avaldazar Opublikowano 2 Maja 2013 Zgłoś Udostępnij Opublikowano 2 Maja 2013 Witam Problem polega na nie prawidłowym działaniu internet explorer tzn. strasznie zamula kiedy strona używa "java" no i kiedy chciałem wyłączyć programy startowe, wyskakuje okienko-" nie można zainicjować aplikacji: 0x800106ba." Najpierw zrobiłem skan mbam. ten wykrył 40 zagożeń, ale problem nie zniknął kolega polecił forum "fixitpc.pl" Mam 32 bitową Viste zrobiłem logi z otl i gmer Proszę o pomoc Extras.Txt MBAM-log-2013-05-02 (17-45-27).txt OTL.Txt agmer.txt Odnośnik do komentarza
picasso Opublikowano 2 Maja 2013 Zgłoś Udostępnij Opublikowano 2 Maja 2013 W kwestii problemów zasadniczych: w systemie działa rootkit Necurs, który blokuje sterowniki i funkcje systemu, dlatego Windows jest niepełnosprawny. Obecność Necurs sygnalizowana tymi obiektami o losowym charakterze: DRV - [2013-05-01 02:17:29 | 000,061,312 | ---- | M] () [Kernel | Boot | Stopped] -- C:\Windows\System32\drivers\3f91e68f99f2bd05.sys -- (3f91e68f99f2bd05) [2013-05-01 02:17:29 | 000,061,312 | ---- | M] () -- C:\Windows\System32\drivers\3f91e68f99f2bd05.sys [2013-05-01 02:15:42 | 000,061,312 | ---- | M] () -- C:\Windows\System32\drivers\3b9ca2b195fd5875.sys Poza tym, jest też śmietnisko adware. 1. Uruchom zgodnie ze wskazówkami ESET Necurs Remover. Zresetuj system. 2. Odinstaluj adware: - Przez Panel sterowania: BrowserProtect, Bundled software uninstaller, Delta toolbar, Delta Chrome Toolbar, LiveVDO, OptimizerPro. - W Firefox menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Windows\System32\Extensions C:\Windows\System32\searchplugins C:\Windows\tasks\{5626D4AE-495E-499C-9622-55FE0CB453E6}.job C:\Windows\tasks\dsmonitor.job C:\Users\Ja\{3565f0de-eeb0-4cce-b0ce-553bbe0ce372} C:\Users\Ja\{55f295f9-7f17-4589-b9c3-b9be9c9a718d} C:\Users\Ja\Local Settings C:\ProgramData\6958331.js C:\ProgramData\6958331.pad C:\ProgramData\Babylon C:\ProgramData\BetterSoft C:\ProgramData\Browse2save C:\ProgramData\Cloud Software LTD C:\ProgramData\InstallMate C:\ProgramData\McAfee C:\ProgramData\Norton C:\ProgramData\NortonInstaller C:\ProgramData\Tarma Installer C:\Users\Ja\AppData\Roaming\BabMaint.exe C:\Users\Ja\AppData\Roaming\BabSolution C:\Users\Ja\AppData\Roaming\Babylon C:\Users\Ja\AppData\Roaming\CertifiedToolbar C:\Users\Ja\AppData\Roaming\DSite C:\Users\Ja\AppData\Roaming\OpenCandy C:\Users\Ja\AppData\Roaming\SendSpace C:\Users\Ja\AppData\Roaming\Uniblue C:\Users\Ja\AppData\Local\DownTango C:\Users\Ja\AppData\Local\PutLockerDownloader C:\Users\Ja\AppData\Local\Google\Chrome C:\Users\Ja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\DownTango C:\Users\Ja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PutLockerDownloader.com C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Uniblue C:\Program Files\Protected Search C:\Program Files\Uniblue C:\Program Files\mozilla firefox\searchplugins\babylon.xml C:\Program Files\mozilla firefox\searchplugins\Web Search.xml netsh advfirewall reset /C :OTL O2 - BHO: (Browse2save) - {394BF6D8-DBF7-AF86-52BE-0B3064C00B94} - C:\ProgramData\Browse2save\50fdd700b43ef.dll () O2 - BHO: (smartdownloader Class) - {F1AF26F8-1828-4279-ABCE-074EF3235BD7} - C:\Program Files\PutLockerDownloader\smarterdownloader.dll File not found O3 - HKU\S-1-5-21-70149214-1339082029-3386996294-1000\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found. O4 - HKLM..\Run: [sweetpacks Communicator] C:\Program Files\SweetIM\Communicator\SweetPacksUpdateManager.exe File not found O4 - HKLM..\Run: [TkBellExe] "c:\program files\real\realplayer\update\realsched.exe" -osboot File not found O4 - HKU\S-1-5-18..\Run: [RapidDrive] C:\Program Files\RAPIDSHARE AG\RapidDrive\VirtualDrive.exe -autostart File not found O4 - HKU\S-1-5-21-70149214-1339082029-3386996294-1000..\Run: [nimkukjowato] C:\Users\Ja\nimkukjowato.exe File not found O4 - HKU\S-1-5-21-70149214-1339082029-3386996294-1000..\Run: [RapidDrive] C:\Program Files\RAPIDSHARE AG\RapidDrive\VirtualDrive.exe -autostart File not found O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Main present O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Main present O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Main present O7 - HKU\S-1-5-21-70149214-1339082029-3386996294-1000\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-21-70149214-1339082029-3386996294-1000\Software\Policies\Microsoft\Internet Explorer\Main present O7 - HKU\S-1-5-21-70149214-1339082029-3386996294-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart. 4. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "bProtector Start Page"=- "Default_Search_URL"=- "Search Bar"=- "Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896" "Start Default_Page_URL"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Default_Search_URL"="http://go.microsoft.com/fwlink/?LinkId=54896" "Search Bar"=- "Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896" "Start Default_Page_URL"=- "Start Page"="http://go.microsoft.com/fwlink/?LinkId=69157" "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "bProtectorDefaultScope"=- [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] @="Bing" "URL"="http://www.bing.com/search?q=%7BsearchTerms%7D&FORM=IE8SRC" "DisplayName"="@ieframe.dll,-12512" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\AboutURLs] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchURI] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchUrl] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchURI] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchUrl] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\AboutURLs] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Main] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Search] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchURI] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchUrl] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 5. Uruchom Autoruns. W karcie Scheduled Tasks skasuj zadania adware (OptimizerProUpdater, ProtectedSearch, OpenCandy) oraz wszystkie oznaczone jako "not found". 6. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 7. Zrób nowy log OTL z opcji Skanuj (już bez Extras) + GMER. Dołącz log z usuwania OTL z punktu 3 oraz log utworzony przez AdwCleaner. Odnośnik do komentarza
avaldazar Opublikowano 2 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 2 Maja 2013 nowe logi OTL.Txt 05022013_223859_.txt AdwCleanerS1.txt gmer.txt Odnośnik do komentarza
picasso Opublikowano 3 Maja 2013 Zgłoś Udostępnij Opublikowano 3 Maja 2013 O ile czyszczenie adware jak torpeda, to są wątpliwości w kwestii głównej infekcji. W GMER niby ustąpiły odczyty rootkit, ale raport podejrzanie krótki (czy to na pewno pełny skan?). Sterownik Necurs został pomyślnie wyłączony: DRV - [2013-05-01 02:17:29 | 000,061,312 | ---- | M] () [Kernel | Disabled | Stopped] -- C:\Windows\System32\drivers\3f91e68f99f2bd05.sys -- (3f91e68f99f2bd05) ... ale log z OTL jest mocno podejrzany. Nie ustąpiło zablokowanie prawidłowych sterowników Windows, nie są pobierane o nich dane, co jest z kolei efektem sugerującym czynną infekcję: ========== Driver Services (SafeList) ========== DRV - [2013-03-03 21:07:52 | 001,082,232 | ---- | M] () [File_System | On_Demand | Running] -- C:\Windows\System32\drivers\ntfs.sys -- (Ntfs) DRV - [2013-01-04 13:28:18 | 000,905,576 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\System32\DRIVERS\tcpip.sys -- (Tcpip6) DRV - [2013-01-04 13:28:18 | 000,905,576 | ---- | M] () [Kernel | Boot | Running] -- C:\Windows\System32\drivers\tcpip.sys -- (Tcpip) DRV - [2012-08-21 13:47:42 | 000,224,640 | ---- | M] () [Kernel | Boot | Running] -- C:\Windows\System32\drivers\volsnap.sys -- (volsnap) DRV - [2012-07-26 05:39:21 | 000,526,952 | ---- | M] () [Kernel | Boot | Running] -- C:\Windows\System32\drivers\Wdf01000.sys -- (Wdf01000) DRV - [2012-07-26 04:33:43 | 000,066,560 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\WudfPf.sys -- (WudfPf) DRV - [2012-07-26 04:32:51 | 000,155,136 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\System32\DRIVERS\WUDFRd.sys -- (WUDFRd) DRV - [2012-06-04 17:26:04 | 000,440,704 | ---- | M] () [Kernel | Boot | Running] -- C:\Windows\System32\Drivers\ksecdd.sys -- (KSecDD) DRV - [2012-05-01 16:03:49 | 000,180,736 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\rdpwd.sys -- (RDPWD) DRV - [2012-04-11 10:45:08 | 000,595,200 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\System32\DRIVERS\qpavstrm.sys -- (qpavstrm) DRV - [2012-03-21 01:28:50 | 000,053,120 | ---- | M] () [Kernel | Boot | Running] -- C:\Windows\System32\drivers\partmgr.sys -- (partmgr) DRV - [2011-07-06 17:31:47 | 000,214,016 | ---- | M] () [File_System | On_Demand | Running] -- C:\Windows\System32\DRIVERS\mrxsmb10.sys -- (mrxsmb10) DRV - [2011-04-29 15:25:10 | 000,146,432 | ---- | M] () [File_System | On_Demand | Running] -- C:\Windows\System32\DRIVERS\srv2.sys -- (srv2) DRV - [2011-04-29 15:25:09 | 000,102,400 | ---- | M] () [File_System | On_Demand | Running] -- C:\Windows\System32\DRIVERS\srvnet.sys -- (srvnet) DRV - [2011-04-29 15:24:42 | 000,079,872 | ---- | M] () [File_System | On_Demand | Running] -- C:\Windows\System32\DRIVERS\mrxsmb20.sys -- (mrxsmb20) DRV - [2011-04-29 15:24:40 | 000,106,496 | ---- | M] () [File_System | On_Demand | Running] -- C:\Windows\System32\DRIVERS\mrxsmb.sys -- (mrxsmb) DRV - [2011-02-18 16:03:32 | 000,305,152 | ---- | M] () [File_System | On_Demand | Running] -- C:\Windows\System32\DRIVERS\srv.sys -- (srv) DRV - [2010-02-20 22:53:34 | 000,411,648 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\HTTP.sys -- (HTTP) DRV - [2010-02-18 13:28:13 | 000,025,088 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\System32\DRIVERS\tunnel.sys -- (tunnel) DRV - [2009-12-08 19:26:18 | 000,030,720 | ---- | M] () [Kernel | Auto | Running] -- C:\Windows\System32\drivers\tcpipreg.sys -- (tcpipreg) DRV - [2009-10-21 05:27:42 | 001,102,848 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\viahduaa.sys -- (VIAHdAudAddService) DRV - [2009-10-01 03:01:54 | 000,040,448 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\System32\DRIVERS\wpdusb.sys -- (WpdUsb) DRV - [2009-09-02 05:09:24 | 000,176,128 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\System32\DRIVERS\Rtlh86.sys -- (RTL8169) DRV - [2009-08-04 10:28:18 | 000,011,296 | ---- | M] () [Kernel | System | Running] -- C:\Windows\System32\drivers\AsIO.sys -- (AsIO) DRV - [2009-07-06 10:48:02 | 000,011,448 | ---- | M] () [Kernel | System | Running] -- C:\Windows\System32\drivers\AsUpIO.sys -- (AsUpIO) DRV - [2009-04-11 08:33:03 | 000,292,840 | ---- | M] () [Kernel | Boot | Running] -- C:\Windows\System32\drivers\volmgrx.sys -- (volmgrx) DRV - [2009-04-11 08:32:55 | 000,149,480 | ---- | M] () [Kernel | Boot | Running] -- C:\Windows\System32\drivers\pci.sys -- (pci) DRV - [2009-04-11 08:32:52 | 000,053,224 | ---- | M] () [Kernel | System | Running] -- C:\Windows\System32\DRIVERS\termdd.sys -- (TermDD) DRV - [2009-04-11 08:32:49 | 000,527,848 | ---- | M] () [Kernel | Boot | Running] -- C:\Windows\System32\drivers\ndis.sys -- (NDIS) DRV - [2009-04-11 08:32:46 | 000,180,712 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\System32\DRIVERS\msiscsi.sys -- (iScsiPrt) DRV - [2009-04-11 08:32:46 | 000,161,752 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\msrpc.sys -- (MsRPC) DRV - [2009-04-11 08:32:31 | 000,048,104 | ---- | M] () [File_System | Boot | Running] -- C:\Windows\System32\Drivers\mup.sys -- (Mup) DRV - [2009-04-11 06:46:40 | 000,069,120 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\System32\DRIVERS\rassstp.sys -- (RasSstp) DRV - [2009-04-11 06:46:32 | 000,121,344 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\System32\DRIVERS\ndiswan.sys -- (NdisWan) DRV - [2009-04-11 06:46:30 | 000,041,472 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\System32\DRIVERS\raspppoe.sys -- (RasPppoe) DRV - [2009-04-11 06:45:56 | 000,072,192 | ---- | M] () [Kernel | System | Running] -- C:\Windows\System32\DRIVERS\tdx.sys -- (tdx) DRV - [2009-04-11 06:45:51 | 000,072,192 | ---- | M] () [Kernel | System | Running] -- C:\Windows\System32\DRIVERS\pacer.sys -- (PSched) DRV - [2009-04-11 06:45:37 | 000,185,856 | ---- | M] () [Kernel | System | Running] -- C:\Windows\System32\DRIVERS\netbt.sys -- (netbt) DRV - [2009-04-11 06:43:28 | 000,148,480 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\System32\DRIVERS\nwifi.sys -- (NativeWifiP) DRV - [2009-04-11 06:43:16 | 000,196,096 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\System32\DRIVERS\usbhub.sys -- (usbhub) DRV - [2009-04-11 06:42:55 | 000,065,536 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\System32\DRIVERS\USBSTOR.SYS -- (USBSTOR) DRV - [2009-04-11 06:42:52 | 000,039,936 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\System32\DRIVERS\usbehci.sys -- (usbehci) DRV - [2009-04-11 06:38:40 | 000,017,408 | ---- | M] () [Kernel | System | Running] -- C:\Windows\System32\DRIVERS\kbdhid.sys -- (kbdhid) DRV - [2009-04-11 06:14:40 | 000,114,688 | ---- | M] () [File_System | On_Demand | Running] -- C:\Windows\System32\drivers\mrxdav.sys -- (MRxDAV) DRV - [2009-04-11 06:14:29 | 000,225,280 | ---- | M] () [File_System | System | Running] -- C:\Windows\System32\DRIVERS\rdbss.sys -- (rdbss) DRV - [2009-04-11 06:14:01 | 000,035,328 | ---- | M] () [File_System | System | Running] -- C:\Windows\System32\drivers\npfs.sys -- (Npfs) DRV - [2009-04-11 06:13:59 | 000,226,816 | ---- | M] () [File_System | Disabled | Stopped] -- C:\Windows\System32\DRIVERS\udfs.sys -- (udfs) DRV - [2008-01-21 04:24:59 | 000,023,552 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\System32\DRIVERS\tssecsrv.sys -- (tssecsrv) DRV - [2008-01-21 04:24:57 | 000,031,744 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\modem.sys -- (Modem) DRV - [2008-01-21 04:24:55 | 000,076,288 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\System32\DRIVERS\rasl2tp.sys -- (Rasl2tp) DRV - [2008-01-21 04:24:55 | 000,062,976 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\System32\DRIVERS\raspptp.sys -- (PptpMiniport) DRV - [2008-01-21 04:24:55 | 000,016,896 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\System32\DRIVERS\ndisuio.sys -- (Ndisuio) DRV - [2008-01-21 04:24:51 | 000,006,016 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\MSTEE.sys -- (MSTEE) DRV - [2008-01-21 04:24:51 | 000,005,888 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\MSPCLOCK.sys -- (MSPCLOCK) DRV - [2008-01-21 04:24:51 | 000,005,504 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\MSPQM.sys -- (MSPQM) DRV - [2008-01-21 04:24:50 | 000,025,088 | ---- | M] () [Kernel | System | Running] -- C:\Windows\System32\drivers\vga.sys -- (VgaSave) DRV - [2008-01-21 04:24:50 | 000,008,192 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\MSKSSRV.sys -- (MSKSSRV) DRV - [2008-01-21 04:24:50 | 000,006,144 | ---- | M] () [Kernel | System | Running] -- C:\Windows\System32\drivers\rdpencdd.sys -- (RDPENCDD) DRV - [2008-01-21 04:24:47 | 000,064,000 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\mpsdrv.sys -- (mpsdrv) DRV - [2008-01-21 04:24:47 | 000,016,384 | ---- | M] () [Kernel | System | Running] -- C:\Windows\System32\drivers\nsiproxy.sys -- (nsiproxy) DRV - [2008-01-21 04:24:47 | 000,015,872 | ---- | M] () [Kernel | Disabled | Stopped] -- C:\Windows\System32\drivers\ws2ifsl.sys -- (ws2ifsl) DRV - [2008-01-21 04:24:45 | 000,047,616 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\System32\DRIVERS\ipfltdrv.sys -- (IpFilterDriver) DRV - [2008-01-21 04:24:37 | 000,084,480 | ---- | M] () [File_System | Auto | Running] -- C:\Windows\System32\drivers\luafv.sys -- (luafv) DRV - [2008-01-21 04:24:37 | 000,060,416 | ---- | M] () [Kernel | Auto | Running] -- C:\Windows\System32\DRIVERS\rspndr.sys -- (rspndr) DRV - [2008-01-21 04:24:37 | 000,047,104 | ---- | M] () [Kernel | Auto | Running] -- C:\Windows\System32\DRIVERS\lltdio.sys -- (lltdio) DRV - [2008-01-21 04:24:25 | 000,100,864 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\System32\DRIVERS\ipnat.sys -- (IPNAT) DRV - [2008-01-21 04:24:25 | 000,062,464 | ---- | M] () [Kernel | System | Running] -- C:\Windows\System32\DRIVERS\wanarp.sys -- (Wanarpv6) DRV - [2008-01-21 04:24:25 | 000,062,464 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\System32\DRIVERS\wanarp.sys -- (Wanarp) DRV - [2008-01-21 04:24:25 | 000,049,664 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\ndproxy.sys -- (NDProxy) DRV - [2008-01-21 04:24:25 | 000,020,992 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\System32\DRIVERS\ndistapi.sys -- (NdisTapi) DRV - [2008-01-21 04:24:25 | 000,015,360 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\System32\DRIVERS\tunmp.sys -- (tunmp) DRV - [2008-01-21 04:24:20 | 000,035,840 | ---- | M] () [File_System | System | Running] -- C:\Windows\System32\DRIVERS\netbios.sys -- (NetBIOS) DRV - [2008-01-21 04:24:19 | 000,011,776 | ---- | M] () [Kernel | System | Running] -- C:\Windows\System32\DRIVERS\rasacd.sys -- (RasAcd) DRV - [2008-01-21 04:24:11 | 000,021,048 | ---- | M] () [Kernel | Boot | Running] -- C:\Windows\System32\drivers\spldr.sys -- (spldr) DRV - [2008-01-21 04:24:08 | 000,029,184 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\tdtcp.sys -- (TDTCP) DRV - [2008-01-21 04:24:08 | 000,017,920 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\tdpipe.sys -- (TDPIPE) DRV - [2008-01-21 04:24:06 | 000,006,144 | ---- | M] () [Kernel | System | Running] -- C:\Windows\System32\DRIVERS\RDPCDD.sys -- (RDPCDD) DRV - [2008-01-21 04:23:54 | 000,013,312 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\irenum.sys -- (IRENUM) DRV - [2008-01-21 04:23:51 | 000,022,528 | ---- | M] () [File_System | System | Running] -- C:\Windows\System32\drivers\msfs.sys -- (Msfs) DRV - [2008-01-21 04:23:50 | 000,004,608 | ---- | M] () [Kernel | System | Running] -- C:\Windows\System32\drivers\null.sys -- (Null) DRV - [2008-01-21 04:23:43 | 000,057,400 | ---- | M] () [Kernel | Boot | Running] -- C:\Windows\System32\drivers\mountmgr.sys -- (MountMgr) DRV - [2008-01-21 04:23:31 | 000,031,232 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\qwavedrv.sys -- (QWAVEdrv) DRV - [2008-01-21 04:23:24 | 000,022,072 | ---- | M] () [Kernel | Disabled | Stopped] -- C:\Windows\System32\drivers\wd.sys -- (Wd) DRV - [2008-01-21 04:23:23 | 000,035,384 | ---- | M] () [Kernel | System | Running] -- C:\Windows\System32\DRIVERS\kbdclass.sys -- (kbdclass) DRV - [2008-01-21 04:23:23 | 000,013,312 | ---- | M] () [Kernel | Disabled | Stopped] -- C:\Windows\System32\drivers\sffdisk.sys -- (sffdisk) DRV - [2008-01-21 04:23:23 | 000,012,288 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\sffp_mmc.sys -- (sffp_mmc) DRV - [2008-01-21 04:23:23 | 000,011,776 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\sffp_sd.sys -- (sffp_sd) DRV - [2008-01-21 04:23:22 | 000,064,512 | ---- | M] () [Kernel | Disabled | Stopped] -- C:\Windows\System32\drivers\ipmidrv.sys -- (IPMIDRV) DRV - [2008-01-21 04:23:22 | 000,059,448 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\uagp35.sys -- (uagp35) DRV - [2008-01-21 04:23:22 | 000,041,984 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\System32\DRIVERS\monitor.sys -- (monitor) DRV - [2008-01-21 04:23:22 | 000,034,816 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\System32\DRIVERS\umbus.sys -- (umbus) DRV - [2008-01-21 04:23:21 | 000,094,776 | ---- | M] () [Kernel | Disabled | Stopped] -- C:\Windows\System32\drivers\msdsm.sys -- (msdsm) DRV - [2008-01-21 04:23:20 | 000,105,016 | ---- | M] () [Kernel | Disabled | Stopped] -- C:\Windows\System32\drivers\mpio.sys -- (mpio) DRV - [2008-01-21 04:23:20 | 000,073,216 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\System32\DRIVERS\usbccgp.sys -- (usbccgp) DRV - [2008-01-21 04:23:20 | 000,054,784 | ---- | M] () [Kernel | System | Stopped] -- C:\Windows\System32\DRIVERS\i8042prt.sys -- (i8042prt) DRV - [2008-01-21 04:23:20 | 000,034,360 | ---- | M] () [Kernel | System | Running] -- C:\Windows\System32\DRIVERS\mouclass.sys -- (mouclass) DRV - [2008-01-21 04:23:20 | 000,019,968 | ---- | M] () [Kernel | Disabled | Stopped] -- C:\Windows\System32\drivers\sermouse.sys -- (sermouse) DRV - [2008-01-21 04:23:03 | 000,023,552 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\System32\DRIVERS\usbuhci.sys -- (usbuhci) DRV - [2008-01-21 04:23:02 | 000,030,264 | ---- | M] () [Kernel | Disabled | Stopped] -- C:\Windows\System32\drivers\i2omp.sys -- (i2omp) DRV - [2008-01-21 04:23:02 | 000,026,112 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\System32\DRIVERS\vgapnp.sys -- (vga) DRV - [2008-01-21 04:23:01 | 000,248,832 | ---- | M] () [Kernel | Disabled | Stopped] -- C:\Windows\System32\drivers\rdpdr.sys -- (rdpdr) DRV - [2008-01-21 04:23:01 | 000,109,112 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\nv_agp.sys -- (nv_agp) DRV - [2008-01-21 04:23:01 | 000,083,456 | ---- | M] () [Kernel | System | Running] -- C:\Windows\System32\DRIVERS\serial.sys -- (Serial) DRV - [2008-01-21 04:23:01 | 000,079,360 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\System32\DRIVERS\parport.sys -- (Parport) DRV - [2008-01-21 04:23:01 | 000,060,984 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\uliagpkx.sys -- (uliagpkx) DRV - [2008-01-21 04:23:01 | 000,056,888 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\viaagp.sys -- (viaagp) DRV - [2008-01-21 04:23:01 | 000,052,792 | ---- | M] () [Kernel | Boot | Running] -- C:\Windows\System32\drivers\volmgr.sys -- (volmgr) DRV - [2008-01-21 04:23:01 | 000,049,720 | ---- | M] () [Kernel | Disabled | Stopped] -- C:\Windows\System32\drivers\isapnp.sys -- (isapnp) DRV - [2008-01-21 04:23:01 | 000,031,288 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\System32\DRIVERS\mssmbios.sys -- (mssmbios) DRV - [2008-01-21 04:23:01 | 000,017,920 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\System32\DRIVERS\serenum.sys -- (Serenum) DRV - [2008-01-21 04:23:01 | 000,016,440 | ---- | M] () [Kernel | Boot | Running] -- C:\Windows\System32\drivers\msisadrv.sys -- (msisadrv) DRV - [2008-01-21 04:23:01 | 000,015,288 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\System32\DRIVERS\swenum.sys -- (swenum) DRV - [2008-01-21 04:23:01 | 000,008,704 | ---- | M] () [Kernel | Auto | Running] -- C:\Windows\System32\DRIVERS\parvdm.sys -- (Parvdm) DRV - [2008-01-21 04:23:00 | 000,041,472 | ---- | M] () [Kernel | Disabled | Stopped] -- C:\Windows\System32\drivers\viac7.sys -- (ViaC7) DRV - [2008-01-21 04:23:00 | 000,041,472 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\System32\DRIVERS\intelppm.sys -- (intelppm) DRV - [2008-01-21 04:23:00 | 000,040,960 | ---- | M] () [Kernel | Disabled | Stopped] -- C:\Windows\System32\drivers\processr.sys -- (Processor) DRV - [2008-01-21 04:23:00 | 000,028,728 | ---- | M] () [Kernel | Disabled | Stopped] -- C:\Windows\System32\drivers\msahci.sys -- (msahci) DRV - [2008-01-21 04:23:00 | 000,017,976 | ---- | M] () [Kernel | Boot | Running] -- C:\Windows\System32\drivers\intelide.sys -- (intelide) DRV - [2008-01-21 04:23:00 | 000,016,440 | ---- | M] () [Kernel | Disabled | Stopped] -- C:\Windows\System32\drivers\pciide.sys -- (pciide) DRV - [2008-01-21 04:23:00 | 000,011,264 | ---- | M] () [Kernel | Disabled | Stopped] -- C:\Windows\System32\drivers\wmiacpi.sys -- (WmiAcpi) DRV - [2007-08-11 17:06:56 | 000,071,539 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\System32\Drivers\StMp3Rec.sys -- (StMp3Rec) DRV - [2006-11-02 11:51:12 | 000,167,528 | ---- | M] () [Kernel | Disabled | Stopped] -- C:\Windows\System32\drivers\pcmcia.sys -- (pcmcia) DRV - [2006-11-02 11:50:16 | 000,076,392 | ---- | M] () [Kernel | Disabled | Stopped] -- C:\Windows\System32\drivers\sbp2port.sys -- (sbp2port) DRV - [2006-11-02 11:14:58 | 000,018,944 | ---- | M] () [Kernel | Disabled | Stopped] -- C:\Windows\System32\drivers\usbprint.sys -- (usbprint) DRV - [2006-11-02 11:04:35 | 000,878,080 | ---- | M] () [Kernel | Auto | Running] -- C:\Windows\System32\drivers\peauth.sys -- (PEAUTH) DRV - [2006-11-02 10:55:16 | 000,062,080 | ---- | M] () [Kernel | Disabled | Stopped] -- C:\Windows\System32\drivers\ohci1394.sys -- (ohci1394) DRV - [2006-11-02 10:55:09 | 000,068,608 | ---- | M] () [Kernel | Disabled | Stopped] -- C:\Windows\System32\drivers\usbcir.sys -- (usbcir) DRV - [2006-11-02 10:55:05 | 000,019,456 | ---- | M] () [Kernel | Disabled | Stopped] -- C:\Windows\System32\drivers\usbohci.sys -- (usbohci) DRV - [2006-11-02 10:52:52 | 000,020,608 | ---- | M] () [Kernel | Disabled | Stopped] -- C:\Windows\System32\drivers\wacompen.sys -- (WacomPen) DRV - [2006-11-02 10:51:40 | 000,013,312 | ---- | M] () [Kernel | Disabled | Stopped] -- C:\Windows\System32\drivers\sfloppy.sys -- (sfloppy) DRV - [2006-10-18 07:44:48 | 000,007,680 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\System32\DRIVERS\ASACPI.sys -- (MTsensor) Dodatkowo: na dysku są dwa cyfrowe pliki sterowników Necurs, a log z MBAM pokazywał wcześniej detekcję usługi pomocniczej syshost.exe. Ten szczególny wariant Necurs z pomocniczym syshost może być słabo widzialny z poziomu Windows. Nie podoba mi się to. Poproszę o raport zrobiony z poziomu środowiska zewnętrznego (nie spod Windows): FRST. Podkreślam: log ma powstać z poziomu WinRE a nie Windows. Odnośnik do komentarza
avaldazar Opublikowano 3 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 3 Maja 2013 jeszcze raz użylem gmer może wczesniej wystapił jakiś błąd lub cos żle zrobiłem. nowy log z gmer agmer.txt Odnośnik do komentarza
picasso Opublikowano 3 Maja 2013 Zgłoś Udostępnij Opublikowano 3 Maja 2013 GMER potwierdza to co podejrzewałam. Infekcja jest czynna. Usuwanie spod Windows nieskuteczne. Log z FRST nadal aktualny. Rootkit będzie usuwany z poziomu środowiska zewnętrznego. Odnośnik do komentarza
avaldazar Opublikowano 3 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 3 Maja 2013 Mam problem z uruchomieniem FRST, ponieważ kiedy uruchamiam z dysku instalacyjnego, pokazuje mi tylko opcje instalacji winowsa, nie ma ani opcji napraw komputer, ani cmd, poprzez f8 komputer uruchamia sie ponownie. Odnośnik do komentarza
picasso Opublikowano 3 Maja 2013 Zgłoś Udostępnij Opublikowano 3 Maja 2013 Wróć do opisu WinRE, tam w spoilerze są podane linki pobierania płyt z samym WinRE. Odnośnik do komentarza
avaldazar Opublikowano 3 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 3 Maja 2013 FRST.txt Odnośnik do komentarza
picasso Opublikowano 3 Maja 2013 Zgłoś Udostępnij Opublikowano 3 Maja 2013 1. Otwórz Notatnik i wklej w nim: S0 3b9ca2b195fd5875; C:\Windows\System32\Drivers\3b9ca2b195fd5875.sys [61312 2013-05-01] () S4 3f91e68f99f2bd05; C:\Windows\System32\Drivers\3f91e68f99f2bd05.sys [61312 2013-05-01] () S3 EagleXNt; \??\C:\Users\Ja\AppData\Local\temp\EagleXNt.sys [x] NETSVC: {6080a529-897e-4629-a488-aba0c29b635e} -> No Registry Path. 2013-05-01 01:17 - 2013-05-01 01:17 - 00061312 ____A C:\Windows\System32\Drivers\3f91e68f99f2bd05.sys 2013-05-01 01:15 - 2013-05-01 01:15 - 00061312 ____A C:\Windows\System32\Drivers\3b9ca2b195fd5875.sys Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. 2. Uruchom spod WinRE narzędzie FRST i zastosuj w nim opcję Fix. Wynikowo powstanie plik fixlog.txt. 3. Wejdź do Windows. Zrób nowe logi: OTL z opcji Skanuj + GMER. Dołącz też fixlog.txt. Odnośnik do komentarza
avaldazar Opublikowano 3 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 3 Maja 2013 Dodam tylko, że zapora już działa nornalnie, ale wystąpił nowy problem - "Centrum Sieci i Udostępniania" w panelu sterowania nie działa, na pasku zadań ikona komputera z czerwonym krzyżykiem (stan połączenia nie znany; wykonanie serwera nie powiodło się) mimo to internet działa normalnie. Nowe logi: Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 02-05-2013 Ran by SYSTEM at 2013-05-03 18:51:45 Run:1 Running from F:\ Boot Mode: Recovery ============================================== 3b9ca2b195fd5875 => Service deleted successfully. 3f91e68f99f2bd05 => Service deleted successfully. EagleXNt => Service deleted successfully. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\\netsvcs {6080a529-897e-4629-a488-aba0c29b635e} => Value deleted successfully. C:\Windows\System32\Drivers\3f91e68f99f2bd05.sys => Moved successfully. C:\Windows\System32\Drivers\3b9ca2b195fd5875.sys => Moved successfully. ==== End of Fixlog ==== OTL.Txt GMER.txt Odnośnik do komentarza
picasso Opublikowano 8 Maja 2013 Zgłoś Udostępnij Opublikowano 8 Maja 2013 Usuwanie Necurs wykonane poprawnie, wszystkie sterowniki uprzednio pokazane bez danych zostały odblokowane. ale wystąpił nowy problem - "Centrum Sieci i Udostępniania" w panelu sterowania nie działa, na pasku zadań ikona komputera z czerwonym krzyżykiem (stan połączenia nie znany; wykonanie serwera nie powiodło się) mimo to internet działa normalnie. W jaki sposób objawia się defekt tego Centrum, tzn. co Ci się pokazuje, jakiś konkretny błąd? Czy na pewno te efekty występują po ponownym normalnym restarcie systemu? Odnośnik do komentarza
avaldazar Opublikowano 10 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 10 Maja 2013 Internet pracuje normalnie i wszystkie programy z niego korzystające też, tylko po usunięciu rootkita zmieniła mi się ikonka na pasku zadań, tak jakbym nie miał sieci, a gdy próbowałem wejść w panelu sterowania do "centrum sieci i udostępniania" komputer zamulił okno ani się nie chce otworzyć, ani zamknąć dopiero po jakimś czasie się zamyka. screeny Odnośnik do komentarza
picasso Opublikowano 11 Maja 2013 Zgłoś Udostępnij Opublikowano 11 Maja 2013 (edytowane) Podaj więcej danych: 1. Pełną kopię rejestru wyprodukowaną przez narzędzie RegBak. 2. Pełne Dzienniki zdarzeń. Skopiuj na Pulpit cały folder C:\Windows\system32\winevt\Logs. Wszystko zapakuj do ZIP, shostuj gdzieś i podaj tu link. To gruby materiał, analiza zajmie czas i nie spodziewaj się szybkiej odpowiedzi. Edytowane 17 Sierpnia 2018 przez picasso 12.06.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi