cAst0r Opublikowano 10 Marca 2014 Zgłoś Udostępnij Opublikowano 10 Marca 2014 Od jakiegoś czasu np. przy czytaniu newsa na www przy kursorze pojawia się takie kółeczko jak to się dzieje gdy ładują sie programy itd., lecz oprócz włączonej mozilli nic nie powinno męczyć kompa. Może moja paranoja, ale wolę wiedzieć czy coś jest na rzeczy. Addition.txt Extras.Txt FRST.txt OTL.Txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 10 Marca 2014 Zgłoś Udostępnij Opublikowano 10 Marca 2014 W systemie działa rootkit Necurs i mnóstwo sterowników Windows jest w stanie zablokowanym. Przeprowadź następujące działania: 1. Uruchom ESET Necurs Remover (opis nieco się nie zgadza z obecną wersją narzędzia) i zresetuj system. 2. Zrób nowy skan FRST (bez Addition i Shortcut). Dołącz log utworzony przez narzędzie ESET, powinien być tam skąd uruchomiono narzędzie. . Odnośnik do komentarza
cAst0r Opublikowano 10 Marca 2014 Autor Zgłoś Udostępnij Opublikowano 10 Marca 2014 Link nie działa:/ EDIT: Zassałem z innej strony i jest napisane, że nie znalazło Necursa. Odnośnik do komentarza
picasso Opublikowano 10 Marca 2014 Zgłoś Udostępnij Opublikowano 10 Marca 2014 Link działa. Skoro u Ciebie nie = infekcja go blokuje. Nie wiem co za narzędzie i skąd pobrałeś (nie szukaj innych linków niż podane, nie wiadomo co za wersja), a rootkit Necurs tu definitywnie jest i nie ma żadnych zmian. Ten log z FRST usuwam, gdyż nie odbiega od pierwszego. Zamiennie: 1. Uruchom Kaspersky TDSSKiller. Dla wyniku Rootkit.Win32.Necurs.gen wybierz akcję Delete. Natomiast wszystkie wyniki typu LockedFile.Multi.Generic mają mieć przyznane Skip, gdyż to prawidłowe sterowniki zablokowane przez rootkita. Jeśli rootkit zostanie poprawnie usunięty, sterowniki samoczynnie się odblokują. Zresetuj system. 2. Zrób nowy skan FRST (bez Addition i Shortcut). Dołącz log utworzony przez TDSSKiller. . Odnośnik do komentarza
cAst0r Opublikowano 10 Marca 2014 Autor Zgłoś Udostępnij Opublikowano 10 Marca 2014 Loga z TDSSSkiller nie zdążyłem skopiować, bo system zrestartował się kolejny raz, a wcześniej restartowalem po skanowaniu:/ Jeszcze wykryło syshost32 generic coś tam, ale dałem skip. A i jeszcze po skanowaniu zniknął pasek adresu w oknie folderu:/ FRST.txt Odnośnik do komentarza
picasso Opublikowano 10 Marca 2014 Zgłoś Udostępnij Opublikowano 10 Marca 2014 "Kopiowanie" raportu zbędne, przecież raport jest zapisywany na dysku C:\ (w instrukcji jest wyraźnie powiedziane). Jeśli chodzi o log z FRST: jedyne co się zmieniło, to odblokowanie sterowników Windows, oba obiekty Necurs (cyfrowy sterownik oraz ów syshost32) nadal są obecne i na dodatek Necurs już zmienił nazwę owego cyfrowego sterownika z c8396628229a3cf3 na 5e0f63d0b8703a97. Powtórka: 1. Uruchom ponownie TDSSKiller, usuń wszystko co wykryje, z wyjątkiem wyników "Locked" (o ile się pokażą ponownie). Zresetuj system. 2. Zrób nowy log FRST (bez Addition i Shortcut). Dostarcz wszystkie logi TDSSKiller. . Odnośnik do komentarza
cAst0r Opublikowano 10 Marca 2014 Autor Zgłoś Udostępnij Opublikowano 10 Marca 2014 Mam nadzieję, że już czysto TDSSKiller.3.0.0.25_10.03.2014_19.38.25_log.txt TDSSKiller.3.0.0.25_10.03.2014_19.55.41_log.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 10 Marca 2014 Zgłoś Udostępnij Opublikowano 10 Marca 2014 Infekcja została pomyślnie usunięta. Poprawki, tzn. usunięcie modyfikacji BCD wprowadzonej przez Necurs oraz pustych wpisów: 1. Otwórz Notatnik i wklej w nim: testsigning: ==> Check for possible unsigned rootkit driver NETSVC: XBCD -> No ServiceDLL Path. S4 NIApplicationWebServer64; "C:\Program Files\National Instruments\Shared\NI WebServer\ApplicationWebServer.exe" -user [X] S3 ESEADriver2; \??\C:\Users\cAst0r\AppData\Local\Temp\ESEADriver2.sys [X] S3 tizekdrv; \??\C:\Users\cAst0r\AppData\Roaming\TZAC\tizek64.sys [X] S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X] Task: {41084A44-C584-4BD7-AC86-0D7C1D7A7A00} - System32\Tasks\Core Temp Autostart cAst0r => C:\Core Temp\Core Temp.exe Task: C:\Windows\Tasks\NIUpdateServiceCheckTask.job => C:\Program Files (x86)\National Instruments\Shared\Update Service\NIUpdateService.exe SearchScopes: HKCU - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://uk.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=ASRK SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://uk.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=ASRK SearchScopes: HKCU - {88E66704-746B-41a8-BC68-EC8DB8642984} URL = http://www.google.com/custom?client=pub-3794288947762788&forid=1&channel=5480255188&ie=UTF-8&oe=UTF-8&safe=active&cof=GALT%3A%23008000%3BGL%3A1%3BDIV%3A%23336699%3BVLC%3A663399%3BAH%3Acenter%3BBGC%3AFFFFFF%3BLBGC%3A336699%3BALC%3A0000FF%3BLC%3A0000FF%3BT%3A000000%3BGFNT%3A0000FF%3BGIMP%3A0000FF%3BFORID%3A1&hl=pl&q={searchTerms} BHO-x32: No Name - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - No File BHO-x32: No Name - {DBC80044-A445-435b-BC74-9C25C1C588A9} - No File Toolbar: HKLM-x32 - No Name - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - No File FF Plugin-x32: @esn/esnlaunch,version=1.102.0 - C:\Program Files (x86)\Battlelog Web Plugins\1.102.0\npesnlaunch.dll No File FF Plugin-x32: @esn/esnlaunch,version=1.110.0 - C:\Program Files (x86)\Battlelog Web Plugins\1.110.0\npesnlaunch.dll No File FF Plugin-x32: @esn/esnlaunch,version=1.122.0 - C:\Program Files (x86)\Battlelog Web Plugins\1.122.0\npesnlaunch.dll No File FF Plugin-x32: @esn/esnlaunch,version=1.138.0 - C:\Program Files (x86)\Battlelog Web Plugins\1.138.0\npesnlaunch.dll No File FF Plugin-x32: @esn/esnlaunch,version=1.140.0 - C:\Program Files (x86)\Battlelog Web Plugins\1.140.0\npesnlaunch.dll No File FF Plugin-x32: @esn/esnlaunch,version=2.1.3 - C:\Program Files (x86)\Battlelog Web Plugins\2.1.3\npesnlaunch.dll No File C:\Program Files\National Instruments C:\Program Files (x86)\National Instruments C:\ProgramData\National Instruments C:\Users\cAst0r\AppData\Local\National Instruments C:\Users\cAst0r\AppData\Roaming\DeviceVm C:\Users\cAst0r\AppData\Roaming\eDownload C:\Users\cAst0r\AppData\Roaming\newnext.me C:\Users\cAst0r\AppData\Roaming\Microsoft\Windows\SendTo\Znajomy Xfire.lnk Reg: reg delete HKCU\Software\Mozilla\SeaMonkey /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird /f Reg: reg query "HKCU\Software\Microsoft\Internet Explorer\MenuExt" /s Reg: reg query "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\MenuExt" /s Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Uruchom TFC - Temp Cleaner. 3. Zrób nowy log FRST (bez Addition i Shortcut). Dołącz też fixlog.txt. . Odnośnik do komentarza
cAst0r Opublikowano 10 Marca 2014 Autor Zgłoś Udostępnij Opublikowano 10 Marca 2014 Gotowe. Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 11 Marca 2014 Zgłoś Udostępnij Opublikowano 11 Marca 2014 Zadania pomyślnie wykonane. Kolejna porcja: 1. Start > w polu szukania wpisz regedit > wejdź do klucza: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt Ze środka skasuj wszystkie podklucze kierujące do odinstalowanego FlashGeta. 2. Przez SHIFT+DEL (omija Kosz) skasuj używane narzędzia: C:\FRST C:\TDSSKiller_Quarantine C:\Users\cAst0r\Desktop\FRST C:\Users\cAst0r\Desktop\Nowy folder\FRST64.exe 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Na wszelki wypadek zrób jeszcze pełny skan systemu za pomocą Malwarebytes Anti-Malware. W przypadku wykrycia czegoś przedstaw raport, w przeciwnym wypadku jest on zbędny. . Odnośnik do komentarza
cAst0r Opublikowano 11 Marca 2014 Autor Zgłoś Udostępnij Opublikowano 11 Marca 2014 Coś wykryło, nie usuwałem wykrytych infekcji. MBAM-log-2014-03-11 (17-00-34).txt Odnośnik do komentarza
picasso Opublikowano 11 Marca 2014 Zgłoś Udostępnij Opublikowano 11 Marca 2014 Wyniki RiskWare.Tool.CK to crack Office. Do usunięcia szczątki adware, czyli wszystkie wyniki PUP.Optional.InstallCore.A i PUP.Optional.NextLive.A. Po tym jeszcze przez SHIFT+DEL dokasuj cały folder odpadkowy po Mobogenie: C:\Users\cAst0r\AppData\Local\genienext. . Odnośnik do komentarza
cAst0r Opublikowano 11 Marca 2014 Autor Zgłoś Udostępnij Opublikowano 11 Marca 2014 Wielkie dzięki za poświęcony czas i pomoc! Odnośnik do komentarza
picasso Opublikowano 11 Marca 2014 Zgłoś Udostępnij Opublikowano 11 Marca 2014 Na zakończenie jeszcze aktualizacje poniższego softu: KLIK / KLIK. ==================== Installed Programs ====================== Adobe Flash Player 11 ActiveX 64-bit (HKLM\...\Adobe Flash Player ActiveX) (Version: 11.1.102.62 - Adobe Systems Incorporated) ----> wtyczka dla IE Adobe Reader XI (11.0.03) (HKLM-x32\...\{AC76BA86-7AD7-1033-7B44-AB0000000001}) (Version: 11.0.03 - Adobe Systems Incorporated) Java 7 Update 45 (64-bit) (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F86417045FF}) (Version: 7.0.450 - Oracle) ----> Java 32-bit już jest najnowsza Microsoft Office Professional Plus 2010 (HKLM\...\Office14.PROPLUS) (Version: 14.0.4763.1000 - Microsoft Corporation) ----> instalacja SP Tlen.pl (HKLM-x32\...\Tlen.pl) (Version: 6.0.3.67 - o2.pl Sp. z o. o.) ----> proponowana zamiana na WTW Temat rozwiązany. Zamykam. . Odnośnik do komentarza
Rekomendowane odpowiedzi