Eset Smart Security wyłączył się, nie można uruchomić komputera

[swienty77]

Witam!

Czy to plaga czy indolencja moja. Trzeci komputer padł mi. Syna - przeinstalowałem, żony - walczę z Zeroaccess i sądzilem, że ostatni bastion czyli mój będzie niezniszczalny.

 

Komp ma dwa systemy uruchamiane boot managerem z opcja autohide partycji. System służbowy działa, system "prywatny" nie działał. Pewnego dnia zaczęły się BSOD, nawet w awaryjnym, a że było to przed zaznajomieniem sie z forum nie zapamiętałem nazwy procesu. Po prostu uruchomiłem system służbowy - "pokazałem mu"(unhide) partycję "prywatną" przeskanowałem antywirusem ENOD32 i "prywatny" uruchomił sie.

Problemy zaczęły się wczoraj gdy Eset Smart Security nie uruchomił sie. Komputer "działa", internet działa.

 

Odinstalowałem przy odłączonej sieci najwięcej programów jak się dało - te które łatwo odzyskam, w tym Eset Suite

Potem zgromadziłem podstawowe logi, które załączam. Logi wykonano po deinstalacji programów.

Pozdrawiam, Swienty

OTL.Txt

Extras.Txt

gmer_log.txt

checkup.txt

[picasso]

Śladów infekcji w stanie czynnym brak (a pierdułki "not found" usuniemy potem), ale tu infekcja ZeroAccess na 100% była. W GMER jest widzialny konfig rootkita (a widzialny, bo brak uprawnień):

 

---- Files - GMER 1.0.15 ----
 
File			C:\WINDOWS\$NtUninstallKB55436$\3125648702		   0 bytes
File			C:\WINDOWS\$NtUninstallKB55436$\3125648702\L		   0 bytes
File			C:\WINDOWS\$NtUninstallKB55436$\3125648702\L\nvfdmiwn		   62976 bytes
File			C:\WINDOWS\$NtUninstallKB55436$\3125648702\U		   0 bytes
File			C:\WINDOWS\$NtUninstallKB55436$\3132970163		   0 bytes

 

Oraz stoi ten plik ZeroAccess:

 

[2011-11-02 20:04:08 | 000,000,000 | ---- | M] () -- C:\WINDOWS\1050496442

 

Uruchom GrantPerms i w oknie wklej:

 

C:\WINDOWS\$NtUninstallKB55436$

 

Zastosuj opcję Unlock. Po tej operacji sprawdź czy jest możliwa kasacja przez SHIFT+DEL folderu C:\WINDOWS\$NtUninstallKB55436$. Usuń także ten drugi zakreślony plik.

 

 

Pewnego dnia zaczęły się BSOD, nawet w awaryjnym, a że było to przed zaznajomieniem sie z forum nie zapamiętałem nazwy procesu. Po prostu uruchomiłem system służbowy - "pokazałem mu"(unhide) partycję "prywatną" przeskanowałem antywirusem ENOD32 i "prywatny" uruchomił sie.

 

Rozumiem, że nie ma żadnych raportów z tych działań? Bez tych danych niestety nie mogę wywróżyć co się działo, ale jest możliwe, że wywaliłeś sterownik systemowy (zamiast go leczyć), gdyż Dziennik zdarzeń pluje błędem niemożności załadowania cdrom.sys:

 

Error - 2011-11-17 07:55:24 | Computer Name = A5720 | Source = Service Control Manager | ID = 7026
Description = The following boot-start or system-start driver(s) failed to load:
   Cdrom  Imapi

 

Zakładając, że ten komputer ma napęd CD-ROM (w przeciwnym wypadku błąd byłby wyjaśnialny brakiem urządzenia): Start > Uruchom > devmgmt.msc i przebuduj całą gałąź CD-ROM.

 

 

Odinstalowałem przy odłączonej sieci najwięcej programów jak się dało - te które łatwo odzyskam, w tym Eset Suite

Potem zgromadziłem podstawowe logi, które załączam. Logi wykonano po deinstalacji programów.

 

Wg tych słów ESET został usunięty przed robieniem logów. ESET nie jest wcale odinstalowany prawidłowo, log przedstawia dużą ilość jego komponentów, w tym sterowniki w stanie "uruchomiono" (ich aktywność można podpatrzyć i w GMER):

 

========== Win32 Services (SafeList) ==========
 
SRV - [2009-09-11 07:24:32 | 000,735,960 | ---- | M] () [Auto | Stopped] -- C:\Program Files\ESET\ESET Smart Security\ekrn.exe -- (ekrn)
 
========== Driver Services (SafeList) ==========
 
DRV - [2009-09-11 07:26:24 | 000,055,768 | ---- | M] (ESET) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\epfwtdi.sys -- (epfwtdi)
DRV - [2009-09-11 07:26:20 | 000,135,048 | ---- | M] (ESET) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\epfw.sys -- (epfw)
DRV - [2009-09-11 07:23:50 | 000,108,792 | ---- | M] (ESET) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ehdrv.sys -- (ehdrv)
DRV - [2009-09-11 07:17:16 | 000,116,008 | ---- | M] (ESET) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\eamon.sys -- (eamon)
 
[2009-12-04 10:29:00 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\ESET
[2009-12-16 23:18:28 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Guest\Application Data\ESET
[2009-12-04 10:38:47 | 000,000,000 | ---D | M] -- C:\Documents and Settings\LocalService\Application Data\ESET

 

Skorzystaj z ESET Uninstaller. Narzędzie musi być uruchomione z poziomu Trybu awaryjnego Windows.

 

 

 

.

[swienty77]

Uruchom GrantPerms i w oknie wklej:

C:\WINDOWS\$NtUninstallKB55436$

Zastosuj opcję Unlock. Po tej operacji sprawdź czy jest możliwa kasacja przez SHIFT+DEL folderu C:\WINDOWS\$NtUninstallKB55436$. Usuń także ten drugi zakreślony plik.

Folderu nie mogę usunąć - woła, że nie jest pusty a wejść w niego też nie mogę.

Plik usunięty bez prolemów

Rozumiem, że nie ma żadnych raportów z tych działań? Bez tych danych niestety nie mogę wywróżyć co się działo, ale jest możliwe, że wywaliłeś sterownik systemowy (zamiast go leczyć), gdyż Dziennik zdarzeń pluje błędem niemożności załadowania cdrom.sys:

Zakładając, że ten komputer ma napęd CD-ROM (w przeciwnym wypadku błąd byłby wyjaśnialny brakiem urządzenia): Start > Uruchom > devmgmt.msc i przebuduj całą gałąź CD-ROM.

Jest już CDROM (był wykrzyknik)

 

Wg tych słów ESET został usunięty przed robieniem logów. ESET nie jest wcale odinstalowany prawidłowo, log przedstawia dużą ilość jego komponentów, w tym ......sterowniki w stanie "uruchomiono" (ich aktywność można podpatrzyć i w GMER).........

Skorzystaj z ESET Uninstaller. Narzędzie musi być uruchomione z poziomu Trybu awaryjnego Windows.

Usunięte. Czy zainstalować ponownie antywirusa?

~ESETUninstaller.txt

[picasso]

Mam pytanie: jaki aktualnie występuje problem w systemie, gdyż nie wychwyciłam co w bieżącym stanie nie działa?

 

 

Folderu nie mogę usunąć - woła, że nie jest pusty a wejść w niego też nie mogę.

 

Wejść nie możesz = sugeruje nie zresetowane wcale uprawnienia, czy GrantPerms zwrócił komunikat pomyślności? Komunikat "nie jest pusty" = to może tu usuwanie było w mniejszym stopniu niż się wydaje i to nadal jest tzw. "punkt ponownej analizy" (a nie zwyczajny folder), bo taki błąd właśnie się może przytrafić, gdy jest podejmowana próba kasacji punktu. Ten KB z dolarami (nazwa podrabia deinstalator aktualizacji MS) to jest specjalność ZeroAccess, w postaci wprowadzonej przez rootkita to specyficzne przekierowanie na inną ścieżkę przy użyciu cechy systemu NTFS pozwalającej tworzyć "linki", a nie zwyczajny folder. W pierwszej kolejności to musi być "rozlinkowane", by przetworzyć link na zwykły folder. Dodatkowo, uprawnienia wszystko blokują.

 

Start > Uruchom > cmd i wpisz komendę DIR /A C:\Windows

 

Czy $NtUninstallKB55436$ ma może inny opis niż "DIR"?

 

 

Usunięte. Czy zainstalować ponownie antywirusa?

 

Jeśli nie ma szczególnych nierozwiązanych problemów w systemie, to instalacja pożądana.

 

 

 

.

[swienty77]

Witam!

ESET uruchomił się po instalacji i działa, choć bardzo długo startuje tenże ESET (system ładuje się prędko).

 

Oczywiście że to nie folder - wcześniej Total commader wyświetlał ikonke linku ale zapomniałem napisać

 

2011-05-19  14:21	<JUNCTION>	 $NtUninstallKB55436$

 

Jak to "rozlinkować"?

[picasso]

Tak, niewątpliwie to jest punkt fałszywie kierujący do innej lokalizacji. Gdyby nie uprawnienia, po jego otworzeniu pokazałoby się coś całkowicie innego niż elementy rootkita, czyli zawartość innego prawidłowego katalogu Windows.

 

1. Ponawiaj GrantPerms, wklejając w nim ścieżkę C:\WINDOWS\$NtUninstallKB55436$.

 

2. Start > Uruchom > cmd i wpisz komendę fsutil reparsepoint delete C:\Windows\$NtUninstallKB55436$

 

3. Jeśli punkt 2 się prawidłowo wykona, sprawdź czy to jest już normalny folder (w cmd "junction" przemieni się w "dir", a w TC zniknie ikona linka). I wtedy możesz go kasować. Jeśli jednak komenda w punkcie 2 polegnie (np. błąd uprawnień) i nie ulegnie zmianie typ, stop, nie przechodź do próby kasacji.

 

 

 

.

[swienty77]

Folder C:\Windows\$NtUninstallKB55436$ usunięty!

Jeśli nic nie wynika z logów (a to tylko szanowna Picasso raczy wiedzieć ) to przystąpię do odbudowy oprogramowania, którego używałem.

[picasso]

Czy mam rozumieć, że nie ma tu już żadnych widocznych problemów (poza mozolnym startem ESET)? A skoro ostatnie zadanie się poprawnie wykonało:

 

1. To teraz możemy przystąpić do kosmetyki wpisów pustych. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKU\S-1-5-21-1292072267-1719026120-300380043-1005\..\URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found
O2 - BHO: (Java™ Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll File not found
O3 - HKU\S-1-5-21-1292072267-1719026120-300380043-1005\..\Toolbar\ShellBrowser: (no name) - {5CBE3B7C-1E47-477E-A7DD-396DB0476E29} - No CLSID value found.
O3 - HKU\S-1-5-21-1292072267-1719026120-300380043-1005\..\Toolbar\WebBrowser: (no name) - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - No CLSID value found.
O3 - HKU\S-1-5-21-1292072267-1719026120-300380043-1005\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O3 - HKU\S-1-5-21-1292072267-1719026120-300380043-1005\..\Toolbar\WebBrowser: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found.
O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} "http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab" (Reg Error: Key error.)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} "http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab" (Reg Error: Key error.)
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt. Jeśli wszystko się poprawnie przetworzy, użyj funkcję Sprzątanie.

 

2. Wyczyść foldery Przywracania systemu: INSTRUKCJE.

 

3. Dla bezpieczeństwa wykonaj wymianę haseł logowania w serwisach.

 

 

 

 

.

[swienty77]

Witam!

Skrypt wykonał się poprawnie, nie mógł tylko usunąć folderów tymczasowych, ponieważ wcześniej wyczyściełem je narzędziem z tematu Dezynfekcja kroki finalizujące.

ESET ruszył - chyba jego pierwsze uruchomieie było takie mułowate.

Serdecznie dziękuję za pomoc.

[picasso]

Skrypt wykonał się poprawnie, nie mógł tylko usunąć folderów tymczasowych, ponieważ wcześniej wyczyściełem je narzędziem z tematu Dezynfekcja kroki finalizujące.

 

On zawsze to robi (w rozumieniu = przetwarza), nawet jeśli już czyszczono czymś wcześniej. Foldery się regenerują. Nie widziałam wyników skryptu, ale jeśli na spodzie miałeś jakieś "not found" na temat określonych plików temp, to jest to inny powód (niepermanentny obiekt, który nie przetrwał restartu), a nie to że już czyściłeś wcześniej. To jednak mało istotne.

 

Temat wygląda na ukończony. Zamykam.

 

 

 

.