Prośba o pomoc w usunięciu Exploit.Drop.GS


(Olusia Zawadzka) #1

Dzień dobry,

Po skanowaniu komputera programem Anti-Malware okazało się, że mam w systemie kilka zagrożeń:

c:\users\konto 2\appdata\local\temp\syshost.exe (Exploit.Drop.GS) -> Nie wykonano akcji.

c:\users\ola\appdata\local\temp\syshost.exe (Exploit.Drop.GS) -> Nie wykonano akcji.

c:\windows\serviceprofiles\localservice\appdata\local\temp\syshost.exe (Exploit.Drop.GS) -> Nie wykonano akcji.

c:\windows\serviceprofiles\networkservice\appdata\local\temp\syshost.exe (Exploit.Drop.GS) -> Nie wykonano akcji.

c:\windows\temp\syshost.exe (Exploit.Drop.GS) -> Nie wykonano akcji.

c:\users\konto 2\appdata\local\syshost.exe (Exploit.Drop.GSLAD) -> Nie wykonano akcji.

c:\users\ola\appdata\local\syshost.exe (Exploit.Drop.GSLAD) -> Nie wykonano akcji.

c:\windows\serviceprofiles\localservice\appdata\local\syshost.exe (Exploit.Drop.GSLAD) -> Nie wykonano akcji.

c:\windows\serviceprofiles\networkservice\appdata\local\syshost.exe (Exploit.Drop.GSLAD) -> Nie wykonano akcji.

c:\windows\system32\config\systemprofile\appdata\local\syshost.exe (Exploit.Drop.GSLAD) -> Nie wykonano akcji.

c:\users\konto 2\syshost.exe (Exploit.Drop.GS) -> Nie wykonano akcji.

c:\users\ola\syshost.exe (Exploit.Drop.GS) -> Nie wykonano akcji.

c:\users\public\syshost.exe (Exploit.Drop.GS) -> Nie wykonano akcji.

c:\windows\serviceprofiles\localservice\syshost.exe (Exploit.Drop.GS) -> Nie wykonano akcji.

c:\windows\serviceprofiles\networkservice\syshost.exe (Exploit.Drop.GS) -> Nie wykonano akcji.

c:\windows\system32\config\systemprofile\syshost.exe (Exploit.Drop.GS) -> Nie wykonano akcji.

c:\windows\syshost.exe (Trojan.Downloader) -> Nie wykonano akcji.

Nie mogę poradzić sobie z ich usunięciem.

Nie wiem czy to zasługa tych trojanów, ale mam kłopot z zainstalowaniem lub uruchomieniem antywirusa (próbowałam Avast, Eset i AVG), nie działa mi też od dłuższego czasu hibernacja systemu (win 7 64 bit).

Będę wdzięczna za podpowiedź jak pozbyć się tego dziadostwa.


(Spandau) #2

Proszę o raporty OTL instrukcja analiza-dezynfekcja-zestaw-narzedzi-nieingerencyjnych-t485632.html#p3059741


(Olusia Zawadzka) #3

Dziękuję za szybką odpowiedź.

Oto logi:

http://www.wklej.org/id/923466/

http://www.wklej.org/id/923470/


(Spandau) #4

Rootkit Necrus

Pobierz i użyj Kasperski TDSSKiller [http://www.fixitpc.pl/topic/8-dezynfekc ... entry33542](http://www.fixitpc.pl/topic/8-dezynfekcja-zbior-narzedzi-usuwajacych/page p 33542#entry33542) Jak wykryje d627480630881e84 Wybierz opcje Delete Reszta Skip Zrestartuj system i pokaż raport z tej operacji na forum.

Po tym uruchom ponownie OTL klikasz Skanuj pokaż nowy raport OTL na forum.


(Olusia Zawadzka) #5

Podczas instalacji tego programu otrzymuję komunikat "Can`t load driver". Klikam ok i instalacja jest kontynuowana.

Po kliknięciu "Start scan" i przeskanowaniu, otrzymuję komunikat "No threats found".


(Spandau) #6

OK użyj Eset Necrus Remover [http://www.fixitpc.pl/topic/8-dezynfekc ... entry57587](http://www.fixitpc.pl/topic/8-dezynfekcja-zbior-narzedzi-usuwajacych/page p 57587#entry57587)

Po tym pokaż nowy raport OTL


(Olusia Zawadzka) #7

Niestety, pokazuje się komunikat Rootkit was not found.


(Spandau) #8

Spróbujemy usuwania z zewnątrz przy użyciu FRST analiza-usuwanie-infekcji-zewnatrz-t503195.html#p3162911

Otwórz notatnik i wklej do niego:

Plik proszę zapisać pod nazwą fixlist.txt

Pobierasz FRST64 http://www.bleepingcomputer.com/downloa ... scan-tool/ Umieszczasz go na pendrive wraz z plikiem fixlist.txt Restartujesz komputer i przy starcie wybierasz F8 idziesz do Napraw komputer z linii komend uruchom FRST i klik w Fix Powstanie na pendrive raport fixlog.txt pokaż ten raport.


(Olusia Zawadzka) #9

Wygląda na to że się udało :slight_smile:

http://www.wklej.org/id/923791

Udało mi się zainatslować eseta, a Anti Malware nie wykrył już zagrożeń. Dziękuję bardzo za pomoc.

Powinnam przeskanować czymś jeszcze system?


(Spandau) #10

Wszystko pomyślnie usunięte. :slight_smile:

Chwilka podaj nowy raport OTL.txt Uruchom OTL klikasz Skanuj pokaż raport na forum.


(Olusia Zawadzka) #11

Nowy raport:

http://www.wklej.org/id/924002/


(Spandau) #12

Start - Panel sterowania - Programy - Odinstaluj program Znajdź i odinstaluj

W okno Własne opcje skanowania / skrypt w OTL wklej:

Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania pokaż na forum.

Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.


(Olusia Zawadzka) #13

Po tych czynnościach i uruchomieniu ponownie komputera mam czarny ekran i informację w prawym dolnym rogu - Tryb testu Windows 7 kompilacja 7601.

Nie da się w ogóle korzystać z windowsa. W jaki sposób odwrócić te zmiany?


(Spandau) #14

Były usuwane narzędzia użyte do usuwania rootkita nic więcej. Tryb testu to sprawka rootkita Necrus czarny ekran to już inna historia był instalowany Eset?

http://support.microsoft.com/kb/2509241/pl

Tryb awaryjny nie działa?


(Olusia Zawadzka) #15

Tak zgadza się instalowałam Eseta.

Co ciekawe konto drugiego użytkownika w windowsie działało normalnie. Po wyłączeniu trybu testowego zgodnie z instrukcjami na stronie Microsoftu za pierwszym razem konto główne nie działało, a za drugim załadowało się normalnie.

Oto log z operacji - http://www.wklej.org/id/925129/.

I log po czyszczeniu - http://www.wklej.org/id/925179/


(Spandau) #16

Usuń ręcznie pliki

Zwróciłem uwagę na Eseta ponieważ jest to Smart Security czyli antywirus + zapora. Dodatkowo masz Malwarebytes nie jestem pewien ale chyba wersja PRO? To może czasem kolidować i wymaga odpowiedniego ustawienia http://forums.malwarebytes.org/index.ph ... pic=117265 Ale to tak informacyjnie.

Jeśli wszystko działa to usuń z dysku folder C:\ _OTL Opróżnij po tym systemowy Kosz.

Pokaż raport FSS Farbar Service Scanner http://download.bleepingcomputer.com/farbar/FSS.exe (zaznacz wszystkie opcje)

Użyj Securitycheck, uaktualnij to co wskaże program analiza-dezynfekcja-zestaw-narzedzi-nieingerencyjnych-t485632.html#p3080641


(Olusia Zawadzka) #17

Faktycznie był konflikt Eseta i Malwarebytes, nie chciał mi się przez nie ładować system - dziękuję za podsunięcie rozwiązania.

Raport fss - http://www.wklej.org/id/925991/

oraz drugi raport:

Results of screen317's Security Check version 0.99.57  

 Windows 7 Service Pack 1 x64 (UAC is enabled)  

 Internet Explorer 9  

[b][u]``````````````Antivirus/Firewall Check:``````````````[/b][/u] 

ESET Smart Security 5.2   

 Antivirus up to date!   

[b][u]`````````Anti-malware/Other Utilities Check:`````````[/b][/u] 

 EasyCleaner     

 Java(TM) 6 Update 22  

 Java(TM) 6 Update 24  

 [color=red][b]Java version out of Date![/b][/color] 

 Adobe Flash Player 11.5.502.146  

 Mozilla Firefox 16.0.2 [color=red][b]Firefox out of Date![/b][/color]  

 Mozilla Thunderbird 12.0.1 [color=red][b]Thunderbird out of Date![/b][/color]  

[b][u]````````Process Check: objlist.exe by Laurent````````[/b][/u]  

 ESET NOD32 Antivirus egui.exe  

 ESET NOD32 Antivirus ekrn.exe  

[b][u]`````````````````System Health check`````````````````[/b][/u] 

 Total Fragmentation on Drive C:  

[b][u]````````````````````End of Log``````````````````````[/b][/u]

(Spandau) #18

Start - Panel sterowania - Programy - Odinstaluj program Znajdź i odinstaluj Javę

Zainstaluj Javę http://www.java.com/pl/download/

Uruchom Firefoxa zakładka Pomoc - O programie Firefox Powinien pobrać i zainstalować aktualizacje.

http://www.dobreprogramy.pl/Mozilla-Thu ... 13298.html