Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Usunięcie Rootkita przez Avast - ciągłe restartowanie WinXP

ankietowani

Przez ankietowani
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

ankietowani

ankietowani

Opublikowano
Opublikowano

Dzień dobry.

 

W ostatnią niedzielę 07.08.2016 podczas normalnego użytkowania komputera (przeglądanie stron www) avast wykrył infekcje typu Rootkit. Niestety, ale nie zapamiętałem co to był za plik oraz jaki Rootkit, ani nie zrobiłem screena :(. Starałem się odnaleźć tą akcję w jakimś dzienniku avasta, ale nigdzie tego nie widzę (może źle szukam).

Po wyskoczeniu monitu o infekcji wybrałem usunięcie pliku (poprzez avast). Avast po usunięciu zaordynował ponowne uruchomienie komputera i skan całego dysku przed uruchomieniem Windows.

Niestety Windows nie uruchomił się ponownie - za pierwszym razem od razu restart komputera. Za drugim i każdym następnym komputer podczas uruchamiania wyświetlał ekran wyboru systemu (tryb awaryjny, ostatnia działająca konfiguracja, uruchom normalnie). Po wybraniu obojętnie jakiej pozycji następował natychmiastowy restart komputera.

Windows udało mi się uruchomić poprzez płytę instalacyjną systemu WinXP i "nadinstalowanie" systemu na obecną instalację (menu płyty botowalnej-> instalacja systemu windows-> napraw istniejącą instalację).

Po uruchomieniu Windowsa po naprawie Avast od razu przeprowadził skan, ale nic konkretnego nie znalazł.

 

Komputer działa, jednak już dwukrotnie się zawiesił. Proszę o sprawdzenie logów, czy aby na pewno Avast usunął tego rootkita.

 

Logi FRST:

FRST

Addition

Shortcut

 

Przy włączaniu Gmer'a wyskakiwał błąd jak na załączonym screenie. Po kliknięciu "OK" Gmer włączał się, ale nie można było przeprowadzić skanowanie: usług, rejestru i pliku. Pozostałe okienka były szare.

Log

 

Z góry dziękuję za pomoc.

 

skan gmer.JPG
Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Dostarczony raport potwierdza brak widocznych oznak infekcji. Jak mówiłam, przy braku danych pierwotnych mogę tylko spekulować że prawdopodobnie wystąpił jakiś fałszywy alarm.

 

Możesz wykonać poboczne działania:

 

1. Odinstaluj Dropbox (wkrótce kompletnie przestanie działać na XP) oraz NVIDIA ForceWare Network Access Manager (problematyczny stary firewall nVidia). Za to do aktualizacji te programy: Adobe Flash Player 17 ActiveX, Adobe Reader XI (11.0.08), Internet Explorer 6, Java 8 Update 31. Wszystko jest w przyklejonym: KLIK.

 

2. Skrypt "kosmetyczny" usuwający szczątki, niepodpisane cyfrowo rozszerzenia i inne drobnostki. Otwórz Notatnik i wklej w nim:

  

CloseProcesses:
CreateRestorePoint:
S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X]
HKLM\...\Run: [nTrayFw] => C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
SearchScopes: HKU\S-1-5-21-1957994488-1450960922-1417001333-1003 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
FF HKLM\...\Firefox\Extensions: [pdf_architect_2_conv@pdfarchitect.org] - C:\Program Files\PDF Architect 2\resources\pdfarchitect2firefoxextension
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
CHR HKLM\...\Chrome\Extension: [daanglpcpkjjlkhcbladppjphglbigam] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2015-05-03]
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2
C:\Documents and Settings\All Users\Menu Start\Programy\PDFCreator\Licenses
C:\WINDOWS\*.tmp
C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
CMD: netsh firewall reset
CMD: netsh winsock reset
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

 

 

Cytat

Windows udało mi się uruchomić poprzez płytę instalacyjną systemu WinXP i "nadinstalowanie" systemu na obecną instalację (menu płyty botowalnej-> instalacja systemu windows-> napraw istniejącą instalację).

 

Skutki uboczne to redukcja aktualizacji, widoczne zdegradowanie zintegrowanej przeglądarki Internet Explorer do wersji 6, o czym już wyżej wspominam. Po instalacji IE8 należy uruchomić Windows Update i uzupełnić resztę.

 

Druga sprawa, to seria błędów które nie wiem do czego podpiąć, czy to aby nie są też skutki tego "nadpisania" XP, oraz czy conajmniej błędy BITS są nadal aktualne:

  

==================== Punkty Przywracania systemu =========================

Niepowodzenie przy listowaniu punktów przywracania
Sprawdź usługę "winmgmt" lub napraw WMI.


Dziennik System:
=============
Error: (08/08/2016 08:54:53 PM) (Source: DCOM) (EventID: 10005) (User: MISIEK)
Description: Model DCOM odebrał błąd „%%1083 = Program wykonywalny, w którym ta usługa (zgodnie z jej konfiguracją) ma być uruchomiona, nie implementuje usługi.” podczas próby uruchomienia usługi BITS z argumentami „”
w celu uruchomienia serwera:
{4991D34B-80A1-4291-83B6-3328366B9097}

 

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...