Szkodnik blokujący firewalla i Security Essentials


(Bacjusz) #1

Witam! Proszę o pomoc z nieoczekiwanym problemem. Niestety nie znam przyczyn problemów, bo moi rodzice nie są w stanie sobie przypomnieć co zrobili. Otóż nie mogę włączyć firewalla, ani ochrony w czasie rzeczywistym Microsoft Security Essentials. MalwareBytes znalazł Trojan Downloadera jako agent i rejestr oraz file rootkita. Trojan został usunięty po restarcie ale rootkit został. Przy starcie system włącza mi się dziwne okno dotyczące rejestru. Znalazlem w user/Jacek/ nieznany plik exe, nieusuwalny (z ikonką banana :D)bez uprawnień admina. W autostarcie też pojawiła się nieznana wstawka, którą jakoś chyba usunąłem w CCleaner. Zrobiłem pełny skan OTL: http://wklej.org/id/778550/ + Extras: http://wklej.org/id/778551/ .

Proszę o analizę tych logów i poradę albo sposób na pozbycie się zagrożenia. Pozdrawiam!


(Atis) #2

Pobierz SystemLook i Uruchom jako administrator

Do okna programu wklej:

Kliknij Look i pokaż raport


(Bacjusz) #3

http://wklej.org/id/778588/

Dodane 23.06.2012 (So) 22:49

Kur system mi sie resetuje co minute bo błąd krytyczny!


(Atis) #4

Wszystkie logi umieszczaj na wklej.org

Uruchom cmd.exe jako administrator:

Jak uruchomić polecenie z pełnymi uprawnieniami?

Wklej i zatwierdź enterem:

sfc /scanfile=C:\Windows\system32\services.exe

Zrestartuj system

Po restarcie uruchom cmd.exe jako administrator i wklej:

findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt

Pokaż ten raport.


(Bacjusz) #5

Zaraz się zrobi. Wkleję na stronę. Z/w

Dodane 23.06.2012 (So) 23:00

http://wklej.org/id/778585/ Mam nadzieję, że dobrze wszystko wklepałem. Pozdro


(Atis) #6

Do okna Własne opcje skanowania / skrypt wklej:

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania i nowy log Skanuj.

Pokaż nowy raport z SystemLook


(Bacjusz) #7

http://wklej.org/id/778602/ log z usuwania

http://wklej.org/id/778603/ log z SystemLook używając poprzedniego kodu na adminie

http://wklej.org/id/778604/ log z OTL używając poprzednich ustawień

brak extras z OTL?


(Atis) #8

Uruchom cmd.exe jako administrator i wklej to:

reg delete HKCU\Software\Classes\CLSID{42aedc87-2188-41fd-b9a3-0c966feabec1} /f

Do okna Własne opcje skanowania / skrypt wklej:

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania i nowy log Skanuj.

Pobierz i uruchom TDSSKiller

Kliknij Start scan i jeśli coś wykryje wybierz Skip

Pokaż raport z tego programu.


(Bacjusz) #9

http://wklej.org/id/778613/ log z usuwania

http://wklej.org/id/778616/ log z OTL

http://wklej.org/id/778617/ log z TDSSKiller

Dodane 23.06.2012 (So) 23:49

OTL znowu bez Extras, a w TDSS nic nie skipowałem

Dodane 23.06.2012 (So) 23:52

W TDSS wyskoczyło mi też Can’t load driver, przy ładowaniu programu.


(Atis) #10

Pobierz i uruchom BlitzBlank

Na karcie Script wklej:

Kliknij Execute Now i zatwierdź restart komputera.

Pokaż nowy log z OTL


(Bacjusz) #11

Pisze, że jest błąd w 7 linijce

Dodane 24.06.2012 (N) 0:05

System32\drivers\9927bb19f38891d5.sys tam jest ten plik, ale tego drugiego tam nie ma


(Atis) #12

Wklej bez ostatniej linijki.

Błąd przy uruchomieniu TDSSKiller i ten losowy sterownik sugeruje rootkita Necurs

TDSSKiller w ogóle wykonał skanowanie?

Dodatkowo spróbuj ESETNecursRemover:

http://www.eset.eu/encyclopaedia/win32- … der?lng=en

Spróbuj jeszcze TDSSKiller w trybie awaryjnym

Jeśli wykryje 9927bb19f38891d5 to wybierz Delete

Pozostałe ustaw na Skip.

ESETNecursRemover też możesz spróbować w awaryjnym


(Bacjusz) #13

Bez ostatniej linijki dalej pisze, że błąd w 7 linijce, jak poprawiłem ścieżkę pokazało to samo. Rzeczywiście TDSS nie wykonał skana bo trwało to 0 sekund i skanowało 4 pliki. Nie zwróciłem uwagi… Zaraz odpale Necurs.

Dodane 24.06.2012 (N) 0:21

Odpaliłem NecursRemoval, napisało, że jest w systemie, jest unieszkodliwiony i usunięty. Po restarcie zalecił skana pełnego.

Dodane 24.06.2012 (N) 0:33

Essentials ma już ochronę w czasie rzeczywistym, nie mogę nadal odpalić zapory Windows. Skan Essentials nic nie wskazał, MalwareBytes też nic.

Raport z MalwareBytes http://wklej.org/id/778631/ . Windows włączył się w trybie testu o dziwo i ściąga aktualizacje.


(Atis) #14

Necurs blokuje wiele sterowników systemowych oraz od programów ochronnych, więc programy nie działają gdy rootkit jest aktywny.

Zapora mogła zostać uszkodzona przez rootkita ZeroAccess który był usuwany na początku (zainfekowany services.exe itp)

Przeskanuj TDSSKiller i pokaż nowy log z OTL.

Zaznacz wszystko i pokaż raport:

http://www.bleepingcomputer.com/downloa … e-scanner/


(Bacjusz) #15

TDSS Killer raport http://wklej.org/id/778639/

OTL log http://wklej.org/id/778641/

W jaki sposób mogę przywrócić firewalla?

Dodane 24.06.2012 (N) 0:48

Farbar http://wklej.org/id/778642/


(Atis) #16

Uruchom regedit.exe i sprawdź czy na pewno został usunięty klucz:

HKEY_CURRENT_USER\Software\Classes\CLSID\ {42aedc87-2188-41fd-b9a3-0c966feabec1}

Wklej i kliknij Wykonaj skrypt:

Uruchom OTL i kliknij Sprzątanie.

Usuń stare punkty przywracania.

http://windows.microsoft.com/pl-PL/wind … tore-point

Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date

Dysk przeskanuj Kaspersky Virus Removal Tool 2011

Tryb testu:

http://support.microsoft.com/kb/2509241/pl

Musisz naprawić zaporę (MpsSvc i bfe):

http://www.fixitpc.pl/topic/6855-rekons … u-windows/

Centrum zabezpieczeń:

http://www.fixitpc.pl/topic/6767-rekons … u-windows/

Windows Defender.

Wklej do systemowego notatnika:

Z menu notatnika > Plik > Zapisz jako > ustaw rozszerzenia na Wszystkie pliki > Zapisz pod nazwą FIX.REG

Kliknij prawym i wybierz Scal.


(Bacjusz) #17

Wydaje mi się, że zagrożenie jest usunięte. System funkcjonuje poprawnie. Muszę tylko odbudować firewalla ręcznie, ale to już sobie poradzę z tym. Dzięki wielkie za poświęcony czas i pomoc w usunięciu rootkitów. Pozdrowienia Atis

Dodane 24.06.2012 (N) 21:50

W ramach podziękowania mogę załatwić licencje na Kaspersky 2012 na 90 dni za darmo. Napisz mi post i się dogadamy. Pozdro