"Usunięty" Windows Defender Apps Center.exe - rootkit?

Dla specjalistów Bezpieczeństwo
#1

Witam,

Od jakiegoś czasu borykam się z podobnym problemem co użytkownik w tym wątku: http://forum.dobreprogramy.pl/usuniety-windows-defender-apps-center-exe-t409117.html Po prostu od kilkunastu dni przy każdorazowym uruchomieniu laptopa i załadowaniu się Windowsa ukazuje się taki oto komunikat:

20f935669b11e73e.png

i nie mam pojęcia skąd się to wzięło, bo niczego ostatnio nie kasowałem (mam tu na myśli rzeczy typu automatyczne kasowanie zainfekowanych plików wykrytych podczas skanowania systemu itp. - nic takiego nie miało miejsca). Ponadto mam też problem z błędem typu ‘bluescreen’ (screen i szczegóły błędu niżej). Gdy chcę wyłączyć komputer to proces wyłączania Windowsa zatrzymuje się na końcowym napisie ‘Trwa zamykanie systemu Windows’ i tak myśli, myśli i po kilku minutach dopiero się zamyka. A gdy włączam komputer to zawsze pojawia się na czarnym ekranie komunikat, że wystąpił błąd i ostatnim razem Windows nie został zamknięty poprawnie i mam wybrać jak chcę uruchomić system: w trybie awaryjnym, awaryjnym z obsługą sieci lub normalnym (coś w tym stylu).

c15e6e3b66c3f66c.png

Podpis problemu:

  Nazwa zdarzenia problemu:	BlueScreen

  Wersja systemu operacyjnego:	6.1.7600.2.0.0.256.48

  Identyfikator ustawień regionalnych:	1045


Dodatkowe informacje o problemie:

  BCCode:	1000008e

  BCP1:	C0000005

  BCP2:	00012EE0

  BCP3:	9ABFBAA4

  BCP4:	00000000

  OS Version:	6_1_7600

  Service Pack:	0_0

  Product:	256_1


Pliki pomagające opisać problem:

  C:\Windows\Minidump\081610-25303-01.dmp

  C:\Users\Tomasz Wika\AppData\Local\Temp\WER-454696-0.sysdata.xml


Przeczytaj w trybie online nasze zasady zachowania poufności informacji:

  http://go.microsoft.com/fwlink/?linkid=104288clcid=0x0415


Jeśli zasady zachowania poufności informacji w trybie online nie są dostępne, przeczytaj nasze zasady zachowania poufności informacji w trybie offline:

  C:\windows\system32\pl-PL\erofflps.txt

Oto logi:

HiJack

http://wklej.org/id/377639/

OTL (z ustawieniami wg tego posta)

http://wklej.org/id/377654/

OTL Extras

http://wklej.org/id/377657/

Dodatkowo w zakładce “Kwarantanna” w ESET Smart Security (wersja 4.0.467.0 + najnowsze bazy wirusów) znalazłem takie coś:

esets.th.png

I nie wiem czy coś stąd wyrzucać, poddawać kwarantannie itp. - jestem w tym zielony, dlatego proszę Was o pomoc.

Z góry dziękuję wszystkim znającym się na rzeczy za pomoc.

#2

Z podłączonymi pendrive zaprezentuj raport ze skanowania UsbFix z opcji Listing.

Oprócz tego wstaw obowiązkowo log z GMER uprzednio odinstalowując wszelkie emulatory napędów wirtualnych (Daemon Tools, Alcohol itp.) oraz usuwając sterownik SPTD tym: http://www.duplexsecure.com/downloads/

#3

Przekazuję dwie wymagane wklejki:

UsbFix

http://wklej.org/id/378243/

GMER

http://wklej.org/id/378270/

Szczerze dziękuję za pomoc.

#4

W białe dolne okno Własne opcje skanowania/skrypt w OTL wklej:

Wykonaj skrypt i zatwierdź restart.

Potem log z usuwania (raport, który wyskoczy po usuwaniu OTL-em) oraz nowy log robiony opcją Skanuj.

#5

Log z usuwania

http://wklej.org/id/378436/

Nowy log

http://wklej.org/id/378441/

#6

Nieprawidłowo kopiujesz skrypt, przez co niemal nic się nie wykonało. Nie pomijaj pierwszego dwukropka przez : Processes.

#7

Ok, poprawiłem logi w poprzednim poście. Już są właściwe.

#8

W logach już nic nie ma, więc można wykonać kroki ostateczne.

W OTL użyj opcji Sprzątanie.

Wyłącz i włącz Przywracanie Systemu na wszystkich dyskach. Instrukcja Windows 7.

Zainstaluj najnowszą Javę 6 Update 21.

VLC Media Player 1.1.2

Odinstaluj zbędne toolbary: Windows Live Toolbar + HyperCam Toolbar (o ile go nie potrzebujesz).

#9

Z tymi ustawianiami czy przy opcji Sprzątanie nie ma to znaczenia?

A Windows Live Toolbar chyba nie da się odinstalować, przynajmniej nie widzę nigdzie takiej opcji.

#10

Nie mają przy tym znaczenia ustawienia narzędzia.

Przecież go widać na liście programów do odinstalowania w logu Extras.txt: