atasuke Opublikowano 14 Kwietnia 2014 Zgłoś Udostępnij Opublikowano 14 Kwietnia 2014 Witam Mam ogromny problem z laptopem. Antywirus został wyłaczony. Gmer zgłasza modyfikację systemu oraz wyświetla proces na czerwono. Tutaj daje loga z tego co skanował gmer.txt. System działa bardzo wolno. System po uruchomieniu zgłasza szered błedów postaram się załączyć zrzuty z ekranu. Wracając do zrzutów o które mi chodziło: Oraz zastanawia mnie na co i komu potrzebne coś takiego i do czego to służy: Wyswietla sie to przy każdym oknie np moj komputer Sytem to Windows Vista 32 bitowa. Daje reszte wymaganych logów. FRST FRST.txt Addition.txt Shortcut.txt OTL OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 14 Kwietnia 2014 Zgłoś Udostępnij Opublikowano 14 Kwietnia 2014 Zanim przejdę do usuwania infekcji i adware, w pierwszej kolejności weryfikacja owego "rootkita". Aktualnie niewiarygodne środowisko. Odinstaluj DAEMON Tools, bo to prawdopodobnie wynik aktywności jego sterownika: ==================== Drivers (Whitelisted) ==================== R1 dtsoftbus01; C:\Windows\System32\DRIVERS\dtsoftbus01.sys [239168 2012-03-11] (DT Soft Ltd) DAEMON Tools nie występuje w Panelu sterowania, deinstalator dostępny w Menu start lub wprost z folderu aplikacji. Jest tu wersja Lite figurująca w Panelu. Po usunięciu DAEMON Tools zresetuj system i zrób nowy log GMER. Dodatkowo, sprawdź także co mówi Kaspersky TDSSKiller. Jeśli coś wykryje, ustaw Skip i podaj log, w przeciwnym wypadku jest on zbędny. System po uruchomieniu zgłasza szered błedów postaram się załączyć zrzuty z ekranu. Pierwszy to zapewne wynik działania infekcji. Drugi jednak (błąd sterownka nVidia) to już może być kompletnie odrębna sprawa. Sterownik stary: DRV - [2008-04-03 10:26:00 | 007,444,672 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\nvlddmkm.sys -- (nvlddmkm) Oraz zastanawia mnie na co i komu potrzebne coś takiego i do czego to służy: Wyswietla sie to przy każdym oknie np moj komputer To wygląda na rozszerzenie eksploratora od Acer eDataSecurity Management. Jeśli tylko rozszerzenie ma być wyłączone, bez deinstalacji całego oprogramowania, skorzystaj z ShellExView. . Odnośnik do komentarza
atasuke Opublikowano 14 Kwietnia 2014 Autor Zgłoś Udostępnij Opublikowano 14 Kwietnia 2014 (edytowane) Po odinstalowaniu Deamon tools z (folderu gdzie był zainstalowany ) i po ponownym uruchomieniu lapka zapuściłem gmera i problem jest taki że gdy zaczyna skanować dotyczącą linijke z NTFS program wyświetla monit że nie odpowiadada i mam opcje do wyboru wyślij bład albo zamknij program. Spróbuje jeszcze raz może zaskoczy. Tak zaskoczył i udało się gmer g1.txt dalej zgłasza modyfikacje oraz ten proces jest na czerwono bez nazwy. Dlatego postanowiłem przejść do skanowania Kaspersky TDSSKiller przedstawiam log: TDSSKiller.3.0.0.31_15.04.2014_00.39.13_log.txt Edytowane 14 Kwietnia 2014 przez Nuriel Odnośnik do komentarza
picasso Opublikowano 14 Kwietnia 2014 Zgłoś Udostępnij Opublikowano 14 Kwietnia 2014 Poprzedni post zedytowałam dopisując odpowiedzi na pytania. Ten "rootkit" w GMER nie ma tu dopasowania. TDSSKiller nie notuje infekcji, tylko pliki niepodpisane cyfrowo (UnsignedFile.Multi.Generic), żaden z nich nie jest szkodliwy. Przejdź więc już do usuwania infekcji i zobaczymy czy będą jakieś zmiany: 1. Otwórz Notatnik i wklej w nim: () C:\Program Files\Mobogenie\MgAssist.exe () C:\Program Files\Mobogenie\DaemonProcess.exe () C:\Program Files\FindRight\updateFindRight.exe () C:\Program Files\FindRight\bin\utilFindRight.exe R2 MgAssistService; C:\Program Files\Mobogenie\MgAssist.exe [70848 2014-03-13] () R2 Update FindRight; C:\Program Files\FindRight\updateFindRight.exe [350496 2014-04-09] () R2 Util FindRight; C:\Program Files\FindRight\bin\utilFindRight.exe [350496 2014-04-09] () R1 tStLibG; C:\Windows\System32\drivers\tStLibG.sys [55224 2014-03-26] (StdLib) HKLM\...\Run: [eRecoveryService] => [X] HKLM\...\Run: [NWEReboot] => [X] HKLM\...\Run: [mobilegeni daemon] => C:\Program Files\Mobogenie\DaemonProcess.exe [764096 2014-03-13] () HKLM\...\Policies\Explorer\Run: [39377] => C:\ProgramData\msaakn.exe [69945 2008-01-21] ( ()) HKLM\...\Policies\Explorer: [TaskbarNoNotification] 0 HKLM\...\Policies\Explorer: [HideSCAHealth] 0 HKU\S-1-5-21-1051359795-92314991-2884734444-1000\...\Run: [NextLive] => C:\Windows\system32\rundll32.exe "C:\Users\Mateusz\AppData\Roaming\newnext.me\nengine.dll",EntryPoint -m l HKU\S-1-5-21-1051359795-92314991-2884734444-1000\...\Policies\Explorer: [TaskbarNoNotification] 0 HKU\S-1-5-21-1051359795-92314991-2884734444-1000\...\Policies\Explorer: [HideSCAHealth] 0 URLSearchHook: HKLM - IncrediMail MediaBar 2 Toolbar - {d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0} - C:\Program Files\IncrediMail_MediaBar_2\tbIncr.dll (Conduit Ltd.) URLSearchHook: HKCU - Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (Yahoo! Inc.) URLSearchHook: HKCU - IncrediMail MediaBar 2 Toolbar - {d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0} - C:\Program Files\IncrediMail_MediaBar_2\tbIncr.dll (Conduit Ltd.) SearchScopes: HKCU - {0D7562AE-8EF6-416d-A838-AB665251703A} URL = http://start.facemoods.com/?a=dpgppc&s={searchTerms}&f=4 SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://search.babylon.com/web/{searchTerms}?babsrc=SP_ss&affID=1101316&mntrId=240e99d10000000000000022694fd779 SearchScopes: HKCU - {CFF4DB9B-135F-47c0-9269-B4C6572FD61A} URL = http://mystart.incredimail.com/mb68/?search={searchTerms}&loc=search_box&u=92823368497462057 SearchScopes: HKCU - {EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C} URL = http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7 BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (Yahoo! Inc.) BHO: FindRight - {2c774641-5504-46a8-b63f-6715ae3fe376} - C:\Program Files\FindRight\FindRightBHO.dll (FindRight) BHO: Babylon toolbar helper - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.5.3.17\bh\BabylonToolbar.dll (Babylon BHO) BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll (Conduit Ltd.) BHO: DealPly - {A6174F27-1FFF-E1D6-A93F-BA48AD5DD448} - C:\Program Files\DealPly\DealPlyIE.dll No File BHO: IncrediMail MediaBar 2 Toolbar - {d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0} - C:\Program Files\IncrediMail_MediaBar_2\tbIncr.dll (Conduit Ltd.) Toolbar: HKLM - Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (Yahoo! Inc.) Toolbar: HKLM - IncrediMail MediaBar 2 Toolbar - {d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0} - C:\Program Files\IncrediMail_MediaBar_2\tbIncr.dll (Conduit Ltd.) Toolbar: HKLM - Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll (Conduit Ltd.) Toolbar: HKLM - Babylon Toolbar - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarTlbr.dll (Babylon Ltd.) Toolbar: HKCU - IncrediMail MediaBar 2 Toolbar - {D40B90B4-D3B1-4D6B-A5D7-DC041C1B76C0} - C:\Program Files\IncrediMail_MediaBar_2\tbIncr.dll (Conduit Ltd.) Handler: ms-help - No CLSID Value - FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ CHR HKLM\...\Chrome\Extension: [gaiilaahiahdejapggenmdmafpmbipje] - C:\Program Files\DealPly\DealPly.crx [2013-09-08] CHR HKCU\...\Chrome\Extension: [gaiilaahiahdejapggenmdmafpmbipje] - C:\Program Files\DealPly\DealPly.crx [2012-10-02] Task: {0815B847-3C5B-4100-938F-7C859142ED2A} - System32\Tasks\{57E19804-1F99-477D-BBED-2BC9847DDC83} => Chrome.exe http://ui.skype.com/ui/0/6.14.0.104/pl/abandoninstall?page=tsProgressBar Task: {26FC5F4F-ACD0-462A-827A-7F211C282DDC} - System32\Tasks\{077458E5-B0F5-4793-9D41-BAC0D5B777B5} => Chrome.exe http://ui.skype.com/ui/0/6.14.0.104/pl/abandoninstall?page=tsProgressBar Task: {7105FD43-4B16-4B9E-8B4F-9608F1099605} - System32\Tasks\{AB6999B1-03BF-4FC9-9E1F-9451023324C9} => Chrome.exe http://ui.skype.com/ui/0/6.14.0.104/pl/abandoninstall?page=tsProgressBar Task: {740D64FD-F613-45E6-85E2-05FD8EF94D86} - System32\Tasks\{7AABB91D-4016-46ED-A9D2-FB56AB88ACAC} => Chrome.exe http://ui.skype.com/ui/0/6.14.0.104/pl/abandoninstall?page=tsProgressBar Task: {9691F0CF-F969-49B8-8485-657AFA3B0BA3} - System32\Tasks\{D822C48D-C79E-40CC-89A2-1DDA32F7FC74} => Chrome.exe http://ui.skype.com/ui/0/6.9.0.106/pl/abandoninstall?page=tsProgressBar Task: {A87F5729-71E7-4802-AF09-994CC8A055A2} - System32\Tasks\DealPly => C:\Users\Mateusz\AppData\Roaming\DealPly\UpdateProc\UpdateTask.exe [2013-05-28] () Task: {DDF37441-989D-49C6-9455-510A3FB8F2E0} - System32\Tasks\{B430DBA3-F456-4B67-8056-D5FF90A07A77} => Chrome.exe http://ui.skype.com/ui/0/6.14.0.104/pl/abandoninstall?page=tsProgressBar C:\Program Files\mozilla firefox\searchplugins C:\ProgramData\*.exe C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DealPly C:\Users\Mateusz\AppData\Local\cache C:\Users\Mateusz\AppData\Roaming\*.exe C:\Users\Mateusz\AppData\Roaming\newnext.me C:\Users\Mateusz\AppData\Roaming\OpenCandy C:\Users\Mateusz\Desktop\NATALA\MOJEEEEE\Mobogenie.lnk C:\Users\Mateusz\Downloads\*.part C:\Windows\system32\Drivers\tStLibG.sys C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f CMD: sc config "Mobile Partner. RunOuc" start= demand CMD: rd /s /q C:\found.000 Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj: 50 FREE MP3s +1 Free Audiobook!, Babylon toolbar on IE, Conduit Engine, DealPly, FindRight, IncrediMail MediaBar 2 Toolbar, McAfee Security Scan Plus, Mobogenie, Update_DealPly, Yahoo! Toolbar. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Wyczyść Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Ustawienia > karta Historia > wyczyść Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 6. Uruchom TFC - Temp Cleaner. 7. Zrób nowy log FRST (bez Addition i Shortcut) oraz GMER. Dołącz też plik fixlog.txt i log z AdwCleaner. . Odnośnik do komentarza
atasuke Opublikowano 15 Kwietnia 2014 Autor Zgłoś Udostępnij Opublikowano 15 Kwietnia 2014 Ten skrypt przetwarza sie juz godzine czasu i nie wiem czy to jest dobra oznaka czy zła. Po zatym Mcafee zgłosił że że FRST próbuje dokonac zmian w rejestrze. Pyta czy zezwolić czy zabronic dałem zezwól i niewiem czy dobrze zrobiłem. Pytał oto zaraz po naciśnienciu FIX Odnośnik do komentarza
picasso Opublikowano 15 Kwietnia 2014 Zgłoś Udostępnij Opublikowano 15 Kwietnia 2014 To jest niepoprawne, ten skrypt powinien zadziałać błyskawicznie. Przerwij działanie. Zrób nowe raporty FRST. Odnośnik do komentarza
atasuke Opublikowano 15 Kwietnia 2014 Autor Zgłoś Udostępnij Opublikowano 15 Kwietnia 2014 Dodaje Logi z FRST Shortcut.txt Addition.txt FRST.txt Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Mi wygląda na to że skrypt zatrzymał się na tej linijce. Załanczam jeszcze plik fixlog jaki FRST utworzył po uruchomieniu skryptu Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 15 Kwietnia 2014 Zgłoś Udostępnij Opublikowano 15 Kwietnia 2014 Owszem, na to wygląda, tylko nie wiadomo dlaczego, gdyż składnia komendy jest poprawna. Może McAfee blokuje? W związku z tym, że skrypt przeszedł prawie do końca: 1. Ręcznie skasuj klucz: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 2. Zresetuj system i przejdź do dalszych punktów. . Odnośnik do komentarza
atasuke Opublikowano 15 Kwietnia 2014 Autor Zgłoś Udostępnij Opublikowano 15 Kwietnia 2014 Wykonałem reszte punktów Wyniki AdwCleanerS0.txt gm.txt FRST.txt Co do sprawności systemu po zabiegach powyżej jest trochę lepiej ale cześć usług niedziała np centrum zabezpieczeń ,windows defender ale system w dalszym ciągu chodzi bardzo apatycznie. Ładuje sie bardzo długo po ponownym uruchomieniu. Martwi mnie też wyniki z gmera i ten ukryty proces. Odnośnik do komentarza
picasso Opublikowano 15 Kwietnia 2014 Zgłoś Udostępnij Opublikowano 15 Kwietnia 2014 Teraz czas pozbyć się McAfee - potwornie stary z roku 2007 (!). 1. Odinstaluj przez Panel sterowania. Popraw narzędziem McAfee Consumer Product Removal Tool. 2. Zresetuj system. Zrób nowy log FRST (z Addition, ale bez Shortcut), GMER i Farbar Service Scanner. . Odnośnik do komentarza
atasuke Opublikowano 15 Kwietnia 2014 Autor Zgłoś Udostępnij Opublikowano 15 Kwietnia 2014 (edytowane) Wykonałem zalecone logi gmerek.txt FSS.txt FRST.txt Addition.txt Po odinstalowaniu McAfee system działa znacznie wydajniej niż przedtem. Szybciej się uruchamia windows. Oraz samo wykonywanie polecen na tym systemie nie jest juz drogą przez męke. Chociaż sygnały gmer daja mi do myślenia (ukryty proces )ale zbyt mały pułap wiedzy by to ogarnąć. Edytowane 15 Kwietnia 2014 przez Nuriel Odnośnik do komentarza
picasso Opublikowano 15 Kwietnia 2014 Zgłoś Udostępnij Opublikowano 15 Kwietnia 2014 Po odsianiu aktywności DAEMON i McAfee GMER wygląda nadal bardzo podejrzanie w obszarze "User code sections" i "Processes". W pozostałych raportach nie ma już żadnych widocznych oznak infekcji. Wg FSS usługi Zapory, Centrum, Windows Update i Windows Defender są po prostu wyłączone, ale tym zajmiemy się na potem. Zrób dodatkowe skany: 1. Na początek przez SHIFT+DEL usuń kwarantanny C:\FRST\Quarantine i C:\AdwCleaner. 2. Wykonaj skanowanie za pomocą Malwarebytes Anti-Rootkit i przedstaw wynikowy raport. 3. Zweryfikuj pliki systemowe. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę i ENTER: sfc /scannow Gdy komenda ukończy działanie, w cmd wklej kolejną: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt Wynikowy log dołącz tutaj. . Odnośnik do komentarza
atasuke Opublikowano 16 Kwietnia 2014 Autor Zgłoś Udostępnij Opublikowano 16 Kwietnia 2014 Wykonałem skan programem Malwarebytes Anti-Rootkit nic nie leczyłem dołanczam loga z działania programu. system-log.txt Natomiast skan sfc doszedł do 76 % i wyświetlił taki monit treść w pliku png: Więc postastanowiłem odfitrować to co utworzył zadanym poleceniem i oto załacznik sfc.txt Odnośnik do komentarza
picasso Opublikowano 16 Kwietnia 2014 Zgłoś Udostępnij Opublikowano 16 Kwietnia 2014 To ciekawe. Jest tu ukryta infekcja Facebookowa w starcie. MBAR widzi to co powien GMER (były takie tematy na forum), a GMER nie pokazał tego pliku w starcie. 1. Usuń za pomocą MBAM wyniki Trojan.Agent.ED. Natomiast nie jestem pewna co to za dziwo "sprawdziany_kl_6_mój_świat_skały_i_gleby.exe" i kopie tego pliku (te można od ręki usunąć). 2. Zresetuj system. Zrób nowy log z GMER. PS. Problemem SFC i odczytem zajmiemy się potem. . Odnośnik do komentarza
atasuke Opublikowano 16 Kwietnia 2014 Autor Zgłoś Udostępnij Opublikowano 16 Kwietnia 2014 (edytowane) Pierwszy punkt wykonałem od ręki natomiast wykonanie drugiego punktu jest niemożliwe ponieważ kiedy gmer dochodzi do skanowania tablic IAT wyskakuje blue screen. (nie zdąrzyłem przeczytać błędu) Obecność zmian w systemie dalej występuje ukryty proces. Spróbowałem uruchomić gmera jeszcze raz i udało się przejść mu do końca skanowania ale wydarzyła się rzecz jak dla mnie bardzo ciekawa. Kiedy próbowałem kliknąć prawym i dać nowy by utworzyć plik tekstowy w rozwijanym menu nie było w ogóle opcji Nowy. Próbowałem wejść menadżer zadań i o dziwo wyskoczył monit że nie może uruchomić pliku taskmgr.exe. Żadna ikona nie odpowiadała na moje polecenia tak jakby explorer się zawiesił po chwili pokazał się czarny ekran z samym kursorem którym można było ruszać. I wszystko z powrotem wróciło na pulpit ale dalej bez możliwości skopiowania czegokolwiek. Nie pozostało nic innego jak wyłączyć go i załadować system od nowa. system się załadował "poprawnie". Zrobiłem kilka zdjęć tego efektu (komórką) http://zapodaj.net/6a56b9b53753b.jpg.html http://zapodaj.net/a7b0538abc231.jpg.html Nadmienię że po ponownym uruchomieniu komputera wszystko jest w porządku sytuacja występuje tylko po skanowaniu gmer Ponieważ znalazłem starą kopie bezpieczeństwa z przed infekcji przywróciłem system do ustawień fabrycznych i sformatowałem wszystkie partycję dysku. Tak że temat można zamknąć. PS Powróciły wspomnienia z tematu o conficker i wolałem wyczyścić do zera i mieć pewność w działaniu. Picasso dziękuje za poświęcony czas oraz gdy wrócę w swoje strony domowe postaram się przelać coś na wsparcie dla forum Edytowane 17 Kwietnia 2014 przez Nuriel Odnośnik do komentarza
Rekomendowane odpowiedzi