elviszopa Opublikowano 10 Stycznia 2012 Zgłoś Udostępnij Opublikowano 10 Stycznia 2012 Witam! Mam zainfekowany system jakimś wirem. Objawy są takie, że nie mogę zainstalować ani uruchomićprogram antywirusowy w trybie online. Dodatkowo wrypał mi się jakiś proces o nazwie 1durzdhq02.exe i w żaden sposób nie mogę go zakończyć. Wyskakuje komunikat "odmowa dostępu". Trybie awaryjnym się nie uruchamia ale plik rozruchowy tego procesu zamieszczony w katalogu użytkownika nie mogę usunąć ten sam komunikat co wyżej. Pomoc mile widziana Odnośnik do komentarza
picasso Opublikowano 10 Stycznia 2012 Zgłoś Udostępnij Opublikowano 10 Stycznia 2012 Dział ma określone zasady: KLIK. Obowiązkowe logi z OTL + GMER. Bez raportów nie jest możliwa diagnoza infekcji ani dalsza pomoc. . Odnośnik do komentarza
elviszopa Opublikowano 11 Stycznia 2012 Autor Zgłoś Udostępnij Opublikowano 11 Stycznia 2012 Oki. przepraszam bardzo to z frustracji i desperacji ten pośpiech OS: Windows 7 Home Prenium 64bit Problem: Nie można uruchomić skanera antywirusowego w trybie online. Próbowałem Kaspersky, Norton Internet Security, Nod32, Avast. Ten ostatni wyrzuca komunikat, bład modułu RPC. W załączniku Logi. Informacja dodatkowa skaner GMER nie uruchomił się w pełni, gdyż brakowało mu jakiegoś pliku w katalogu c:\windows\sytem32\ (niestety komunikat nie podawał jakiego to brakuje), ale najważniejsz, chyba, część jest. Pozdrawiam Extras.TxtPobieranie informacji ... OTL.TxtPobieranie informacji ... gmer.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 11 Stycznia 2012 Zgłoś Udostępnij Opublikowano 11 Stycznia 2012 Cytat Informacja dodatkowa skaner GMER nie uruchomił się w pełni, gdyż brakowało mu jakiegoś pliku w kataloguc:\windows\sytem32\ (niestety komunikat nie podawał jakiego to brakuje), ale najważniejsz, chyba, część jest. To normalne. Nie doczytałeś dokładnie. GMER nie działa poprawnie na systemach 64-bit. Nie wiedziałam, że masz system 64-bit, toteż ogólnikowo mówiłam "OTL + GMER", ale kierując do zasad, w których jest wyszczególnione jakie narzędzia pasują do systemu 64-bit. Aczkolwiek tu akurat uruchomienie GMER było o tyle pożyteczne, że był on zdolny pokazać to co właśnie opowiadasz: Cytat Dodatkowo wrypał mi się jakiś proces o nazwie 1durzdhq02.exe i w żaden sposób nie mogę go zakończyć. Wyskakuje komunikat "odmowa dostępu". Trybie awaryjnym się nie uruchamia ale plik rozruchowy tego procesu zamieszczony w katalogu użytkownika nie mogę usunąć ten sam komunikat co wyżej. Wg GMER jest rootkit stosujący nazwę wyświetlaną jak wyróżniony powyżej proces: ---- Services - GMER 1.0.15 ---- Service System32\Drivers\9dbe1675f81eed37.sys (*** hidden *** ) [bOOT] 9dbe1675f81eed37 ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\CurrentControlSet\services\9dbe1675f81eed37@ImagePath \SystemRoot\System32\Drivers\9dbe1675f81eed37.sysReg HKLM\SYSTEM\CurrentControlSet\services\9dbe1675f81eed37@Group Boot Bus ExtenderReg HKLM\SYSTEM\CurrentControlSet\services\9dbe1675f81eed37@ErrorControl 0Reg HKLM\SYSTEM\CurrentControlSet\services\9dbe1675f81eed37@Type 1Reg HKLM\SYSTEM\CurrentControlSet\services\9dbe1675f81eed37@Start 0Reg HKLM\SYSTEM\CurrentControlSet\services\9dbe1675f81eed37@Tag 1Reg HKLM\SYSTEM\CurrentControlSet\services\9dbe1675f81eed37@DisplayName 1durzdhq02.exe Uruchom Kaspersky TDSSKiller i przedstaw co on widzi, tzn. jeśli cokolwiek wykryje, omiń wstępnie te wyniki opcją Skip i tylko podaj raport do oceny. PS. Co do narzędzi, które używałeś: RemoveIT Pro pożegnaj, to program wątpliwej reputacji, niewiarygodny. Zapewne sugerowałeś się wynikami z Google na nazwę "1durzdhq02.exe", tylko owe wyniki odnoszą się do innej konstrukcji infekcji. . Odnośnik do komentarza
elviszopa Opublikowano 11 Stycznia 2012 Autor Zgłoś Udostępnij Opublikowano 11 Stycznia 2012 W dniu 11.01.2012 o 08:34, picasso napisał(a): PS. Co do narzędzi, które używałeś: RemoveIT Pro pożegnaj, to program wątpliwej reputacji, niewiarygodny. Zapewne sugerowałeś się wynikami z Google na nazwę "1durzdhq02.exe", tylko owe wyniki odnoszą się do innej konstrukcji infekcji. W załączniku przesyłam raport. Pozdrawiam kspersky-report.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 11 Stycznia 2012 Zgłoś Udostępnij Opublikowano 11 Stycznia 2012 Kaspersky widzi dużo poprawnych sterowników jako zablokowane (w OTL to zresztą też widziałam) .... Hmmm.... Uruchom TDSSKiller ponownie, tym razem dla wyniku 9dbe1675f81eed37 dobierz akcję Delete i zresetuj system. Po restarcie stwórz nowy log z TDSSKiller (nic dodatkowo nie usuwaj). . Odnośnik do komentarza
elviszopa Opublikowano 12 Stycznia 2012 Autor Zgłoś Udostępnij Opublikowano 12 Stycznia 2012 Wedle życzenia wybrałem opcję Delete. Co zaobserwowałem, trochę się "uspokoiło", mniej plików przy wynikach . W załącznikach wysyłam pliki raportów, podstawowy (domyślne opcje) i rozszerzony. kspersky-report-2.txtPobieranie informacji ... kspersky-report-2-full.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 12 Stycznia 2012 Zgłoś Udostępnij Opublikowano 12 Stycznia 2012 (edytowane) Raport z TDSSKiller poświadcza usunięcie infekcji i odblokowanie pozostałych sterowników Windows. Przechodzimy do części sprzątającej, czyli puste wpisy, odpadki po skanerach (Avast | Norton | ESET | MBAM | RemoveIT | UnhackMe) i czyszczenie lokalizacji tymczasowych. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL DRV - [2012-01-10 12:55:00 | 000,482,936 | ---- | M] (Symantec Corporation) [Kernel | System | Stopped] -- C:\Program Files (x86)\Common Files\Symantec Shared\EENGINE\eeCtrl64.sys -- (eeCtrl) O2:64bit: - BHO: (avast! WebRep) - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - C:\Program Files\AVAST Software\Avast\aswWebRepIE64.dll File not found O2 - BHO: (avast! WebRep) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll File not found O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found. O3:64bit: - HKLM\..\Toolbar: (avast! WebRep) - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - C:\Program Files\AVAST Software\Avast\aswWebRepIE64.dll File not found O3 - HKLM\..\Toolbar: (avast! WebRep) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll File not found O3 - HKU\S-1-5-21-3358540507-3062408988-3448015432-1001\..\Toolbar\WebBrowser: (no name) - {8FF5E180-ABDE-46EB-B09E-D2AAB95CABE3} - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [NortonSupport] "C:\Program Files (x86)\Norton Internet Security\Engine\19.1.0.28\symerr.exe" /supportreboot File not found O4 - HKU\S-1-5-21-3358540507-3062408988-3448015432-1001..\Run: [RemoveIT Pro v7Ent] C:\Program Files (x86)\InCode Solutions\RemoveIT Pro v7 Enterprise\removeit.exe File not found O4 - HKLM..\RunOnceEx: [Flags] Reg Error: Invalid data type. File not found O4 - HKLM..\RunOnceEx: [Title] UnHackMe Rootkit Check File not found O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_14-windows-i586.cab" (Reg Error: Key error.) O34 - HKLM BootExecute: (MACHINE BootExecut) [2012-01-10 13:18:21 | 000,199,816 | ---- | C] (AVAST Software) -- C:\Windows\SysWow64\aswBoot.exe [2012-01-10 13:18:21 | 000,041,184 | ---- | C] (AVAST Software) -- C:\Windows\avastSS.scr [2012-01-02 15:30:46 | 000,000,000 | ---D | C] -- C:\ProgramData\ESET [2012-01-02 15:30:46 | 000,000,000 | ---D | C] -- C:\Program Files\ESET [2011-12-28 13:12:37 | 000,000,000 | ---D | C] -- C:\ProgramData\AVAST Software [2011-12-28 13:12:37 | 000,000,000 | ---D | C] -- C:\Program Files\AVAST Software [2011-12-28 11:36:00 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\ESET [2012-01-10 11:30:45 | 000,039,192 | ---- | C] (Greatis Software) -- C:\Windows\SysNative\Partizan.exe [2012-01-10 11:28:19 | 000,000,000 | ---D | C] -- C:\Users\Luki\Documents\RegRun2 [2012-01-10 11:28:15 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\UnHackMe [2012-01-03 15:06:28 | 000,000,000 | ---D | C] -- C:\Users\Luki\AppData\Roaming\Malwarebytes [2012-01-03 15:06:23 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes [2012-01-03 10:52:06 | 000,000,000 | ---D | C] -- C:\Users\Luki\Desktop\RemoveIT Pro 4 SE 08.01.2011 Portable [2012-01-03 10:40:58 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RemoveIT Pro v7 (Trial) :Files C:\Users\Luki\AppData\Local\Temp*.html :Commands [emptytemp] Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany. Automatycznie otworzy się log z wynikami usuwania (jeśli nie, szukaj w katalogu C:\_OTL). 2. Dla pewności, skorzystaj z firmowych narzędzi usuwających: Avast Uninstall Utility, ESET Uninstaller, Norton Removal Tool 3. Przedstaw log z wynikami usuwania z punktu 1. Potwierdź, że problem z procesem 1durzdhq02.exe ustąpił oraz jesteś zdolny zainstalować antywirusa. Sprawdź co jest w tym ukrytym katalogu: [2012-01-10 13:08:45 | 000,000,000 | --SD | C] -- C:\Windows\SysWow64\Microsoft . Edytowane 13 Lutego 2012 przez picasso 13.02.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi