Rootkit_SSDT_Hook zaraz po formacie dysku

[broda]

Witam.

Przedstawię mój problem. Po kilku latach postanowilem w koncu zrobić format dysku (a raczej przywrócenie ustawień fabrycznych laptopa z partucji recovery) i zaczęły się dziać ciekawe rzeczy. Komputer zaczął mulić jak nigdy przed tem, internet explorer nie był w stanie otworzyć większości stron, miałem problemy z zainstalowaniem chroma a kiedy już się udało to przeglądarka otwiera się w dwóch oknach na raz po czym wyskakiwał komunikat o zamknięciu chroma. Zrobiłem format jeszcze raz i zainstalowałem norton internet security który był już w zestawie z windowsem żeby sprawdzić czy komputer jest czysty ale nie byłem w stanie dokończyć aktualizacji bazy wirusów ponieważ wywalał mi błąd przy próbie instalacji aktualizacji bazy. W tym samym czasie probowałem pobierać aktualizacje dla windowsa. Nie wszystkie chcialy się zainstalować aż w końcu po którejś próbie system przestał się ladować do końca a mianowicie zrestartowałem system po zainstalowaniu części aktualizacji i niby wszystko normalnie ale zanim wyświetlilo się okno logowania do windows pojawiała się informacja o tym że windows kończy instalację aktualizacji 3 z 3 i żebyby nie wyłączać komputera po czym licznik dochodził do 97% i system restartował i tak kilkanaście razy w kółko więc postanowiłem sprobować odzyskiwania systemu ale niestety po około 4 godzinach oczekiwania pasek statusu odzyskiwania nie drgnął a komputer przestal odpowiadać więc postanowiłem zrobić kolejny format ale tym razem nie robiłem aktualizacji ani nie instalowałem nortona tylko odrazu zamontowalem probną wersję avg av i zeskanowałem kompa i oto rezultat

 

 

kiedy kliknołem na informację otworzyła się strona taka oto strona

 

 

Prosiłbym o pomoc w usunięciu tego czegoś co doprowadza mnei do szału. Chciałem oczyścić system i przyspieszyć kompa a wyszło jak zwykle.

 

P.S. Przepraszam za błędy w pisowni.

 

Addition.txtExtras.TxtFRST.txtGMER.txtOTL.TxtShortcut.txt

 

 Results of screen317's Security Check version 0.99.93  
 Windows Vista Service Pack 1 x86 (UAC is enabled)  
 Out of date service pack!!
 Internet Explorer 7 Out of date!
``````````````Antivirus/Firewall Check:``````````````
AVG AntiVirus 2015         
Norton Internet Security   
 Antivirus up to date!   
`````````Anti-malware/Other Utilities Check:`````````
 Java 6 Update 6  
 Java version 32-bit out of Date!
 Adobe Reader 8 Adobe Reader out of Date!
 Mozilla Firefox (34.0.5)
````````Process Check: objlist.exe by Laurent````````  
 Norton ccSvcHst.exe
 Windows Defender MSASCui.exe
 AVG avgwdsvc.exe
 AVG avgrsx.exe
 AVG avgnsx.exe
 AVG avgemc.exe
 Windows Defender MSASCui.exe   
`````````````````System Health check`````````````````
 Total Fragmentation on Drive C:  %
````````````````````End of Log``````````````````````
 

[picasso]

Rootkit_SSDT_Hook zaraz po formacie dysku

 

Brak oznak infekcji. Ten "rootkit" to nie jest żaden prawdziwy rootkit / infekcja, AVG wykrywa czynności Nortona: KLIK. Każdy antywirus wprowadza modyfikacje na określonym poziomie "rootkit-podobnym", nawet AVG - proszę oto z GMER przykładowe hooki SSDT obu antywirusów w Twoim systemie (a jest modyfikacji "rootkit-podobnych" więcej):

 

---- System - GMER 2.1 ----
 
SSDT            972B8738                                                                                         ZwAlpcConnectPort
SSDT            \SystemRoot\system32\DRIVERS\avgidsshimx.sys                                                     ZwNotifyChangeKey [0xC623C6E0]
SSDT            \SystemRoot\system32\DRIVERS\avgidsshimx.sys                                                     ZwNotifyChangeMultipleKeys [0xC623C800]
SSDT            \SystemRoot\system32\DRIVERS\avgidsshimx.sys                                                     ZwOpenProcess [0xC623C010]
SSDT            \SystemRoot\system32\DRIVERS\avgidsshimx.sys                                                     ZwOpenThread [0xC623C4D0]
SSDT            \SystemRoot\system32\DRIVERS\avgidsshimx.sys                                                     ZwSuspendProcess [0xC623C300]
SSDT            \SystemRoot\system32\DRIVERS\avgidsshimx.sys                                                     ZwSuspendThread [0xC623C3E0]
SSDT            \SystemRoot\system32\DRIVERS\avgidsshimx.sys                                                     ZwTerminateProcess [0xC623C120]
SSDT            \SystemRoot\system32\DRIVERS\avgidsshimx.sys                                                     ZwTerminateThread [0xC623C210]
SSDT            \SystemRoot\system32\DRIVERS\avgidsshimx.sys                                                     ZwWriteVirtualMemory [0xC623C5E0]

 

Tu następuje kolizja detekcji: jeden antywirus wykrywa modyfikacje innego nie potrafiąc ocenić pochodzenia w sposób właściwy. Ta detekcja nie ma znaczenia i tu nie ma problemów. Natomiast ogólnie problemem nie jest żadna infekcja tylko właśnie instalacja Symantec:

 

 

postanowiłem zrobić kolejny format ale tym razem nie robiłem aktualizacji ani nie instalowałem nortona tylko odrazu zamontowalem probną wersję avg av i zeskanowałem kompa i oto rezultat

A wg raportów tu nadal siedzi Norton i to okropnie stary - komponenty z 2007/2008. Mnóstwo uruchomionych procesów, usług i sterowników, lista zainstalowanych wytapetowana instalacjami Norton (części nie widzisz, gdyż są tu też wpisy ukryte):

 

==================== Installed Programs ======================
 
AppCore (Version: 1.3 - Symantec Corporation) Hidden
ccCommon (Version: 107.0.4.3 - Symantec) Hidden
Component Framework (Version: 2006.1.3.35 - Symantec Corporation) Hidden
LiveUpdate (Symantec Corporation) (HKLM\...\PsuedoLiveUpdate) (Version: 3.4.1.232 - Symantec Corporation)
LiveUpdate (Symantec Corporation) (Version: 3.4.1.232 - Symantec Corporation) Hidden
Norton AntiVirus (Version: 15.5.0.23 - Symantec Corporation) Hidden
Norton AntiVirus Help (Version: 15.0 - Symantec Corporation) Hidden
Norton Confidential Core (Version: 2.5.0.32 - Symantec Corporation) Hidden
Norton Internet Security (Symantec Corporation) (HKLM\...\SymSetup.{C1C185CA-C531-49F5-A6FA-B838405A049D}) (Version: 15.5.0.23 - Symantec Corporation)
Norton Internet Security (Version: 15.5.0.23 - Symantec Corporation) Hidden
Norton Protection Center (Version: 3.6.0.18 - Symantec Corporation) Hidden
SPBBC 32bit (Version: 4.1.0.15 - Symantec Corporation) Hidden
Symantec Real Time Storage Protection Component (Version: 10.2.3.9 - Symantec Corporation) Hidden
SymNet (Version: 8.0.1.22 - Symantec Corporation) Hidden
 
==================== Processes (Whitelisted) =================
 
(Symantec Corporation) C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
() C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
(Symantec Corporation) C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
 
==================== Registry (Whitelisted) ==================
 
HKLM\...\Run: [ccApp] => c:\Program Files\Common Files\Symantec Shared\ccApp.exe [51048 2008-02-07] (Symantec Corporation)
HKLM\...\Run: [isCfgWiz] => c:\Program Files\Common Files\Symantec Shared\OPC\{C86EA115-FACD-4aa8-BFA2-398C677D0936}\SYMCUW.exe [611712 2008-02-23] (Symantec Corporation)
 
==================== Internet (Whitelisted) ====================
 
BHO: No Name -> {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} -> c:\Program Files\Common Files\Symantec Shared\coShared\Browser\2.5\coIEPlg.dll (Symantec Corporation)
BHO: Symantec Intrusion Prevention -> {6D53EC84-6AAE-4787-AEEE-F4628F01010C} -> C:\Program Files\Common Files\Symantec Shared\IDS\IPSBHO.dll (Symantec Corporation)
Toolbar: HKLM - Show Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - c:\Program Files\Common Files\Symantec Shared\coShared\Browser\2.5\CoIEPlg.dll (Symantec Corporation)
 
========================== Services (Whitelisted) =================
 
S4 Automatic LiveUpdate Scheduler; c:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe [238968 2008-02-09] (Symantec Corporation)
R2 ccEvtMgr; c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe [149864 2008-02-07] (Symantec Corporation)
R2 ccSetMgr; c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe [149864 2008-02-07] (Symantec Corporation)
R2 CLTNetCnService; c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe [149864 2008-02-07] (Symantec Corporation)
S3 comHost; c:\Program Files\Common Files\Symantec Shared\VAScanner\comHost.exe [55640 2007-08-22] (Symantec Corporation)
S3 LiveUpdate; c:\Program Files\Symantec\LiveUpdate\LuComServer_3_4.EXE [3220856 2008-02-09] (Symantec Corporation)
R2 LiveUpdate Notice; c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe [149864 2008-02-07] (Symantec Corporation)
R3 Symantec Core LC; C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe [1245064 2008-08-25] ()
 
==================== Drivers (Whitelisted) ====================
 
R2 CO_Mon; C:\Windows\system32\drivers\CO_Mon.sys [36056 2007-08-09] (Symantec Corporation)
S3 IDSvix86; C:\ProgramData\Symantec\Definitions\SymcData\ipsdefs\20071204.002\IDSvix86.sys [180272 2007-11-06] (Symantec Corporation)
R3 NAVENG; C:\ProgramData\Symantec\Definitions\VirusDefs\20080518.003\NAVENG.SYS [82256 2008-05-18] (Symantec Corporation)
R3 NAVEX15; C:\ProgramData\Symantec\Definitions\VirusDefs\20080518.003\NAVEX15.SYS [895408 2008-05-18] (Symantec Corporation)
S3 SPBBCDrv; C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCDrv.sys [447024 2008-01-17] (Symantec Corporation)
R3 SRTSP; C:\Windows\System32\Drivers\SRTSP.SYS [279088 2008-02-01] (Symantec Corporation)
S3 SRTSPL; C:\Windows\System32\Drivers\SRTSPL.SYS [317616 2008-02-01] (Symantec Corporation)
R1 SRTSPX; C:\Windows\System32\Drivers\SRTSPX.SYS [43696 2008-02-01] (Symantec Corporation)
R3 SymEvent; C:\Windows\system32\Drivers\SYMEVENT.SYS [123952 2008-08-25] (Symantec Corporation)
R1 SymIM; C:\Windows\System32\DRIVERS\SymIMv.sys [24112 2008-02-20] (Symantec Corporation)
R1 SYMTDI; C:\Windows\System32\Drivers\SYMTDI.SYS [188464 2008-02-05] (Symantec Corporation)

 

Ten rozbudowany archaiczny Norton sam w sobie może być przyczyną poważnych kłopotów (BSODy z powodu za starych sterowników, blokada startu systemu, spowolnienie, dysfunkcja sieci), a tu jeszcze sprawa pogrążona instalacją AVG. Masakra. To mogło całkowicie zablokować rozruch systemu. Niestety problemem jest tu Recovery - obraz ma zintegrowane stare aplikacje i "przywracając do ustawień fabrycznych" za każdym razem przywracane są te same archaizmy (nie tylko Norton, również Adobe, Java, Windows Live Messenger - ten komunikator już nawet nie działa, obecnie zastąpił go Skype - oraz inne integracje producenta). Poza tym, Recovery degraduje aktualizacje systemu i obecny stan to:

 

Platform: Microsoft® Windows Vista™ Home Premium Service Pack 1 (X86) OS Language: Polski (Polska)
Internet Explorer Version 7

 

 

1. Rozpocznij od całkowitego wyrzucenia starych instalacji z systemu:

- Przez Panel sterowania odinstaluj wszystko co widać od Symantec. Odinstaluj także inne stare dziurawe oraz całkowicie zbędne aplikacje: Adobe Flash Player ActiveX, Adobe Reader 8.1.0 - Polish, Adobe Shockwave Player, Java™ 6 Update 6, HP Customer Experience Enhancements, Pasek narzędzi AOL 5.0, Windows Live Messenger. Rozważ czy potrzebujesz inne firmowe integracje, np. multum instalacji CyberLink, QuickPlay SlingPlayer, Microsoft Office.

- Następnie przejdź w Tryb awaryjny Windows i zastosuj Norton Removal Tool.

 

2. Opuść Tryb awaryjny. Zrób nowy Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi.

[broda]

Wszystko odinstalowane łącznie z cyberlink i resztą. Norton usunięty z trybu awaryjnego, skany zrobione.

 

Addition.txt

FRST.txt

Shortcut.txt

 

Czego jeszcze mogę się pozbyć aby usprawnić pracę komputera? Wiem że sprzęt najnowszy nie jest ale z tego co pamiętam to kiedy go kupowałem działał trochę sprawniej niż teraz.

I jeszcze pytanie czym się chronić? Jaki zestaw (antyvirus i firewall) będzie w miarę skuteczny dla tego komputera który nie będzie go zbytnio spowalniał ale będzie skuteczny?

 

 

[picasso]

Czego jeszcze mogę się pozbyć aby usprawnić pracę komputera? Wiem że sprzęt najnowszy nie jest ale z tego co pamiętam to kiedy go kupowałem działał trochę sprawniej niż teraz.

 

I jeszcze pytanie czym się chronić? Jaki zestaw (antyvirus i firewall) będzie w miarę skuteczny dla tego komputera który nie będzie go zbytnio spowalniał ale będzie skuteczny?

Można jeszcze powyłączać określone wpisy startowe oraz owszem wymienić antywirusa (np. Webroot SecureAnywhere Antivirus lub Panda Cloud Antivirus). Odpowiadam po długim czasie, więc muszę mieć nowe raporty FRST zrobione "z teraz".