cherimoya.sys bsdriver.sys w system32

Volimate · 13 Lutego 2016

Witam!

Mój kumpel naściągał sporo syfu na komputer, z czego znaczną większość udało mi się wyrzucić, ale...
Został jeden plik (z kolegami) który dalej powoduje wyświetlanie reklam w przeglądarce i ogólny burdel w oknie przeglądarki.

Failed to delete: C:\WINDOWS\system32\drivers\bsdriver.sys (File)
Failed to delete: C:\WINDOWS\system32\drivers\cherimoya.sys (File)
Failed to delete: C:\WINDOWS\system32\Drivers\{5b90b8c9-ca2d-48cf-a825-47d98b8a17e5}Gw64.sys (File)
(wycinek loga JRT)

Próbowałem usunąć plik ręcznie, system wypluwał informację iż nie jestem administratorem pliku. Przypisałem sobie cały folder /windows/, lecz plik po prostu sam w sobie się uparł że nie można zmienić jego właściciela i nie mogę nadać sobie uprawnień do usunięcia go. Reset przeglądarki nic nie dał, uninstall też.

Przy próbie odczytania logów GMERem, system wypluwa bluescreen:
"ATTEMPTED_WRITE_TO_READONLY_MEMORY (win32k.sys)"
Przy użyciu Adw/SpyHuntera/MalwareBytes nie da się usunąć tego pliku - program nie odpowiada/bluescreen

Z góry dzięki za wszelką pomoc!

Addition.txt

FRST.txt

JRT.txt

Shortcut.txt

Volimate · 15 Lutego 2016

Podbijam, dorzucam logi które zaproponowała mi dorzucić @filutka78 z forum pclab na którym również założyłem temat

Fixlog.txt

Volimate · 16 Lutego 2016

Ponownie podbijam z nowymi logami oraz próbą rozwiązania problemu przez filutkę z pclab'u

Jeśli podbiłem temat zbyt dużo razy - przepraszam, po prostu liczę że komuś pomoże to rozwiązać problem w przeszłości.

Volimate · 18 Lutego 2016

Logi z pclabu na prośbę filutki.
Ponownie przepraszam za podbijanie tematu.

Fixlog po długim skrypcie.txt

Fixlog po instances.txt

Search files.txt

Search rejestr.txt

picasso · 23 Lutego 2016

Ofensywne sterowniki to nie jedyny problem. Masz zainfekowane systemowe pliki dnsapi.dll (mają unikatowe sumy kontrolne). A jeśli chodzi o oporne sterowniki filtrujące dysk, początkowo były dwa: bsdriver oraz MPCKpt. Pierwszy wypięto, ale przy drugim zastosowano błędną składnię (nazwa instancji jest inna). Inne błędy w skrypcie: C:\found.00* = FRST nie umożliwia zbiorowego usuwania folderów. Przy okazji będę usuwać składniki odinstalowanego Firefoxa oraz szczątki po upgradzie do Windows 10 (martwe Media Center, instalator Windows 10 je usuwa niekompletnie).

Działania do przeprowadzenia:

1. Uruchom RepairDNS. Na Pulpicie powstanie plik raportu RepairDNS.txt.

2. Otwórz Notatnik i wklej w nim:

CloseProcesses:
CMD: fltmc detach MPCKpt C: "NPminifilter Instance"
CMD: fltmc detach MPCKpt D: "NPminifilter Instance"
CMD: fltmc detach MPCKpt \Device\Mup "NPminifilter Instance"
CMD: fltmc instances
CMD: netsh advfirewall reset
CMD: attrib /d /s -r -s -h C:\FOUND.*
CMD: for /d %f in (C:\FOUND.*) do rd /s /q "%f"
R1 MPCKpt; C:\Windows\System32\DRIVERS\MPCKpt.sys [60136 2016-02-13] (DotC United Inc)
U3 idsvc; Brak ImagePath
HKLM-x32\...\Run: [blueStacks Agent] => C:\Program Files (x86)\BlueStacks\HD-Agent.exe
Task: {044C685F-6EE2-4C05-887B-8503D2214936} - System32\Tasks\Game_Booster_AutoUpdate => C:\Program Files (x86)\IObit\Game Booster 3\AutoUpdate.exe
Task: {19144C6E-F937-4C98-8C05-684E5C118C2A} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\Windows\ehome\mcupdate.exe
Task: {1F4DA1A4-F22F-48EC-96C6-8988B50B5B77} - System32\Tasks\{6B250226-EABE-423A-B553-4ADEB88B93D5} => pcalua.exe -a "C:\Program Files (x86)\Common Files\Blizzard Entertainment\StarCraft II\Uninstall.exe"
Task: {2990FEBC-89A6-4848-BA04-FB44844AA8CA} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\Windows\ehome\mcupdate.exe
Task: {29C53618-C170-4056-8C71-CA30DB716556} - System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart => C:\Windows\ehome\ehrec.exe
Task: {3425C917-799B-4395-8F67-E7DA95B7F138} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\Windows\ehome\mcupdate.exe
Task: {34C33E55-66A2-4DFA-BDDC-6470C41CA5FE} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\Windows\ehome\ehPrivJob.exe
Task: {4EBBFFBF-8D9A-4922-9012-E9644486D22F} - System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry => C:\Windows\ehome\MCUpdate.exe
Task: {5610C9A0-4124-4CA9-8477-C0FF863FB605} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\Windows\ehome\ehPrivJob.exe
Task: {57318E7C-5870-466D-995F-D5CC5C1B55F4} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\Windows\ehome\ehPrivJob.exe
Task: {5FC9B581-C4DC-4651-A8BA-A490613A5575} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\Windows\ehome\ehPrivJob.exe
Task: {674016F9-0D3D-4994-9E4B-E0BB32DEFF8E} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe
Task: {7C23D056-3271-4DFE-B2BE-3125307E33EA} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\Windows\ehome\mcupdate.exe
Task: {A4A6B07C-67B9-430D-8E10-606F6B252B5A} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\Windows\ehome\ehPrivJob.exe
Task: {A61212AE-F9FF-438C-BE70-B0C63FB75588} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\Windows\ehome\ehPrivJob.exe
Task: {AA442E2E-4360-4A35-A809-6EA401665427} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\Windows\ehome\mcupdate.exe
Task: {AC27D541-6914-45F6-B1F7-07427CA75262} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\Windows\ehome\ehPrivJob.exe
Task: {B254FBF5-8AFF-4AE9-B903-2F9EF66C3412} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\Windows\ehome\ehPrivJob.exe
Task: {CD753530-E580-486D-B4D8-6821164D8A0A} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\Windows\ehome\ehPrivJob.exe
Task: {D55837C8-6FA4-4321-9E4F-2EFCCFD995F3} - System32\Tasks\Opera scheduled Autoupdate 1441827031 => C:\Program Files (x86)\Opera\launcher.exe
Task: {DAE58985-B39B-4E80-802A-F0B4FB68E4BF} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\Windows\ehome\ehPrivJob.exe
Task: {E8D6B186-1441-4FA7-9B54-2134E0BB8A8C} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\Windows\ehome\ehPrivJob.exe
Task: {E8E07C1B-9972-4551-93BC-3FB62E111AA6} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\Windows\ehome\mcupdate.exe
Task: {F69831CA-C7EF-42CF-B613-BF9D7764AA51} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => C:\Windows\ehome\ehPrivJob.exe
Task: {FE8D10EB-8248-4D5F-BEB4-C841655B4C09} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\Windows\ehome\ehPrivJob.exe
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=130874913981609399&GUID=00000000-0000-0000-0000-000000000000
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page =
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com
C:\Program Files\McAfee Security Scan
C:\Program Files (x86)\IObit
C:\Program Files (x86)\Mozilla Firefox
C:\ProgramData\IObit
C:\ProgramData\Mozilla
C:\ProgramData\Microsoft\Windows\GameExplorer\{00000000-0000-0000-0000-000000000000}
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\JoWood
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StarGame
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Power Sound Editor Free
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SpyHunter4
C:\Users\Laptop\AppData\Local\{77876B24-835A-4536-B2D5-82F6930347AC}
C:\Users\Laptop\AppData\Local\Mozilla
C:\Users\Laptop\AppData\Roaming\HJMHKZ
C:\Users\Laptop\AppData\Roaming\RMBKJW
C:\Users\Laptop\AppData\Roaming\uninstall_temp.ico
C:\Users\Laptop\AppData\Roaming\IObit
C:\Users\DefaultAppPool\AppData\Roaming\Media Center Programs
C:\Users\Laptop\AppData\Roaming\Mozilla
C:\Users\Laptop\AppData\Roaming\ProductData
C:\Users\Laptop\Desktop\gry\Borderlands GOTY Edition.lnk
C:\Users\Laptop\Desktop\gry\Gothic II.lnk
C:\Users\Laptop\Desktop\gry\MK LOL.lnk
C:\Users\Laptop\Desktop\Wiciu\Advanced SystemCare 8.lnk
C:\Users\Laptop\Desktop\Wiciu\Avast Premier.lnk
C:\Users\Laptop\Desktop\Wiciu\Avast SafeZone.lnk
C:\Users\Laptop\Desktop\Wiciu\Driver Booster 2.lnk
C:\Users\Laptop\Desktop\Wiciu\Game Booster 3.lnk
C:\Users\Laptop\Desktop\Wiciu\IObit Malware Fighter.lnk
C:\Users\Laptop\Downloads\*.crdownload
C:\Windows\ehome
C:\WINDOWS\System32\Drivers\MPCKpt.sys
C:\WINDOWS\system32\Drivers\etc\hp.bak
C:\WINDOWS\system32\gus
C:\WINDOWS\System32\Tasks\Microsoft\Windows\Media Center
Folder: C:\Users\Public\Documents\dmp
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v BingSvc /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "CCleaner Monitoring" /f
RemoveProxy:

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST.

3. Wejdź w Tryb awaryjny Windows: Menu Start > Ustawienia > Aktualizacje i zabezpieczenia > Odzyskiwanie > Uruchamianie zaawansowane > Uruchom teraz > nastąpi restart > w menu które się pojawi wybierz Rozwiąż problemy > Zaawansowane opcje rozruchu i wybierz Tryb awaryjny. Uruchom FRST i kliknij w Napraw (Fix). Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

4. Opuść Tryb awaryjny. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też pliki fixlog.txt i RepairDNS.txt.

Edytowane 2 Czerwca 2016 przez picasso
Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso

Zaloguj się

cherimoya.sys bsdriver.sys w system32

Rekomendowane odpowiedzi

Volimate

Odnośnik do komentarza

Volimate

Odnośnik do komentarza

Volimate

Odnośnik do komentarza

Volimate

Odnośnik do komentarza

picasso

Odnośnik do komentarza

Ostatnio przeglądający 0 użytkowników

Przeglądaj

Cała aktywność