Tyrraell Opublikowano 16 Listopada 2015 Zgłoś Udostępnij Opublikowano 16 Listopada 2015 Witam! Nie mogę pozbyć się z komputera trojana - AVG przy każdym uruchomieniu wyświetla powiadomienie o infekcji (patrz załącznik). Skanowanie AdwCleanerem, Malware Bytes, Dr Web Cureit i skanerem AVG nie przyniosło rezultatu. System operacyjny: Windows 8.1 32-bit W załącznikach logi z FRST, niestety GMER wysypuje się podczas skanowania (patrz załącznik) Z góry dziękuję za pomoc. Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 16 Listopada 2015 Zgłoś Udostępnij Opublikowano 16 Listopada 2015 W raportach nie widać jawnych oznak infekcji. Oceniając po zgłoszeniach AVG kierujących na plik C:\Windows\Temp\SppExtComObjHook.dll, wygląda na to że AVG wykrywa aktywność cracka aktywacji Office. Masz go w Zaplanowanych zadaniach: Task: {CFFA4BC0-FFC0-465E-ACE9-E6AE7584A19A} - System32\Tasks\AutoKMS => C:\Windows\AutoKMS\AutoKMS.exe [2015-07-27] () Ten crack będzie wykrywany przez rozmaite skanery. Na początek przeprowadź test, czy wyłączenie tego obiektu spowoduje ustanie zgłoszeń. Uruchom Autoruns, w karcie Scheduled Tasks wyłącz AutoKMS, zresetuj system i podaj czy AVG nadal zgłasza coś. Gdy mi potwierdzisz stan rzeczy, zajmę się innymi rzeczami, tzn. usunięcie odpadkowymch wpisów. Odnośnik do komentarza
Tyrraell Opublikowano 16 Listopada 2015 Autor Zgłoś Udostępnij Opublikowano 16 Listopada 2015 Wielkie dzięki za szybką odpowiedź. Nie mogę doszukać się AutoKMS w podanej przez Ciebie lokalizacji - może coś przeoczyłem? http://zapodaj.net/ce694f43bc804.jpg.html Odnośnik do komentarza
picasso Opublikowano 16 Listopada 2015 Zgłoś Udostępnij Opublikowano 16 Listopada 2015 Jest tu więc jakaś rozbieżność detekcji, albo coś się zmieniło w międzyczasie, bo FRST widzi AutoKMS w Harmonogramie. W związku z tym po prostu zadam do usuwania ten element, wraz z innymi wspominanymi poprawkami. Akcje do przeprowadzenia: 1. Odinstaluj SlimDrivers. Instalacja wygląda na naruszoną (może AdwCleaner coś tam grzebał). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {91FF2CF2-A6AE-4288-A58E-D56F388AAF3A} - System32\Tasks\SlimDrivers Startup => C:\Program Files\SlimDrivers\SlimDrivers.exe Task: {9FA58E07-9EA9-446E-BB99-70AD30F0051E} - System32\Tasks\Microsoft\Office\OfficeTelemetryAgentLogOn => C:\Program Files\Microsoft Office\Office15\msoia.exe Task: {AFBEFB4B-F65A-4845-A836-A7A324203D16} - System32\Tasks\Microsoft\Office\OfficeTelemetryAgentFallBack => C:\Program Files\Microsoft Office\Office15\msoia.exe Task: {B7FE9452-F3C4-4B82-B961-419F0A30898E} - System32\Tasks\JetCleanLoginCheckUpdate => E:\Program Files\BlueSprig\JetClean\AutoUpdate.exe Task: {BE07A5E2-D4A7-4966-A73A-008B31232C0F} - System32\Tasks\JetBoost_AutoUpdate => E:\Program Files\BlueSprig\JetBoost\AutoUpdate.exe Task: {CFFA4BC0-FFC0-465E-ACE9-E6AE7584A19A} - System32\Tasks\AutoKMS => C:\Windows\AutoKMS\AutoKMS.exe [2015-07-27] () Task: C:\Windows\Tasks\SlimDrivers Startup.job => C:\Program Files\SlimDrivers\SlimDrivers.exe CustomCLSID: HKU\S-1-5-21-988280708-379344645-3364513464-1001_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-988280708-379344645-3364513464-1001_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-988280708-379344645-3364513464-1001_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-988280708-379344645-3364513464-1001_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> Brak ścieżki do pliku HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\AutoKMS Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy po przeprowadzonej operacji AVG nadal coś wykrywa. Odnośnik do komentarza
Tyrraell Opublikowano 16 Listopada 2015 Autor Zgłoś Udostępnij Opublikowano 16 Listopada 2015 Wykonałem wszystkie zalecone przez Ciebie kroki - AVG nie zgłasza już problemów. Chylę czoła dla wiedzy i chęci niesienia bezinteresownej pomocy! W załącznikach logi, o których wspominałaś. Addition.txt Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 16 Listopada 2015 Zgłoś Udostępnij Opublikowano 16 Listopada 2015 1. FRST zadanie jednak wykrył i częściowo usunął, w międzyczasie zadanie bowiem zmieniło identyfikator rejestru. Nadal widzę je w Harmonogramie, ale już w postaci zupełnie zdewastowanej. Kolejna poprawka. Otwórz Notatnik i wklej w nim: Task: {F8A026DC-D6B7-4FA3-A818-D3E21CB700A2} - \AutoKMS -> Brak pliku CMD: set Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 2. Druga sprawa, czy przypadkiem w Autoruns nie ruszałeś czegoś więcej niż zadane? Widzę nową i to niekorzystną zmianę, otóż nagle z niewiadomych powodów masa sterowników (uprzednio filtrowana) się ujawniła pokazując "brak pliku", co nie jest normalne. Fix FRST w ogóle nie ruszał tego obszaru, więc powstaje pytanie skąd ta usterka. W powyższym fixie zadałam komendę sprawdzania Zmiennych środowiskowych, może tam coś się uszkodziło. R3 1394ohci; \SystemRoot\System32\drivers\1394ohci.sys [X] S3 acpipagr; \SystemRoot\System32\drivers\acpipagr.sys [X] S3 AcpiPmi; \SystemRoot\System32\drivers\acpipmi.sys [X] S3 acpitime; \SystemRoot\System32\drivers\acpitime.sys [X] R1 AFD; \SystemRoot\system32\drivers\afd.sys [X] S3 AmdK8; \SystemRoot\System32\drivers\amdk8.sys [X] S3 AmdPPM; \SystemRoot\System32\drivers\amdppm.sys [X] S3 AppID; \SystemRoot\system32\drivers\appid.sys [X] R1 AVGIDSShim; \SystemRoot\system32\DRIVERS\avgidsshimw8x.sys [X] R1 Avgwfpx; \SystemRoot\system32\DRIVERS\avgwfpx.sys [X] R3 b57nd60x; \SystemRoot\system32\DRIVERS\b57nd60x.sys [X] R1 BasicDisplay; \SystemRoot\System32\drivers\BasicDisplay.sys [X] R1 BasicRender; \SystemRoot\System32\drivers\BasicRender.sys [X] R3 BCM43XX; \SystemRoot\system32\DRIVERS\bcmwl63l.sys [X] S3 bcmfn2; \SystemRoot\System32\drivers\bcmfn2.sys [X] S3 BthAvrcpTg; \SystemRoot\System32\drivers\BthAvrcpTg.sys [X] S3 BthHFEnum; \SystemRoot\System32\drivers\bthhfenum.sys [X] S3 bthhfhid; \SystemRoot\System32\drivers\BthHFHid.sys [X] S3 BTHMODEM; \SystemRoot\System32\drivers\bthmodem.sys [X] R1 cdrom; \SystemRoot\System32\drivers\cdrom.sys [X] S3 circlass; \SystemRoot\System32\drivers\circlass.sys [X] R3 CmBatt; \SystemRoot\System32\drivers\CmBatt.sys [X] R3 CompositeBus; \SystemRoot\System32\drivers\CompositeBus.sys [X] S3 dmvsc; \SystemRoot\System32\drivers\dmvsc.sys [X] S3 drmkaud; \SystemRoot\system32\drivers\drmkaud.sys [X] R3 DXGKrnl; \SystemRoot\System32\drivers\dxgkrnl.sys [X] S3 E1G60; \SystemRoot\system32\DRIVERS\E1G60I32.sys [X] S3 ErrDev; \SystemRoot\System32\drivers\errdev.sys [X] S3 fdc; \SystemRoot\System32\drivers\fdc.sys [X] S3 flpydisk; \SystemRoot\System32\drivers\flpydisk.sys [X] S3 FxPPM; \SystemRoot\System32\drivers\fxppm.sys [X] S3 gencounter; \SystemRoot\System32\drivers\vmgencounter.sys [X] S3 GPIO; \SystemRoot\System32\drivers\iaiogpio.sys [X] S3 HdAudAddService; \SystemRoot\system32\drivers\HdAudio.sys [X] R3 HDAudBus; \SystemRoot\System32\drivers\HDAudBus.sys [X] S3 HidBatt; \SystemRoot\System32\drivers\HidBatt.sys [X] S3 HidBth; \SystemRoot\System32\drivers\hidbth.sys [X] S3 hidi2c; \SystemRoot\System32\drivers\hidi2c.sys [X] S3 HidIr; \SystemRoot\System32\drivers\hidir.sys [X] R3 HidUsb; \SystemRoot\System32\drivers\hidusb.sys [X] S3 hyperkbd; \SystemRoot\System32\drivers\hyperkbd.sys [X] S3 HyperVideo; \SystemRoot\system32\DRIVERS\HyperVideo.sys [X] R3 i8042prt; \SystemRoot\System32\drivers\i8042prt.sys [X] S3 iaioi2c; \SystemRoot\System32\drivers\iaioi2c.sys [X] R3 igfx; \SystemRoot\system32\DRIVERS\igdkmd32.sys [X] R3 IntcAzAudAddService; \SystemRoot\system32\drivers\RTKVHDA.sys [X] R3 intelppm; \SystemRoot\System32\drivers\intelppm.sys [X] S3 IPMIDRV; \SystemRoot\System32\drivers\IPMIDrv.sys [X] R2 irda; \SystemRoot\system32\DRIVERS\irda.sys [X] S3 iScsiPrt; \SystemRoot\System32\drivers\msiscsi.sys [X] R3 kbdclass; \SystemRoot\System32\drivers\kbdclass.sys [X] S3 kbdhid; \SystemRoot\System32\drivers\kbdhid.sys [X] R3 kdnic; \SystemRoot\system32\DRIVERS\kdnic.sys [X] R2 lltdio; \SystemRoot\system32\DRIVERS\lltdio.sys [X] R2 luafv; \SystemRoot\system32\drivers\luafv.sys [X] R3 monitor; \SystemRoot\System32\drivers\monitor.sys [X] R3 mouclass; \SystemRoot\System32\drivers\mouclass.sys [X] R3 mouhid; \SystemRoot\System32\drivers\mouhid.sys [X] S3 MRxDAV; \SystemRoot\system32\drivers\mrxdav.sys [X] S3 MsBridge; \SystemRoot\system32\DRIVERS\bridge.sys [X] S3 msgpiowin32; \SystemRoot\System32\drivers\msgpiowin32.sys [X] S3 mshidkmdf; \SystemRoot\System32\drivers\mshidkmdf.sys [X] S3 mshidumdf; \SystemRoot\System32\drivers\mshidumdf.sys [X] S3 MSKSSRV; \SystemRoot\system32\drivers\MSKSSRV.sys [X] S3 MsLldp; \SystemRoot\system32\DRIVERS\mslldp.sys [X] S3 MSPCLOCK; \SystemRoot\system32\drivers\MSPCLOCK.sys [X] S3 MSPQM; \SystemRoot\system32\drivers\MSPQM.sys [X] R1 mssmbios; \SystemRoot\System32\drivers\mssmbios.sys [X] S3 MSTEE; \SystemRoot\system32\drivers\MSTEE.sys [X] S3 MTConfig; \SystemRoot\System32\drivers\MTConfig.sys [X] R2 NativeWifiP; \SystemRoot\system32\DRIVERS\nwifi.sys [X] S3 NdisCap; \SystemRoot\system32\DRIVERS\ndiscap.sys [X] S3 NdisImPlatform; \SystemRoot\system32\DRIVERS\NdisImPlatform.sys [X] S3 NdisTapi; \SystemRoot\system32\DRIVERS\ndistapi.sys [X] R3 Ndisuio; \SystemRoot\system32\DRIVERS\ndisuio.sys [X] R3 NdisVirtualBus; \SystemRoot\System32\drivers\NdisVirtualBus.sys [X] S3 NdisWan; \SystemRoot\system32\DRIVERS\ndiswan.sys [X] S3 NdisWanLegacy; \SystemRoot\system32\DRIVERS\ndiswan.sys [X] S3 netvsc; \SystemRoot\System32\drivers\netvsc63.sys [X] R1 npsvctrig; \SystemRoot\System32\drivers\npsvctrig.sys [X] R3 NSCIRDA; \SystemRoot\system32\DRIVERS\nscirda.sys [X] S3 Parport; \SystemRoot\System32\drivers\parport.sys [X] S2 Parvdm; \SystemRoot\System32\drivers\parvdm.sys [X] S3 Processor; \SystemRoot\System32\drivers\processr.sys [X] R1 Psched; \SystemRoot\system32\DRIVERS\pacer.sys [X] S3 QWAVEdrv; \SystemRoot\system32\drivers\qwavedrv.sys [X] S3 RasPppoe; \SystemRoot\system32\DRIVERS\raspppoe.sys [X] R3 rdpbus; \SystemRoot\System32\drivers\rdpbus.sys [X] R2 rspndr; \SystemRoot\system32\DRIVERS\rspndr.sys [X] S3 s3cap; \SystemRoot\System32\drivers\vms3cap.sys [X] R3 sdbus; \SystemRoot\System32\drivers\sdbus.sys [X] S3 sdstor; \SystemRoot\System32\drivers\sdstor.sys [X] S3 Serenum; \SystemRoot\System32\drivers\serenum.sys [X] S3 Serial; \SystemRoot\System32\drivers\serial.sys [X] S3 sermouse; \SystemRoot\System32\drivers\sermouse.sys [X] S3 sfloppy; \SystemRoot\System32\drivers\sfloppy.sys [X] R3 SrvHsfHDA; \SystemRoot\system32\DRIVERS\VSTAZL3.SYS [X] R3 SrvHsfV92; \SystemRoot\system32\DRIVERS\VSTDPV3.SYS [X] R3 SrvHsfWinac; \SystemRoot\system32\DRIVERS\VSTCNXT3.SYS [X] R3 swenum; \SystemRoot\System32\drivers\swenum.sys [X] S3 TCPIP6; \SystemRoot\system32\DRIVERS\tcpip.sys [X] R1 tdx; \SystemRoot\system32\DRIVERS\tdx.sys [X] S3 terminpt; \SystemRoot\System32\drivers\terminpt.sys [X] R3 tifm21; \SystemRoot\system32\drivers\tifm21.sys [X] S3 TPM; \SystemRoot\system32\drivers\tpm.sys [X] S3 TsUsbGD; \SystemRoot\System32\drivers\TsUsbGD.sys [X] R3 tunnel; \SystemRoot\system32\DRIVERS\tunnel.sys [X] S3 UASPStor; \SystemRoot\System32\drivers\uaspstor.sys [X] S3 UCX01000; \SystemRoot\System32\drivers\ucx01000.sys [X] S3 UEFI; \SystemRoot\System32\drivers\UEFI.sys [X] R3 umbus; \SystemRoot\System32\drivers\umbus.sys [X] S3 UmPass; \SystemRoot\System32\drivers\umpass.sys [X] R3 usbaudio; \SystemRoot\system32\drivers\usbaudio.sys [X] R3 usbccgp; \SystemRoot\System32\drivers\usbccgp.sys [X] S3 usbcir; \SystemRoot\System32\drivers\usbcir.sys [X] R3 usbehci; \SystemRoot\System32\drivers\usbehci.sys [X] R3 usbhub; \SystemRoot\System32\drivers\usbhub.sys [X] S3 USBHUB3; \SystemRoot\System32\drivers\UsbHub3.sys [X] S3 usbohci; \SystemRoot\System32\drivers\usbohci.sys [X] S3 usbprint; \SystemRoot\System32\drivers\usbprint.sys [X] S3 USBSTOR; \SystemRoot\System32\drivers\USBSTOR.SYS [X] R3 usbuhci; \SystemRoot\System32\drivers\usbuhci.sys [X] S3 USBXHCI; \SystemRoot\System32\drivers\USBXHCI.SYS [X] S3 vhdmp; \SystemRoot\System32\drivers\vhdmp.sys [X] S3 ViaC7; \SystemRoot\System32\drivers\viac7.sys [X] S3 VMBusHID; \SystemRoot\System32\drivers\VMBusHID.sys [X] R3 vwifibus; \SystemRoot\System32\drivers\vwifibus.sys [X] R1 vwififlt; \SystemRoot\system32\DRIVERS\vwififlt.sys [X] S3 WacomPen; \SystemRoot\System32\drivers\wacompen.sys [X] S3 WdBoot; \SystemRoot\system32\drivers\WdBoot.sys [X] S3 WdFilter; \SystemRoot\system32\drivers\WdFilter.sys [X] S3 WinUsb; \SystemRoot\system32\DRIVERS\WinUsb.sys [X] R3 WmiAcpi; \SystemRoot\System32\drivers\wmiacpi.sys [X] S4 ws2ifsl; \SystemRoot\system32\drivers\ws2ifsl.sys [X] S3 WUDFRd; \SystemRoot\System32\drivers\WUDFRd.sys [X] S3 WUDFWpdFs; \SystemRoot\system32\DRIVERS\WUDFRd.sys [X] S3 WUDFWpdMtp; \SystemRoot\system32\DRIVERS\WUDFRd.sys [X] Odnośnik do komentarza
Tyrraell Opublikowano 16 Listopada 2015 Autor Zgłoś Udostępnij Opublikowano 16 Listopada 2015 1. Wykonane, log w złączniku. 2. Nie ruszałem innych poleceń w Autoruns; być może usunięcie Slim Drivers (którym pomagałem sobie przy aktualizacji sterowników) dało taki niekorzystny efekt? Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 17 Listopada 2015 Zgłoś Udostępnij Opublikowano 17 Listopada 2015 EDIT: To jest bug FRST Wersja:16-11-2015, bo u mnie właśnie pokazało się dokładnie to samo co u Ciebie. Jeśli wrócę na starszą wersję 7-11-2015, skan wygląda jak powinien. Wszystko jest w porządku ze sterownikami. Już zgłosiłam autorowi problem. Odnośnik do komentarza
Tyrraell Opublikowano 17 Listopada 2015 Autor Zgłoś Udostępnij Opublikowano 17 Listopada 2015 Raz jeszcze, wielkie dzięki za pomoc! Odnośnik do komentarza
picasso Opublikowano 17 Listopada 2015 Zgłoś Udostępnij Opublikowano 17 Listopada 2015 Na koniec: Skasuj folder C:\Users\Mate\Desktop\FRST. Następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu (aktualnie powinien być tylko punkt utworzony skryptem FRSt): KLIK. Odnośnik do komentarza
Rekomendowane odpowiedzi