bpm Opublikowano 3 Grudnia 2014 Zgłoś Udostępnij Opublikowano 3 Grudnia 2014 Dobry wieczór, Wirus "policja" został usunięty przez MBAM. Pozostała "resztka", która wyświetla błąd podczas startu: "RunDLL Wystąpił problem podczas uruchamiania pliku... Nie można odnaleźć określonego modułu" Poza tym system dziwnie się zachowuje. Windows Update nie startuje - pojawia się biały ekran, pojawia się też od czasu czasu - "Program Eksplorator Windows przestał działać", a także od czasu do czasu, że Centrum Zabezpieczeń nie może zostać uruchomione. Tyle zauważyłem. Bardzo proszę o analizę logów. Addition.txt Extras.Txt FRST.txt gmer.txt mbam.txt OTL.Txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 3 Grudnia 2014 Zgłoś Udostępnij Opublikowano 3 Grudnia 2014 "RunDLL Wystąpił problem podczas uruchamiania pliku... Nie można odnaleźć określonego modułu" Problem tworzy martwy skrót infekcji w Autostarcie: Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\program.lnk ShortcutTarget: program.lnk -> C:\PROGRA~3\982A3FD.cpp (No File) Centrum Zabezpieczeń nie może zostać uruchomione. Ten problem z kolei wynika z niepoprawnej metody usuwania infekcji i uszkodzenia WMI. Infekcja przekierowała usługę systemową Winmgmt (zależy od niej funkcjonalność m.in. Centrum czy Przywracania systemu). Nie wystarczy skasować plik, trzeba jeszcze odtworzyć oryginalną ścieżkę usługi. S2 Winmgmt; C:\PROGRA~3\DF3A289.dot [X] System errors: ============= Error: (12/03/2014 08:35:22 PM) (Source: Service Control Manager) (EventID: 7023) (User: ) Description: Usługa Instrumentacja zarządzania Windows zakończyła działanie; wystąpił następujący błąd: %%126 ==================== Restore Points ========================= Could not list Restore Points. Check "winmgmt" service or repair WMI. ==================== Faulty Device Manager Devices ============= Could not list Devices. Check "winmgmt" service or repair WMI. pojawia się też od czasu czasu - "Program Eksplorator Windows przestał działać Skan GMER (Rootkit scan 2014-12-03 19:31:30) zrobiony już po skanie MBAM (Czas skanu: 19:21:27) nadal pokazuje załadowane ukryte moduły infekcji wszczepione w procesy systemowe, w tym explorer.exe - co mogłoby wyjaśniać błędy "przestał działać". Wygląda na to, że pliki niby zostały skasowane, ale nie zostały odładowane z pamięci (brak restartu). ---- Processes - GMER 2.1 ---- Library c:\progra~3\df3a289.dot (*** suspicious ***) @ C:\Windows\system32\svchost.exe [744] (Non-COM WMI Event Provision APIs/Microsoft Corporation)(2014-09-07 05:04:10) 00000000719e0000 Library c:\progra~3\df3a289.dot (*** suspicious ***) @ C:\Windows\Explorer.EXE [3060] (Non-COM WMI Event Provision APIs/Microsoft Corporation)(2014-09-07 05:04:10) 00000000719e0000 Library c:\progra~3\982a3fd.cpp (*** suspicious ***) @ C:\Windows\SysWOW64\rundll32.exe [2708](2014-09-07 05:02:08) 0000000073740000 Library C:\PROGRA~3\982A3FD.cpp (*** suspicious ***) @ C:\Windows\SysWOW64\rundll32.exe [4016](2014-09-07 05:02:08) 0000000073740000 Library C:\PROGRA~3\982A3FD.cpp (*** suspicious ***) @ C:\Windows\SysWOW64\rundll32.exe [1228](2014-09-07 05:02:08) 0000000073740000 Library c:\progra~3\982a3fd.cpp (*** suspicious ***) @ C:\Windows\SysWOW64\rundll32.exe [1548](2014-09-07 05:02:08) 0000000073740000 Przy okazji, w Dzienniku zdarzeń są też liczne błędy związane z oprogramowaniem nVidia - usługę NvStreamSvc wyłączę, ale możliwe że trzeba będzie się zainteresować aktualizacją oprogramowania nVidia. Application errors: ================== Error: (12/03/2014 08:23:38 PM) (Source: NvStreamSvc) (EventID: 1) (User: ) Description: NvStreamSvcNvVAD initialization failed [6] Error: (12/03/2014 08:23:38 PM) (Source: NvStreamSvc) (EventID: 1) (User: ) Description: NvStreamSvcFailed to set NvVAD endpoint as default Audio endpoint [0] Error: (12/03/2014 08:16:21 PM) (Source: NvStreamSvc) (EventID: 1) (User: ) Description: NvStreamSvcNvVAD initialization failed [6] Error: (12/03/2014 08:16:21 PM) (Source: NvStreamSvc) (EventID: 1) (User: ) Description: NvStreamSvcFailed to set NvVAD endpoint as default Audio endpoint [0] Error: (12/03/2014 07:36:26 PM) (Source: NvStreamSvc) (EventID: 1) (User: ) Description: NvStreamSvcNvVAD initialization failed [6] Error: (12/03/2014 07:36:26 PM) (Source: NvStreamSvc) (EventID: 1) (User: ) Description: NvStreamSvcFailed to set NvVAD endpoint as default Audio endpoint [0] Error: (12/03/2014 07:23:05 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: nvtray.exe, wersja: 7.17.13.3182, sygnatura czasowa: 0x5280e916 Nazwa modułu powodującego błąd: ntdll.dll, wersja: 6.1.7601.17514, sygnatura czasowa: 0x4ce7c8f9 Kod wyjątku: 0xc0000005 Przesunięcie błędu: 0x000000000004e4b4 Identyfikator procesu powodującego błąd: 0xed8 Godzina uruchomienia aplikacji powodującej błąd: 0xnvtray.exe0 Ścieżka aplikacji powodującej błąd: nvtray.exe1 Ścieżka modułu powodującego błąd: nvtray.exe2 Identyfikator raportu: nvtray.exe3 Akcja: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\program.lnk S2 Winmgmt; C:\PROGRA~3\DF3A289.dot [X] S3 cpuz136; \??\C:\Windows\TEMP\cpuz136\cpuz136_x64.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\32514631.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\32514631.sys => ""="Driver" HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-2404353190-3791358401-3653376951-1000\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp1 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp1 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp1 StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe CMD: sc config NvStreamSvc start= disabled CMD: dir /a C:\ProgramData EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowe logi: FRST z opcji Scan (zaznacz ponownie pole Addition) + GMER + Farbar Service Scanner. Dołącz też plik fixlog.txt. . Odnośnik do komentarza
bpm Opublikowano 4 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 4 Grudnia 2014 Wykonane według powyższych zaleceń. Wklejam nowe logi. Addition.txt Fixlog.txt FRST.txt FSS.txt gmer.txt Odnośnik do komentarza
picasso Opublikowano 4 Grudnia 2014 Zgłoś Udostępnij Opublikowano 4 Grudnia 2014 Akcje pomyślnie wykonane, elementy infekcji usunięte i odładowane z pamięci, WMI naprawione. Pytaniem jest czy pojawiają się nadal komunikaty "Program Eksplorator Windows przestał działać" oraz efekt "Windows Update nie startuje - pojawia się biały ekran"? Odnośnik do komentarza
bpm Opublikowano 4 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 4 Grudnia 2014 Przez pół godziny nic takiego się nie pojawiło, więc chyba jest ok. W razie czego dam znać. Czy można przystąpić do końcowych kroków? Odnośnik do komentarza
picasso Opublikowano 4 Grudnia 2014 Zgłoś Udostępnij Opublikowano 4 Grudnia 2014 W tej sytuacji oczywiście znajome Ci kroki końcowe. Proponuję też doinstalować Malwarebytes Anti-Exploit (wersja free w ofercie), który ograniczy przypadki podobnych infekcji. Odnośnik do komentarza
bpm Opublikowano 4 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 4 Grudnia 2014 Dzięki bardzo za pomoc. Natomiast jeśli chodzi o Malwarebytes Anti-Exploit niestety komputer jest używany w firmie i z tego co czytałem, dla biznesu jest to wersja płatna. Dzięki raz jeszcze, miłego dnia życzę. Odnośnik do komentarza
Rekomendowane odpowiedzi