Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Infekcja systemu 1durzdhq02.exe - Nie można uruchomić skanerów

elviszopa

Przez elviszopa
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

elviszopa

elviszopa

Opublikowano
Opublikowano

Witam!

 

Mam zainfekowany system jakimś wirem. Objawy są takie, że nie mogę zainstalować ani uruchomićprogram antywirusowy w trybie online.

Dodatkowo wrypał mi się jakiś proces o nazwie 1durzdhq02.exe i w żaden sposób nie mogę go zakończyć. Wyskakuje komunikat "odmowa dostępu". Trybie awaryjnym się nie uruchamia ale plik rozruchowy tego procesu zamieszczony w katalogu użytkownika nie mogę usunąć ten sam komunikat co wyżej.

 

Pomoc mile widziana :)

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
elviszopa

elviszopa

Opublikowano
  • Autor
Opublikowano

Oki.

przepraszam bardzo to z frustracji i desperacji ten pośpiech :)

 

OS:

Windows 7 Home Prenium 64bit

 

 

Problem:

Nie można uruchomić skanera antywirusowego w trybie online. Próbowałem Kaspersky, Norton Internet Security, Nod32, Avast.

Ten ostatni wyrzuca komunikat, bład modułu RPC.

 

W załączniku Logi. Informacja dodatkowa skaner GMER nie uruchomił się w pełni, gdyż brakowało mu jakiegoś pliku w katalogu

c:\windows\sytem32\ (niestety komunikat nie podawał jakiego to brakuje), ale najważniejsz, chyba, część jest.

 

Pozdrawiam

Extras.Txt

OTL.Txt

gmer.txt

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano
Informacja dodatkowa skaner GMER nie uruchomił się w pełni, gdyż brakowało mu jakiegoś pliku w katalogu

c:\windows\sytem32\ (niestety komunikat nie podawał jakiego to brakuje), ale najważniejsz, chyba, część jest.

 

To normalne. Nie doczytałeś dokładnie. GMER nie działa poprawnie na systemach 64-bit. Nie wiedziałam, że masz system 64-bit, toteż ogólnikowo mówiłam "OTL + GMER", ale kierując do zasad, w których jest wyszczególnione jakie narzędzia pasują do systemu 64-bit. Aczkolwiek tu akurat uruchomienie GMER było o tyle pożyteczne, że był on zdolny pokazać to co właśnie opowiadasz:

 

 

Dodatkowo wrypał mi się jakiś proces o nazwie 1durzdhq02.exe i w żaden sposób nie mogę go zakończyć. Wyskakuje komunikat "odmowa dostępu". Trybie awaryjnym się nie uruchamia ale plik rozruchowy tego procesu zamieszczony w katalogu użytkownika nie mogę usunąć ten sam komunikat co wyżej.

 

Wg GMER jest rootkit stosujący nazwę wyświetlaną jak wyróżniony powyżej proces:

 

---- Services - GMER 1.0.15 ----
 
Service  System32\Drivers\9dbe1675f81eed37.sys (*** hidden *** )      [bOOT] 9dbe1675f81eed37      
 
---- Registry - GMER 1.0.15 ----
 
Reg      HKLM\SYSTEM\CurrentControlSet\services\9dbe1675f81eed37@ImagePath      \SystemRoot\System32\Drivers\9dbe1675f81eed37.sys
Reg      HKLM\SYSTEM\CurrentControlSet\services\9dbe1675f81eed37@Group      Boot Bus Extender
Reg      HKLM\SYSTEM\CurrentControlSet\services\9dbe1675f81eed37@ErrorControl      0
Reg      HKLM\SYSTEM\CurrentControlSet\services\9dbe1675f81eed37@Type      1
Reg      HKLM\SYSTEM\CurrentControlSet\services\9dbe1675f81eed37@Start      0
Reg      HKLM\SYSTEM\CurrentControlSet\services\9dbe1675f81eed37@Tag      1
Reg      HKLM\SYSTEM\CurrentControlSet\services\9dbe1675f81eed37@DisplayName      1durzdhq02.exe

 

Uruchom Kaspersky TDSSKiller i przedstaw co on widzi, tzn. jeśli cokolwiek wykryje, omiń wstępnie te wyniki opcją Skip i tylko podaj raport do oceny.

 

 

 

PS. Co do narzędzi, które używałeś: RemoveIT Pro pożegnaj, to program wątpliwej reputacji, niewiarygodny. Zapewne sugerowałeś się wynikami z Google na nazwę "1durzdhq02.exe", tylko owe wyniki odnoszą się do innej konstrukcji infekcji.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano (edytowane)

Raport z TDSSKiller poświadcza usunięcie infekcji i odblokowanie pozostałych sterowników Windows. Przechodzimy do części sprzątającej, czyli puste wpisy, odpadki po skanerach (Avast | Norton | ESET | MBAM | RemoveIT | UnhackMe) i czyszczenie lokalizacji tymczasowych.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
DRV - [2012-01-10 12:55:00 | 000,482,936 | ---- | M] (Symantec Corporation) [Kernel | System | Stopped] -- C:\Program Files (x86)\Common Files\Symantec Shared\EENGINE\eeCtrl64.sys -- (eeCtrl)
O2:64bit: - BHO: (avast! WebRep) - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - C:\Program Files\AVAST Software\Avast\aswWebRepIE64.dll File not found
O2 - BHO: (avast! WebRep) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll File not found
O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found.
O3:64bit: - HKLM\..\Toolbar: (avast! WebRep) - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - C:\Program Files\AVAST Software\Avast\aswWebRepIE64.dll File not found
O3 - HKLM\..\Toolbar: (avast! WebRep) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll File not found
O3 - HKU\S-1-5-21-3358540507-3062408988-3448015432-1001\..\Toolbar\WebBrowser: (no name) - {8FF5E180-ABDE-46EB-B09E-D2AAB95CABE3} - No CLSID value found.
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [NortonSupport] "C:\Program Files (x86)\Norton Internet Security\Engine\19.1.0.28\symerr.exe" /supportreboot File not found
O4 - HKU\S-1-5-21-3358540507-3062408988-3448015432-1001..\Run: [RemoveIT Pro v7Ent] C:\Program Files (x86)\InCode Solutions\RemoveIT Pro v7 Enterprise\removeit.exe File not found
O4 - HKLM..\RunOnceEx: [Flags] Reg Error: Invalid data type. File not found
O4 - HKLM..\RunOnceEx: [Title] UnHackMe Rootkit Check File not found
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_14-windows-i586.cab" (Reg Error: Key error.)
O34 - HKLM BootExecute: (MACHINE BootExecut)
[2012-01-10 13:18:21 | 000,199,816 | ---- | C] (AVAST Software) -- C:\Windows\SysWow64\aswBoot.exe
[2012-01-10 13:18:21 | 000,041,184 | ---- | C] (AVAST Software) -- C:\Windows\avastSS.scr
[2012-01-02 15:30:46 | 000,000,000 | ---D | C] -- C:\ProgramData\ESET
[2012-01-02 15:30:46 | 000,000,000 | ---D | C] -- C:\Program Files\ESET
[2011-12-28 13:12:37 | 000,000,000 | ---D | C] -- C:\ProgramData\AVAST Software
[2011-12-28 13:12:37 | 000,000,000 | ---D | C] -- C:\Program Files\AVAST Software
[2011-12-28 11:36:00 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\ESET
[2012-01-10 11:30:45 | 000,039,192 | ---- | C] (Greatis Software) -- C:\Windows\SysNative\Partizan.exe
[2012-01-10 11:28:19 | 000,000,000 | ---D | C] -- C:\Users\Luki\Documents\RegRun2
[2012-01-10 11:28:15 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\UnHackMe
[2012-01-03 15:06:28 | 000,000,000 | ---D | C] -- C:\Users\Luki\AppData\Roaming\Malwarebytes
[2012-01-03 15:06:23 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes
[2012-01-03 10:52:06 | 000,000,000 | ---D | C] -- C:\Users\Luki\Desktop\RemoveIT Pro 4 SE 08.01.2011 Portable
[2012-01-03 10:40:58 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RemoveIT Pro v7 (Trial)
 
:Files
C:\Users\Luki\AppData\Local\Temp*.html
 
:Commands
[emptytemp]

 

Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany. Automatycznie otworzy się log z wynikami usuwania (jeśli nie, szukaj w katalogu C:\_OTL).

 

2. Dla pewności, skorzystaj z firmowych narzędzi usuwających: Avast Uninstall Utility, ESET Uninstaller, Norton Removal Tool

 

3. Przedstaw log z wynikami usuwania z punktu 1. Potwierdź, że problem z procesem 1durzdhq02.exe ustąpił oraz jesteś zdolny zainstalować antywirusa. Sprawdź co jest w tym ukrytym katalogu:

 

[2012-01-10 13:08:45 | 000,000,000 | --SD | C] -- C:\Windows\SysWow64\Microsoft

 

 

 

.

Edytowane przez picasso
13.02.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...