task File <==== ATTENTION
C:\Users\HP\AppData\Local\Google\Chrome
CMD: reg import C:\Users\HP\Desktop\FIX.REG
CMD: sc config "PLAY ONLINE. RunOuc" start= demand
CMD: for /d %f in (C:\Users\HP\AppData\Local\{*}) do rd /s /q "%f"
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition (ale nie Shortcut). Dołącz też plik fixlog.txt oraz raporty z używanych wcześniej narzędzi: C:\ComboFix.txt, logi z C:\AdwCleaner, logi TDSSKiller z C:\.

 

Cytat

IE działa, ale nie można otworzyć strony google.com (przekierowuje na bing.com)

 

Uściślij też gdzie to konkretnie występuje, podczas uruchomienia jakiej akcji.

 

 

[amaru]

W dniu 11.09.2014 o 23:28, picasso napisał:

Log z GMER zrobiony w złych warunkach, przy czynnym Alcoholu i emulatorze SPTD.

 

Rzeczywiście, nie instalowałem go, ale jakimś cudem...

 

Alcohol i SPTD odinstalowane. Nie mogłem do końca usunąć wpisów z rejestru (w załącznikach jest to co zostało).

 

Załączyłem nowy raport GMER. W wersji 2.1.19357 jest opcja" 3rd party" - nie zaznaczałem (pytanie czy powinienem?).

 

 

W dniu 11.09.2014 o 23:28, picasso napisał:

Nie podałeś w czym zostały wykryte, czyli precyzyjne ścieżki dostępu.

 

Dodałem zrzuty w załącznikach.

 

 

W dniu 11.09.2014 o 23:28, picasso napisał:

Zapomniałeś wspomnieć, że w obrotach był i ComboFix. Nie przedstawiłeś w ogóle wyników / logów z używanych narzędzi, kto to wie co było usuwane.

 

Edytowałem wpis po 3-4 min. - widocznie był już czytany. Niestety nie posiadam raportu z ComboFixa... (próbować go odzyskać?)

 

 

W dniu 11.09.2014 o 23:28, picasso napisał:

1. [...]

 

Ok (przed raportem GMER)

 

 

W dniu 11.09.2014 o 23:28, picasso napisał:

2.[...] 3. [...] 4 [...]

 

Ok. Brak tylko raportu z ComboFixa (pracuję nad odzyskaniem).

 

 

W dniu 11.09.2014 o 23:28, picasso napisał:

Uściślij też gdzie to konkretnie występuje, podczas uruchomienia jakiej akcji.

 

IE - problem już nie występuje.

 

gmer.txt

FRST.txt

Fixlog.txt

Addition.txt

AdwCleanerR1.txt

tdsskiller.txt

[picasso]

1. Źle wkleiłeś skrypt FRST do Notatnika, załączyłeś tagi formatujące forum, czego oczywiście w ogóle nie powinno być, bo FRST interpretuje wtedy te tagi jako część komend. Skutek: tu nie wykonała się pierwsza z komend (zabjanie pocesów):

 

[noparse]CloseProcesses: => Error: No automatic fix found for this entry.

 

2. Niepoprawnie zrobiłeś plik FIX.REG, poniższy błąd to wynik ominięcia etykiety Windows Registry Editor Version 5.00:

 

========= reg import C:\Users\HP\Desktop\FIX.REG =========

Błąd: Określony plik nie jest plikiem rejestru. Można importować tylko pliki rejestru.

 

Pomijając to, skrypt ogólnie wykonany (Broń Boże nie powtarzaj go, skrypty są jednorazowe i nie ma tu potrzeby). Nie ma też już odczytów na temat wady WMI. W nowych raportach widać tylko szczątki po odinstalowanym YAC. Załączyłeś mi najnowszy log AdwCleaner a nie z poprzednich uruchomień. On wykazuje to o czym już mówiłam, czyli detekcję komponentów YAC, w tym przypadku tylko szczątki.

 

 

Cytat

Brak tylko raportu z ComboFixa (pracuję nad odzyskaniem).

Widzę plik C:\ComboFix.txt na dysku.

 

 

Cytat

Alcohol i SPTD odinstalowane. Nie mogłem do końca usunąć wpisów z rejestru (w załącznikach jest to co zostało).

Klucz dokończę ręcznie w poniższym skrypcie FRST.

 

 

Cytat

Po uruchomieniu IE wyskakiwał BSOD (idgpmd64.sys)

Zapomniałam wspomnieć, że ten BSOD to raczej nie ma związku z infekcją tylko z Twoimi sterownikami Intel. Temat na forum: KLIK.

 

DRV:64bit: - [2011-03-25 18:17:48 | 012,262,336 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\igdpmd64.sys -- (intelkmd)

 

 

 

---

 

Wygląda na to, iż kończymy:

 

1. Uruchom AdwCleaner i zastosuj Szukaj, a po tym Usuń. Szczątki YAC zostaną usunięte.

 

2. Pobierz ComboFix ponownie na Pulpit (musi być w tym miejscu). Otwórz Notatnik i wklej w nim:

 

DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\sptd
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome
DeleteKey: HKCU\Software\Microsoft\Internet Explorer\Search
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes
DeleteQuarantine:
CMD: C:\Users\HP\Desktop\ComboFix.exe /uninstall

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Ostatnia komenda to poprawna porocedura deinstalacji ComboFix, to może potrwać i czekaj cierpliwie. Przedstaw wynikowy fixlog.txt.

 

 

[amaru]

W dniu 13.09.2014 o 05:19, picasso napisał:

Widzę plik C:\ComboFix.txt na dysku.

 

Pewnie nie jest już potrzebny, ale dodałem do załączników.

 

 

W dniu 13.09.2014 o 05:19, picasso napisał:

Ostatnia komenda to poprawna porocedura deinstalacji ComboFix, to może potrwać i czekaj cierpliwie. Przedstaw wynikowy fixlog.txt.

 

Przed wykonaniem komendy nie wyłączyłem osłony Avast (po skończonej deinstalacji ComboFixa pojawił się komunikat, żeby "wyłączyć osłony przed kliknięciem OK").

 

Fixlog.txt

ComboFix.txt

[picasso]

Dostarczony log z ComboFix nic nie mówi, to już kolejne uruchomienie niestety. Czy deinstalacja ComboFix w ogóle została ukończona? W Fixlog nie ma znacznika EOF (koniec pliku). Jeśli nie, a plik ComboFix nadal jest na Pulpicie, powtórz ręcznie. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę:

 

C:\Users\HP\Desktop\ComboFix.exe /uninstall

 

 

 

.

[amaru]

Wygląda na to, że deinstalacja powiodła się za pierwszym razem (na podaną komendę pojawia się komunikat "System Windows nie może odnaleźć pliku...")

 

Widać różnicę, ale z tego co widzę to problem jest też z dyskiem, a to już inna bajka...

 

Poszło wsparcie.

 

DZIĘKUJĘ za pomoc.

[picasso]

Kończąc sprawę czyszczenia systemu:

 

1. Usuń używane narzędzia za pomocą DelFix.

 

2. Wyczyść foldery Przywracania systemu i porównaj co wymaga aktualizacji: KLIK.

 

 

Widać różnicę, ale z tego co widzę to problem jest też z dyskiem, a to już inna bajka...

Co to za sprawa z dyskiem? Dodatkowo: czy przejrzałeś temat tyczący BSOD z winy sterowników Intel?

 

 

Poszło wsparcie.

Dzięki!

 

 

 

.

[amaru]

Ad 1. - ok

Ad 2. - ok

 

DelFix.txt

 

Co do dysku - załączam zrzut z crystaldiscinfo

 

 

Co do BSOD - byłem na stronie Intela - w polu Graphics Driver (?) był Radeon HD 6490M i informacja, że trzeba samemu poszukać sterownika, itp., więc wszedłem na stronę AMD, pobrałem - AMD Driver Autodetect / amddriverdownloader.exe... Program pobrał co chciał z tym, że moją uwagę przyciągnęło to, że plik ze sterownikami ma w nazwie serię HD 7###, ale stwierdziłem, że "wie lepiej". W trakcie aktualizacji sterownika kilka razy zmieniała mi się rozdzielczość ekranu, aż w końcu została na 800x600 (póżniej zmieniłem na 1024x768). Mam teraz na dysku folder AMD-Catalyst-14-9-win7-win8.1-64Bit-dd-ccc-whql

 

 

Generalnie widzę teraz na pulpicie połowę tego co kiedyś ;-), nie mogę znaleźć nigdzie sterownika do tej karty, a według intela mam nową kartę graficzną ? (załącznik)

 

Pobrałem i zainstalowałem Windows6.1-KB2670838-x64.msu.

 

Pobrałem i zainstalowałem MicrosoftFixit50123.

 

W międzyczasie 2-3 razy miałem BSOD.

 

 

POMOCY

 

 

[picasso]

Co do dysku - załączam zrzut z crystaldiscinfo

To do oceny w dziale Hardware.

 

 

Generalnie widzę teraz na pulpicie połowę tego co kiedyś ;-), nie mogę znaleźć nigdzie sterownika do tej karty, a według intela mam nową kartę graficzną ;-) (załącznik)

Użyj Przywracanie systemu, by odkręcić tę instalację. Ponadto, w temacie BSOD punktującym sterownik Intel igdpmd64.sys było powiedziane:

 

Otrzymałeś już link do KB2670838. Wejdź w niego, rozwiń blok "Incompatibility issues on certain computers that have hybrid video cards" i przeczytaj co tam jest napisane... Czyli:

- Jeśli jest zainstalowana łata KB2670838, to doładować łatę KB2834140

- Zaktualizować sterownik Intel igdpmd64.sys (jeśli aktualizacja dostępna)

- Jeśli nic nie pomaga, odinstalować łatę KB2670838.

 

 

.