Skocz do zawartości

Infekcja, brak trybu awaryjnego, brak możliwości uruchomienia AV


Rekomendowane odpowiedzi

Witam

 

Logi OTL załączone.

Kilka skanów zostało już wykonanych, różnymi programami, obecnie jestem w trakcie skanu Comodo CE.

 

Co się dzieje dokładnie:

Brak możliwości zmiany ustawień windows update

program error protection module 1068 przy próbie skorzystania z Malwarebytes

reset przy chkdsc

Brak trybu awaryjnego

Ikona dostępu administratora przy najważniejszych aplikacjach.

 

Data infekcji to dziś, około godziny 15:30 jak sądzę, zignorowałem całkowicie moment, w którym wyskoczyło okienko o nowym sprzęcie, po czym nastąpił reset.

 

 

POPRAWKA

Skan Comodo zakończony, syshost zlokalizowany, usunięty dzięki czemu mogłem zrobić skan GMERem. Dodaję logi.

Extras.Txt

OTL.Txt

log.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

GMER i objawy wskazują rootkita Necurs. Są aktualnie dwie aplikacje specjalizowane w jego usuwaniu.

 

1. Uruchom Kaspersky TDSSKiller. Jeśli wykryje tę infekcję, pozostaw akcje domyślnie dobrane przez narzędzie. Zresetuj system.

 

2. Zrób nowy log z GMER oraz OTL z opcji Skanuj. Dołącz log z usuwania TDSSKiller (na dysku C powstanie).

 

Po potwierdzeniu usunięcia rootkita przejdę do kolejnej partii czyszczenia.

 

 

PS. Na przyszłość: GMER nie jest przeznaczony dla systemów 64-bit. Tu wyjątkowa sytuacja, bo widzi na poziomie rejestru klucz Necurs, ale to nie zmienia faktów, że skanowanie na systemie 64-bit jest niepełnosprawne.

 

 

.

Odnośnik do komentarza

AVG zaczął działać, bo zdjęty został Necurs (blokuje sterowniki zabezpieczających aplikacji). Wg OTL ustąpiła też blokada innych driverów, co uprzednio było widzialne jako brak poboru danych:

 

 

========== Driver Services (SafeList) ==========

 

DRV:64bit: - [2012-04-18 19:08:03 | 000,188,736 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\nvhda64v.sys -- (NVHDA)

DRV:64bit: - [2012-03-01 08:46:16 | 000,023,408 | ---- | M] () [Recognizer | Boot | Unknown] -- C:\Windows\SysNative\drivers\fs_rec.sys -- (Fs_Rec)

DRV:64bit: - [2011-11-29 04:28:28 | 000,055,856 | ---- | M] () [Kernel | Boot | Running] -- C:\Windows\SysNative\Drivers\PxHlpa64.sys -- (PxHlpa64)

DRV:64bit: - [2011-07-08 07:20:48 | 000,203,320 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\ssudmdm.sys -- (ssudmdm)

DRV:64bit: - [2011-07-08 07:20:46 | 000,095,416 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\ssudbus.sys -- (dg_ssudbus)

DRV:64bit: - [2011-03-17 23:04:06 | 000,314,016 | ---- | M] () [Kernel | Auto | Running] -- C:\Windows\SysNative\drivers\atksgt.sys -- (atksgt)

DRV:64bit: - [2011-03-17 23:04:05 | 000,043,680 | ---- | M] () [Kernel | Auto | Running] -- C:\Windows\SysNative\DRIVERS\lirsgt.sys -- (lirsgt)

DRV:64bit: - [2011-03-16 22:06:35 | 000,513,080 | ---- | M] () [Kernel | Boot | Stopped] -- C:\Windows\SysNative\Drivers\sptd.sys -- (sptd)

DRV:64bit: - [2011-02-23 16:50:14 | 000,018,232 | ---- | M] () [Kernel | Boot | Running] -- C:\Windows\SysNative\Drivers\SmartDefragDriver.sys -- (SmartDefragDriver)

DRV:64bit: - [2010-12-21 02:31:00 | 000,316,080 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\SysNative\DRIVERS\e1c62x64.sys -- (e1cexpress)

DRV:64bit: - [2010-11-20 15:33:35 | 000,078,720 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\HpSAMD.sys -- (HpSAMD)

DRV:64bit: - [2010-11-20 13:07:05 | 000,059,392 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\tsusbflt.sys -- (TsUsbFlt)

DRV:64bit: - [2010-11-20 13:03:42 | 000,020,992 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\rdpvideominiport.sys -- (RdpVideoMiniport)

DRV:64bit: - [2010-11-20 12:49:51 | 000,146,432 | ---- | M] () [Kernel | Auto | Running] -- C:\Windows\SysNative\DRIVERS\RMCAST.sys -- (RMCAST)

DRV:64bit: - [2010-11-20 11:27:12 | 000,104,960 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\rpcxdr.sys -- (RpcXdr)

DRV:64bit: - [2010-11-20 11:26:56 | 000,246,272 | ---- | M] () [File_System | On_Demand | Running] -- C:\Windows\SysNative\drivers\nfsrdr.sys -- (NfsRdr)

DRV:64bit: - [2010-10-19 17:34:26 | 000,056,344 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\SysNative\DRIVERS\HECIx64.sys -- (MEIx64)

DRV:64bit: - [2010-04-27 10:30:52 | 000,184,968 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\nusb3xhc.sys -- (nusb3xhc)

DRV:64bit: - [2010-04-27 10:29:54 | 000,083,080 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\nusb3hub.sys -- (nusb3hub)

DRV:64bit: - [2009-08-21 01:52:10 | 000,079,976 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\SysNative\DRIVERS\xusb21.sys -- (xusb21)

DRV:64bit: - [2009-07-14 03:48:04 | 000,065,600 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\lsi_sas2.sys -- (LSI_SAS2)

DRV:64bit: - [2009-07-14 03:45:55 | 000,024,656 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\stexstor.sys -- (stexstor)

DRV:64bit: - [2009-07-14 02:26:13 | 000,189,440 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\mqac.sys -- (MQAC)

DRV:64bit: - [2009-07-14 02:01:09 | 000,679,936 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\xnacc.sys -- (xnacc)

DRV:64bit: - [2009-07-14 01:35:55 | 000,010,240 | ---- | M] () [File_System | On_Demand | Running] -- C:\Windows\SysNative\drivers\psxdrv.sys -- (PsxDrv)

DRV:64bit: - [2009-06-10 22:34:33 | 003,286,016 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\evbda.sys -- (ebdrv)

DRV:64bit: - [2009-06-10 22:31:59 | 000,031,232 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\hcw85cir.sys -- (hcw85cir)

DRV:64bit: - [2009-03-18 17:35:42 | 000,033,856 | -H-- | M] () [Kernel | On_Demand | Running] -- C:\Windows\SysNative\DRIVERS\hamachi.sys -- (hamachi)

 

 

Pytaniem jest: czy widzisz na Pulpicie znak wodny "Tryb testowy"? Necurs wykonuje edycję pliku startowego BCD.

 

 


Doczyszczenie reszty / adware:

 

1. Przez Panel sterowania odinstaluj adware uTorrentBar Toolbar.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKCU..\Run: [puush] C:\Program Files (x86)\puush\puush.exe ()
IE - HKCU\..\URLSearchHook: {cd90bf73-20f6-44ef-993d-bb920303bd2e} - No CLSID value found
 
:Files
C:\Program Files (x86)\puush
C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml
C:\Program Files (x86)\mozilla firefox\searchplugins\fcmdSrchddr.xml
C:\Program Files (x86)\mozilla firefox\searchplugins\v9.xml
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany, otworzy się log z wynikami usuwania.

 

3. Zrób nowy log OTL z opcji Skanuj (bez Extras). Dołącz log z usuwania OTL z punktu 1.

 

 

 

.

Odnośnik do komentarza
I faktycznie, widzę tryb testu w prawym dolnym rogu pulpitu.

 

Należy wyłączyć Tryb testowy, to jest robota rootkita, który modyfikował boot, by wstawić własny sterownik. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wpisz komendę:

 

bcdedit /set testsigning off

 

Zresetuj system i potwierdź, że znak wodny zniknął z Pulpitu.

 

 

Utorrent tollbar nie może być odinstalowany przez brak install.log file.

 

Na początek uruchom AdwCleaner i zastosuj Delete. Dostarcz log który utworzy z usuwania + nowy log OTL z opcji Skanuj. Jeśli AdwCleaner tego nie wyczuje, ręcznie usunę pasek.

 

 

.

Odnośnik do komentarza
Jedyne co mnie martwi to wciąż obecna icona uprawnień administratorskich przy pewnych programach, która wcześniej była niewidoczna, dopiero po infekcji się to pojawiło.

 

Podaj przykłady. Czy na pewno to jest nieprawidłowość?

 

 

Log cleanera załączony. utorrent nie zniknal z panelu ster.

 

Wg loga AdwCleaner go widzi, w tym wpis na liście zainstalowanych:

 

***** [Files / Folders] *****

 

Folder Found : C:\Program Files (x86)\uTorrentBar

Folder Found : C:\Users\DOMINOOO\AppData\LocalLow\uTorrentBar

Folder Found : C:\Users\Gość\AppData\LocalLow\uTorrentBar

 

***** [Registry] *****

 

Key Found : HKCU\Software\AppDataLow\Software\uTorrentBar

Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC}

Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC}

Key Found : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC}

Key Found : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\uTorrentBar Toolbar

Value Found : HKLM\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks [{BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC}]

 

Podałeś log z szukania w trybie tylko do odczytu, ja zadałam opcję Delete, która usuwa.

 

Dodatkowa uwaga: AdwCleaner usuwa też AVG Secure Search, gdyż traktuje to jako sponsora. Tak owszem jest.

 

 

.

Odnośnik do komentarza

No racja. Poprawny log dodany.

 

Co do programów, większość instalowanych w czasie infekcji, jak Malwareb itd, plus instalowane wcześniej programy, gry itd. W oknie ustawień dostępu jest coś takiego. http://puu.sh/10ZBj

 

Plus, nie mogłem zapisać adw loga na C przez brak uprawnień, ale nie wiem czy to ważna informacja.

 

To konto nieznane też pojawiło się po infekcji.

 

poprawka:

Utorrent zginął, więc jest dobrze.

AdwCleanersssS2.txt

Odnośnik do komentarza
Co do programów, większość instalowanych w czasie infekcji, jak Malwareb itd, plus instalowane wcześniej programy, gry itd. (...) Plus, nie mogłem zapisać adw loga na C przez brak uprawnień.

 

Wg mnie to wszystko wygląda prawidłowo. OTL wskazuje, że masz włączony UAC (brak detekcji wartości EnableLUA na zerze), a przy włączonym UAC ikona na określonych programach jest normalna + nie można zapisywać plików wprost na C (lokalizacja chroniona) bez podniesienia uprawnień. Oto widok kilku przykładowych aplikacji na moim wirtualnym Windows 7 z włączonym UAC:

 

uacicons.png

 

Tu opisana odwrotność co się dzieje na terenie chronionych lokalizacji po wyłączeniu UAC: KLIK. Dodatkowo, po wyłączeniu UAC ikona nakładkowa z danej aplikacji wcale nie musi zniknąć, gdyż może nastąpić rozbieżność w obszarze cache ikon: KLIK.

 

Czyli pytanie: czy UAC było wyłączone przed Twoimi skanami?.

 

 

W oknie ustawień dostępu jest coś takiego. http://puu.sh/10ZBj (...) To konto nieznane też pojawiło się po infekcji.

 

Zrób log z sid.vbs: KLIK (punkt 3).

 

 

 

.

Odnośnik do komentarza

Wykaz SID nie pokazuje takiego identyfikatora. Nasuwa się jedno z tych: było w systemie jakieś dodatkowe konto i zostało usunięte, bądź też do tego systemu uzyskiwano dostęp z poziomu np. innego systemu i dodało się konto dodatkowe. Po prostu usuń z listy uprawnień to dodatkowe konto.

 

 

wpisalem komendy w cmd, ale ikony wciaz pozostaly po uruchomieniu explorera. I tak, było wyłączone przed infekcją, podczas skanów było włączone.

 

vassir, ale wg Twojego loga z OTL UAC jest włączony, to czyszczenie cache ikon nie ma żadnego znaczenia (to był tylko przykład dla wyjaśnień dlaczego ikony mogą pozostać po wyłączeniu UAC). Overlay tarcz będzie na ikonach. I wszystko się zgadza wg mnie: przełączyłeś status UAC, to wyjaśnia to co Cię niepokoi (ograniczenia zapisu w root i overlay na ikonach). Tak swoją drogą to jaki ma cel wyłączanie UAC?

 

 

 

.

Odnośnik do komentarza

vassir, już się pogubiłam na czym stoimy. :P UAC jest aktualnie włączony czy wyłączony? Włączony: ikony będą. Wyłączony: czyszczenie cache ikon. Pomijając UAC: mam rozumieć, że wszystko jest już w porządku? I należy sfinalizować temat:

 

1. Porządki po narzędziach: w AdwCleaner zastosuj Uninstall, w OTL uruchom Sprzątanie, przez SHIFT+DEL skasuj poniższe foldery.

 

C:\TDSSKiller_Quarantine

C:\CCE_Quarantine

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Wykonaj podstawowe aktualizacje: KLIK. Z Twojej listy zainstalowanych:

 

Internet Explorer (Version = 8.0.7601.17514)

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java™ 6 Update 22

"{AA59DDE4-B672-4621-A016-4C248204957A}" = Skype™ 5.5

"{AC76BA86-7AD7-1033-7B44-AA1000000001}" = Adobe Reader X (10.1.0)

"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)

"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)

 

4. Prewencyjnie zmień hasła logowania w serwisach.

 

 

Uwaga poboczna: widzę w zainstalowanych Sunrise Seven. Pod żadnym pozorem nie czyść FileRepository. Ta opcja w programie to błąd, tego nie powinno być. Wyczyszczenie repozytorium sterowników ma poważne skutki uboczne (niemożność podpięcia nowych urządzeń + problemy Windows Update).

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...