Wirus "policja", pozostałości i dziwne zachowanie systemu

[bpm]

Dobry wieczór,

 

Wirus "policja" został usunięty przez MBAM. Pozostała "resztka", która wyświetla błąd podczas startu:

 

"RunDLL

 

Wystąpił problem podczas uruchamiania pliku...

 

Nie można odnaleźć określonego modułu"

 

Poza tym system dziwnie się zachowuje. Windows Update nie startuje - pojawia się biały ekran, pojawia się też od czasu czasu - "Program Eksplorator Windows przestał działać", a także od czasu do czasu, że Centrum Zabezpieczeń nie może zostać uruchomione. Tyle zauważyłem.

 

Bardzo proszę o analizę logów.

Addition.txtPobieranie informacji ...

Extras.TxtPobieranie informacji ...

FRST.txtPobieranie informacji ...

gmer.txtPobieranie informacji ...

mbam.txtPobieranie informacji ...

OTL.TxtPobieranie informacji ...

Shortcut.txtPobieranie informacji ...

[picasso]

  Cytat

"RunDLL Wystąpił problem podczas uruchamiania pliku...

Nie można odnaleźć określonego modułu"

Problem tworzy martwy skrót infekcji w Autostarcie:

 

Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\program.lnk

ShortcutTarget: program.lnk -> C:\PROGRA~3\982A3FD.cpp (No File)

 

  Cytat

Centrum Zabezpieczeń nie może zostać uruchomione.

Ten problem z kolei wynika z niepoprawnej metody usuwania infekcji i uszkodzenia WMI. Infekcja przekierowała usługę systemową Winmgmt (zależy od niej funkcjonalność m.in. Centrum czy Przywracania systemu). Nie wystarczy skasować plik, trzeba jeszcze odtworzyć oryginalną ścieżkę usługi.

 

S2 Winmgmt; C:\PROGRA~3\DF3A289.dot [X]
 

System errors:

=============

Error: (12/03/2014 08:35:22 PM) (Source: Service Control Manager) (EventID: 7023) (User: )

Description: Usługa Instrumentacja zarządzania Windows zakończyła działanie; wystąpił następujący błąd:

%%126
 

==================== Restore Points =========================
 

Could not list Restore Points. Check "winmgmt" service or repair WMI.
 

==================== Faulty Device Manager Devices =============
 

Could not list Devices. Check "winmgmt" service or repair WMI.

 

  Cytat

pojawia się też od czasu czasu - "Program Eksplorator Windows przestał działać

Skan GMER (Rootkit scan 2014-12-03 19:31:30) zrobiony już po skanie MBAM (Czas skanu: 19:21:27) nadal pokazuje załadowane ukryte moduły infekcji wszczepione w procesy systemowe, w tym explorer.exe - co mogłoby wyjaśniać błędy "przestał działać". Wygląda na to, że pliki niby zostały skasowane, ale nie zostały odładowane z pamięci (brak restartu).

 

---- Processes - GMER 2.1 ----
 

Library c:\progra~3\df3a289.dot (*** suspicious ***) @ C:\Windows\system32\svchost.exe [744] (Non-COM WMI Event Provision APIs/Microsoft Corporation)(2014-09-07 05:04:10) 00000000719e0000

Library c:\progra~3\df3a289.dot (*** suspicious ***) @ C:\Windows\Explorer.EXE [3060] (Non-COM WMI Event Provision APIs/Microsoft Corporation)(2014-09-07 05:04:10) 00000000719e0000

Library c:\progra~3\982a3fd.cpp (*** suspicious ***) @ C:\Windows\SysWOW64\rundll32.exe [2708](2014-09-07 05:02:08) 0000000073740000

Library C:\PROGRA~3\982A3FD.cpp (*** suspicious ***) @ C:\Windows\SysWOW64\rundll32.exe [4016](2014-09-07 05:02:08) 0000000073740000

Library C:\PROGRA~3\982A3FD.cpp (*** suspicious ***) @ C:\Windows\SysWOW64\rundll32.exe [1228](2014-09-07 05:02:08) 0000000073740000

Library c:\progra~3\982a3fd.cpp (*** suspicious ***) @ C:\Windows\SysWOW64\rundll32.exe [1548](2014-09-07 05:02:08) 0000000073740000

 

Przy okazji, w Dzienniku zdarzeń są też liczne błędy związane z oprogramowaniem nVidia - usługę NvStreamSvc wyłączę, ale możliwe że trzeba będzie się zainteresować aktualizacją oprogramowania nVidia.

 

Application errors:

==================

Error: (12/03/2014 08:23:38 PM) (Source: NvStreamSvc) (EventID: 1) (User: )

Description: NvStreamSvcNvVAD initialization failed [6]
 

Error: (12/03/2014 08:23:38 PM) (Source: NvStreamSvc) (EventID: 1) (User: )

Description: NvStreamSvcFailed to set NvVAD endpoint as default Audio endpoint [0]
 

Error: (12/03/2014 08:16:21 PM) (Source: NvStreamSvc) (EventID: 1) (User: )

Description: NvStreamSvcNvVAD initialization failed [6]
 

Error: (12/03/2014 08:16:21 PM) (Source: NvStreamSvc) (EventID: 1) (User: )

Description: NvStreamSvcFailed to set NvVAD endpoint as default Audio endpoint [0]
 

Error: (12/03/2014 07:36:26 PM) (Source: NvStreamSvc) (EventID: 1) (User: )

Description: NvStreamSvcNvVAD initialization failed [6]
 

Error: (12/03/2014 07:36:26 PM) (Source: NvStreamSvc) (EventID: 1) (User: )

Description: NvStreamSvcFailed to set NvVAD endpoint as default Audio endpoint [0]
 

Error: (12/03/2014 07:23:05 PM) (Source: Application Error) (EventID: 1000) (User: )

Description: Nazwa aplikacji powodującej błąd: nvtray.exe, wersja: 7.17.13.3182, sygnatura czasowa: 0x5280e916

Nazwa modułu powodującego błąd: ntdll.dll, wersja: 6.1.7601.17514, sygnatura czasowa: 0x4ce7c8f9

Kod wyjątku: 0xc0000005

Przesunięcie błędu: 0x000000000004e4b4

Identyfikator procesu powodującego błąd: 0xed8

Godzina uruchomienia aplikacji powodującej błąd: 0xnvtray.exe0

Ścieżka aplikacji powodującej błąd: nvtray.exe1

Ścieżka modułu powodującego błąd: nvtray.exe2

Identyfikator raportu: nvtray.exe3

 

 

Akcja:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\program.lnk
S2 Winmgmt; C:\PROGRA~3\DF3A289.dot [X]
S3 cpuz136; \??\C:\Windows\TEMP\cpuz136\cpuz136_x64.sys [X]
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\32514631.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\32514631.sys => ""="Driver"
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-2404353190-3791358401-3653376951-1000\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp1
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp1
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp1
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
CMD: sc config NvStreamSvc start= disabled
CMD: dir /a C:\ProgramData
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Zrób nowe logi: FRST z opcji Scan (zaznacz ponownie pole Addition) + GMER + Farbar Service Scanner. Dołącz też plik fixlog.txt.

 

 

 

 

.

[bpm]

Wykonane według powyższych zaleceń.

 

Wklejam nowe logi.

Addition.txtPobieranie informacji ...

Fixlog.txtPobieranie informacji ...

FRST.txtPobieranie informacji ...

FSS.txtPobieranie informacji ...

gmer.txtPobieranie informacji ...

[picasso]

Akcje pomyślnie wykonane, elementy infekcji usunięte i odładowane z pamięci, WMI naprawione. Pytaniem jest czy pojawiają się nadal komunikaty "Program Eksplorator Windows przestał działać" oraz efekt "Windows Update nie startuje - pojawia się biały ekran"?

[bpm]

Przez pół godziny nic takiego się nie pojawiło, więc chyba jest ok. W razie czego dam znać. Czy można przystąpić do końcowych kroków?

[picasso]

W tej sytuacji oczywiście znajome Ci kroki końcowe. Proponuję też doinstalować Malwarebytes Anti-Exploit (wersja free w ofercie), który ograniczy przypadki podobnych infekcji.

[bpm]

Dzięki bardzo za pomoc. Natomiast jeśli chodzi o Malwarebytes Anti-Exploit niestety komputer jest używany w firmie i z tego co czytałem, dla biznesu jest to wersja płatna. Dzięki raz jeszcze, miłego dnia życzę.