jaiz Opublikowano 17 Września 2014 Zgłoś Udostępnij Opublikowano 17 Września 2014 Witam. Podczas wczorajszego skanowania avast wykrył jakieś badziewie w folderze ProgramData więc kazałem mu je usunąć. Przeskanowałem ponownie ten folder skanerem online eseta i ten znalazł jeszcze 3 dodatkowe badziewiaki - też poszły do usunięcia. Niestety po ponownym uruchomieniu komputera okazało się, że Avast nie działa i w dodatku nie da się go uruchomić - wyskakuje komunikat "ten program jest blokowany przez zasady grupy". Skaner eseta dopadła nagle ta sama przypadłość. Korzystając z CC cleanera zajrzałem do autostartu i znalazłem tam dziwne wpisy - ich wyłączenie i usunięcie nic nie daje ponieważ pojawiają się ponownie. Dziwna przypadłość dopadła też Operę - mianowicie przy włączeniu przeglądarki następuje jej crash i trzeba ją 2 -3 razy uruchamiać żeby zaczęła funkcjonować. Załączam komunikat z próby uruchomienia avasta i w/w autostart z CC - na żółto to czego nie powinno tam być wg. mnie i nie da się tego wywalić. System: Vista 64 home premium. załączam też wymagane logi Pozdrawiam i oczywiście proszę o pomoc. Log z Gmera: GMER 2.1.19357 - http://www.gmer.netRootkit scan 2014-09-17 14:41:04Windows 6.0.6002 Service Pack 2 x64 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0 WDC_WD3200AAKS-00L6A0 rev.01.03E01 298,09GBRunning: jficmqzb.exe; Driver: C:\Users\ADMIN\AppData\Local\Temp\aglorpod.sys---- Threads - GMER 2.1 ----Thread C:\Windows\Explorer.EXE [1824:3484] 00000000047c2c0cThread C:\Windows\Explorer.EXE [1824:3480] 00000000047b9ca0Thread C:\Windows\Explorer.EXE [1824:3476] 00000000047c23d8---- Processes - GMER 2.1 ----Library C:\ProgramData\Microsoft\Windows Defender\Definition Updates\{9B380262-EC68-4BF1-9B26-6EED99B2AAFA}\mpengine.dll (*** suspicious ***) @ C:\Windows\System32\svchost.exe [956] (Microsoft Malware Protection Engine/Microsoft Corporation)(2014-09-13 00:53:37) 000007fefa4b0000---- EOF - GMER 2.1 ---- Addition.txt FRST.txt Shortcut.txt Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 17 Września 2014 Zgłoś Udostępnij Opublikowano 17 Września 2014 Istotnie, mamy tu infekcję, która blokuje skanery w oparciu o restrykcje oprogramowania. Prawdopodobnie przyczyną infekcji był exploit Java (w systemie jest bardzo stara dziurawa wersja). Dodatkowo, Twoje programy skanujące też są stare i pójdą na ubój. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-21-4014269469-2975056858-994782064-1000\...\Run: [EfkuQpumz] => regsvr32.exe "C:\ProgramData\EfkuQpumz\EfkuQpumz.dat" HKLM Group Policy restriction on software: C:\Documents and Settings\All Users\Application Data\Panda Security HKLM Group Policy restriction on software: C:\Program Files (x86)\ESET HKLM Group Policy restriction on software: C:\Documents and Settings\All Users\Application Data\McAfee HKLM Group Policy restriction on software: C:\Program Files (x86)\Kaspersky Lab HKLM Group Policy restriction on software: C:\Documents and Settings\All Users\Application Data\Malwarebytes HKLM Group Policy restriction on software: C:\Documents and Settings\All Users\Application Data\Kaspersky Lab HKLM Group Policy restriction on software: C:\Program Files (x86)\Malwarebytes' Anti-Malware HKLM Group Policy restriction on software: C:\Program Files\Alwil Software HKLM Group Policy restriction on software: C:\Documents and Settings\All Users\Application Data\f-secure URLSearchHook: HKCU - PC Tools Browser Guard - {472734EA-242A-422b-ADF8-83D1E48CC825} - No File StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe Toolbar: HKCU - PC Tools Browser Guard - {472734EA-242A-422B-ADF8-83D1E48CC825} - No File C:\ProgramData\EfkuQpumz C:\ProgramData\OhtoGinzo C:\ProgramData\UgkeqNutet C:\ProgramData\TEMP C:\ProgramData\F-Secure C:\Users\ADMIN\AppData\Roaming\QuickScan C:\Windows\pss\McAfee Security Scan Plus.lnk.CommonStartup Folder: C:\Windows\Sun Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe ARM" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\EfkuQpumz" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\OhtoGinzo" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\UgkeqNutet" /f CMD: netsh advfirewall reset Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj stare programy: Adobe Flash Player 10 ActiveX, Adobe Reader 9.3 - Polish, avast! Antivirus, Browser Defender 3.0, Java 6 Update 33, Spyware Doctor 8.0 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. . Odnośnik do komentarza
jaiz Opublikowano 17 Września 2014 Autor Zgłoś Udostępnij Opublikowano 17 Września 2014 Witam, Zrobiłem wszystko jak polecono i wklejam logi. Rozumiem, że mogę zainstalować jakieś nowsze oprogramowanie zabezpieczające? Może jakaś podpowiedź co teraz jest na topie? Dziękuję za pomoc Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 17 Września 2014 Zgłoś Udostępnij Opublikowano 17 Września 2014 Wymagane poprawki: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM-x32\...\Run: [avast!] => C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe HKU\S-1-5-21-4014269469-2975056858-994782064-1000\...\Run: [EfkuQpumz] => regsvr32.exe "C:\ProgramData\EfkuQpumz\EfkuQpumz.dat" BHO-x32: No Name -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> No File BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll No File DPF: HKLM-x32 {3860DD98-0549-4D50-AA72-5D17D200EE10} http://cdn.scan.onecare.live.com/resource/download/scanner/pl-pl/wlscctrl2.cab DPF: HKLM-x32 {4B54A9DE-EF1C-4EBE-A328-7C28EA3B433A} http://quickscan.bitdefender.com/qsax/qsax.cab FF Plugin-x32: @java.com/DTPlugin,version=1.6.0_33 -> C:\Windows\SysWOW64\npdeployJava1.dll (Sun Microsystems, Inc.) S2 aswUpdSv; "C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe" [X] S3 amdkmdap; system32\DRIVERS\atikmpag.sys [X] S3 AtiHDAudioService; system32\drivers\AtihdLH6.sys [X] C:\ProgramData\EfkuQpumz C:\ProgramData\PC Tools C:\ProgramData\TEMP C:\Program Files\Alwil Software C:\Program Files (x86)\Spyware Doctor C:\Windows\Sun EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. nastąpi restart i powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Rozumiem, że mogę zainstalować jakieś nowsze oprogramowanie zabezpieczające? Może jakaś podpowiedź co teraz jest na topie? O tym pogadamy na końcu, czyszczenie jest nadal w toku. . Odnośnik do komentarza
jaiz Opublikowano 17 Września 2014 Autor Zgłoś Udostępnij Opublikowano 17 Września 2014 Witam, Zgodnie z poleceniem operacje wykonałem i wklejam logi Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 17 Września 2014 Zgłoś Udostępnij Opublikowano 17 Września 2014 Wpis infekcji nie chce ustąpić. Kolejne podejście: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-21-4014269469-2975056858-994782064-1000\...\Run: [EfkuQpumz] => regsvr32.exe "C:\ProgramData\EfkuQpumz\EfkuQpumz.dat" RemoveDirectory: C:\ProgramData\EfkuQpumz DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. 2. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Fix. Nastąpi restart i powstanie plik fixlog.txt. 3. Przejdź w Tryb normalny Windows. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. . Odnośnik do komentarza
jaiz Opublikowano 17 Września 2014 Autor Zgłoś Udostępnij Opublikowano 17 Września 2014 Witam, Zrobione wg polecenie, logi w załącznikach Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 17 Września 2014 Zgłoś Udostępnij Opublikowano 17 Września 2014 Tym razem usuwanie zakończyło się sukcesem. Nic podejrzanego nie notuję już. Przejdź do tej porcji czynności: 1. Usuń używane narzędzia z folderu E:\fixit oraz zastosuj DelFix. 2. Zrób pełne skanowanie systemu za pomocą Malwarebytes Anti-Malware (przy instalacji odznacz trial). Jeżeli coś zostanie wykryte, przedstaw raport. . Odnośnik do komentarza
jaiz Opublikowano 17 Września 2014 Autor Zgłoś Udostępnij Opublikowano 17 Września 2014 Witam, Malwarebytes nic już nie znalazł ale log wklejam na wszelki wypadek. Pozostaje kwestia ponownego zabezpieczenia - jak i czym? Serdecznie też dziękuję za udzieloną mi pomoc. Pozdrawiam jaiz skanMbam.txt Odnośnik do komentarza
picasso Opublikowano 17 Września 2014 Zgłoś Udostępnij Opublikowano 17 Września 2014 Na zakończenie: 1. Przestarzałe oprogramowanie z podatnością infekcji było już wstępnie wyrzucane, ale pozostał jeszcze OpenOffice.org 3.1 (niestety korzysta z przeterminowanej Javy). Java już usunięta, więc pewne funkcje pakietu przestaną działać. Pakiet należy zaktualizować do najnowszej wersji + załadować najnowszą wersję Java: KLIK. 2. Proponuję zaopatrzyć się w: Avast (wersja darmowa): najnowsza wersja i nowe funkcje w puli, zupełnie inna niż ta, którą wyrzucaliśmy z systemu Malwarebytes Anti-Exploit (wersja darmowa): w wersji darmowej ochrona przeglądarek oraz Java przed eksploitami / atakami SandBoxie (po 30-dniach próbowania pojawia się nagscreen, ale z programu nadal można korzystać): wirtualne środowisko, piaskownica A MBAM zostaw sobie do skanów na żądanie. . Odnośnik do komentarza
jaiz Opublikowano 17 Września 2014 Autor Zgłoś Udostępnij Opublikowano 17 Września 2014 Zastosuję się natychmiast i jeszcze raz dziękuję za pomoc. Odnośnik do komentarza
Rekomendowane odpowiedzi