bpm Opublikowano 22 Lutego 2011 Zgłoś Udostępnij Opublikowano 22 Lutego 2011 Witam serdecznie, jestem "szczęśliwym" posiadaczem systemu Windows 7 x86, ale już na wstępie pojawiły się małe problemy. Opiszę w punktach objawy: 1. Norton Antivirus po każdym uruchomieniu systemu znajduje Trojana w pliku win.exe, który to znajduje się C:\Windows\system32\, dziwne że tu; 2. Plik ten znajdował się również C:\Program Files\My applications do czasu kiedy Malwarebytes znalazł go i usunął; 3. W katalogu powyższym znajdują się także pliki Windows Defender Apps Control.exe oraz Windows Live Control.exe, które to startują razem z systemem, a których wyłączyć się nie daje. Czytałem troszeczkę na ten temat i jedni twierdzą, że to syf inni, że nie. Na wszelki wypadek chętnie bym się ich pozbył; 4. Przy próbie skanowania za pomocą Gmer'a po jakiejś minucie wywala BSOD, za każdym razem różny (0x0000008E, 0x00000018, REFERENCE BY POINTER) - czyżby to była wina sprzętu? 5. TDSSKiller nic nie znalazł; Przedstawiam log z OTL oraz dodatkowy z SecurityCheck oraz proszę o fachową opinię. Boję się, że sprzęt mi pada, ponieważ kiedy miałem jeszcze XP pojawiały się od czasu do czasu błędy "PAGE_FAULT_IN_NONPAGED_AREA": Results of screen317's Security Check version 0.99.8 Windows 7 Service Pack 1 (UAC is disabled!) Internet Explorer 8 `````````````````````````````` Antivirus/Firewall Check: Norton AntiVirus WMI entry may not exist for antivirus; attempting automatic update. ``````````````````````````````` Anti-malware/Other Utilities Check: Malwarebytes' Anti-Malware TuneUp Utilities TuneUp Utilities Language Pack (pl-PL) TuneUp Utilities CCleaner Java 6 Update 24 Out of date Java installed! Adobe Flash Player 10.2.152.26 Mozilla Firefox (3.6.13) ```````````````````````````````` Process Check: objlist.exe by Laurent Norton ccSvcHst.exe Malwarebytes' Anti-Malware mbamservice.exe Spybot Teatimer.exe is disabled! My applications Windows Defender Apps Control.exe ``````````End of Log```````````` OTL.TxtPobieranie informacji ... Extras.TxtPobieranie informacji ... Odnośnik do komentarza
Landuss Opublikowano 22 Lutego 2011 Zgłoś Udostępnij Opublikowano 22 Lutego 2011 Windows Defender Apps Control to oczywiście infekcja. Wykonaj po kolei następujące czynności: 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Program Files\My applications C:\Windows\System32\win.exe C:\Windows\tasks\{47C2C0B7-AA61-49EF-951D-B362DF6C8821}.job C:\Windows\tasks\{A878C2F7-13CE-449E-B22C-2F878A58A0AC}.job C:\Windows\tasks\{5D50DFB5-65A1-48F0-899A-D22F9B329F27}.job :OTL SRV - File not found [Auto | Stopped] -- -- (HP Health Check Service) DRV - File not found [Kernel | On_Demand | Running] -- -- (vista) :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Powstanie log, który zachowaj w celu prezentacji. 2. Uruchamiasz ponownie OTL i w oknie Własne opcje skanowania/Skrypt wklej: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders Kliknij w Skanuj (nie w Wykonaj skrypt) 3. Prezentujesz nowe logi ze skanowania OTL i log z usuwania. Odnośnik do komentarza
bpm Opublikowano 22 Lutego 2011 Autor Zgłoś Udostępnij Opublikowano 22 Lutego 2011 Wykonane. Usuwanie w zasadzie niewiele dało, ponieważ plik Windows Defender Apps Control.exe w C:\Program Files\My applications jest dalej i startuje z systemem, natomiast Windows Live Control.exe usunął Norton zaraz po restarcie, win.exe nie ma już wcale. Proszę oto nowe logi. EDIT: A jednak, wszystko pojawiło się z powrotem po kolejnym restarcie systemu, czyli Windows Defender Apps Control.exe oraz Windows Live Control.exe w dalszym ciągu startują z systemem oraz znajdują się w C:\Program Files\My applications, natomiast win.exe z C:\Windows\system32 jest usuwany przez Nortona. 02222011_175058.txtPobieranie informacji ... OTL.TxtPobieranie informacji ... Odnośnik do komentarza
Landuss Opublikowano 22 Lutego 2011 Zgłoś Udostępnij Opublikowano 22 Lutego 2011 Wykonaj kolejny skrypt: :Services vista :Files C:\_OTL C:\Program Files\My applications C:\Windows\System32\win.exe :Commands [emptytemp] Nowe logi do oceny. Odnośnik do komentarza
bpm Opublikowano 22 Lutego 2011 Autor Zgłoś Udostępnij Opublikowano 22 Lutego 2011 Gotowe. Ale sytuacja identyczna jak poprzednio. Po kolejnym restarcie kompa zapewne znów wszystko powróci. Nie wiem czy to coś da, ale udało mi się przeskanować kompa Gmer'em, niestety w tylko w awaryjnym. Log w razie czego wrzucam. 02222011_190358.txtPobieranie informacji ... OTL.TxtPobieranie informacji ... gmer.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 22 Lutego 2011 Zgłoś Udostępnij Opublikowano 22 Lutego 2011 Landuss Zadałeś usuwanie C:\_OTL, do którego przecież OTL w trakcie przetwarzania kolejnego skryptu aktywnie zapisuje.... Dlatego folder jest "failed". Folder OTL może wylecieć dopiero, gdy się skończy z OTL. bpm Tu jeszcze trzeba zmienić ścieżkę do folderu Startup (Autostart) podmienionego infekcją: ========== Custom Scans ========== "Startup" = C:\Program Files\My applications -- [2011-02-22 17:53:06 | 000,000,000 | ---D | M] Dopóki jest ta konfiguracja i tak się folder "My applications" będzie odtwarzał po każdym restarcie (Windows Explorer go rekonstruuje odczytując ustawienie folderu powłoki z rejestru). [2011-02-18 12:25:14 | 000,081,920 | -H-- | C] () -- C:\Windows\System32\v3shrtkgn.dll Crack Your Uninstaller też idzie do kosza. 1. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders] "Startup"=hex(2):25,00,55,00,53,00,45,00,52,00,50,00,52,00,4f,00,46,00,49,00,\ 4c,00,45,00,25,00,5c,00,41,00,70,00,70,00,44,00,61,00,74,00,61,00,5c,00,52,\ 00,6f,00,61,00,6d,00,69,00,6e,00,67,00,5c,00,4d,00,69,00,63,00,72,00,6f,00,\ 73,00,6f,00,66,00,74,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,5c,\ 00,53,00,74,00,61,00,72,00,74,00,20,00,4d,00,65,00,6e,00,75,00,5c,00,50,00,\ 72,00,6f,00,67,00,72,00,61,00,6d,00,73,00,5c,00,53,00,74,00,61,00,72,00,74,\ 00,75,00,70,00,00,00 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator > z menu Plik wybierz opcję Importu i wskaż FIX.REG 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Processes killallprocesses :OTL DRV - File not found [Kernel | On_Demand | Running] -- -- (vista) [2011-02-22 19:05:25 | 000,000,000 | ---D | C] -- C:\Program Files\My applications [2011-02-18 12:25:14 | 000,081,920 | -H-- | C] () -- C:\Windows\System32\v3shrtkgn.dll Klik w Wykonaj skrypt. 3. Po restarcie podajesz serię logów. . Odnośnik do komentarza
bpm Opublikowano 22 Lutego 2011 Autor Zgłoś Udostępnij Opublikowano 22 Lutego 2011 Usunięte. Już się nie odtworzył. Log z usuwania przez przypadek wywaliłem, resztę wrzucam. W dniu 22.02.2011 o 18:46, picasso napisał(a): Crack Your Uninstaller też idzie do kosza - C:\Windows\System32\v3shrtkgn.dll Dziwię się ponieważ nigdy nie używałem cracka Your Unistaller Pozostaje jeszcze kwestia czemu po użyciu Gmer'a pojawia się po minucie BSOD? OTL.TxtPobieranie informacji ... Extras.TxtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 22 Lutego 2011 Zgłoś Udostępnij Opublikowano 22 Lutego 2011 Cytat Dziwię się ponieważ nigdy nie używałem cracka Your Unistaller Skąd pobierałeś ten program? Plik jest opisany tu: KLIK / KLIK. Na stronie threatexpert.com są jeszcze dwa dodatkowe opisy, wszystkie łączy to samo = keymaker. Wnioski: to nie jest czysta wersja od producenta. Cytat Pozostaje jeszcze kwestia czemu po użyciu Gmer'a pojawia się po minucie BSOD? Trudno powiedzieć, ale jest tu spora liczba sterowników kernel Symantec i inne. Sprawdź jeszcze, czy skan przejdzie po odznaczeniu pozycji IAT/EAT. 1. Radzę zresetować plik HOSTS do poziomu domyślnego: O1 - Hosts: 127.0.0.1 www.007guard.comO1 - Hosts: 127.0.0.1 007guard.comO1 - Hosts: 127.0.0.1 008i.comO1 - Hosts: 127.0.0.1 www.008k.comO1 - Hosts: 127.0.0.1 008k.com(...)O1 - Hosts: 8709 more lines... Opcja dostępna w ustawieniach immunizacji statycznej Spybot Search & Destroy. Notabene: radzę również odmontować ten program w sposób całkowity. Program przestarzały o za słabych właściwościach jak na dzisiejsze warunki, nie do końca też idealnie zgodny z Windows 7 (m.in. brak pełnej integracji z Centrum zabezpieczeń). Teraz normalne "antywirusy" są już multifunkcyjnie i adresują spyware / inne typy malware. Wystarczy jako uzupełnienie do Symantec tylko skaner MBAM na żądanie. 2. W OTL wywołaj funkcję Sprzątanie. 3. Wyczyść foldery Przywracania systemu (INSTRUKCJE). . Odnośnik do komentarza
bpm Opublikowano 23 Lutego 2011 Autor Zgłoś Udostępnij Opublikowano 23 Lutego 2011 Zrobione. Co do Spybot'a to racja, nowa wersja programu nie pojawiła się od 2 lat. Natomiast jeśli chodzi o Gmer odznaczenie pozycji IAT/EAT nic nie dało, w dalszym ciągu wywala BSOD. Nie mnej jednak dziękuję serdecznie po raz kolejny za fachową poradę oraz pozdrawiam serdecznie. Odnośnik do komentarza
Rekomendowane odpowiedzi