Win32:neredr [drp]

sskulek · 26 Październik 2009 20:37

Posiadam xp oraz ochronę AVASTA i niestety on sobie nie radzi z zakraplaczem Win32:neredr [drp], jestem w tych sprawach cieniasem iproszę o pomoc w kompleksowym odrobaczeniu mojego laptopka. Z góry dziękuję

ciemnowidz · 27 Październik 2009 05:48

Ten zakraplacz zazwyczaj oznacza Viruta.

Wklej logi z OTL, GMER i System Repair Engineer

Logi wklej na wklejto.pl a tutaj tylko link do wklejki.

W OTL przestaw Processes na All oraz zaznacz LOP check i Purity check , nic więcej nie należy zmieniać.

W GMER klik na Szukaj , po zakończeniu skanu klikasz Kopiuj lub Zapisz.

sskulek · 27 Październik 2009 07:54

z OTL i SREng nie ma problemu logi zaraz przesyłam, natomiast po odpaleniu GMER-a a sekundę “niebiesko” i wywala laptopka. Mam nadzieję że te dwa logi wystarczą. pozdrawiam i dziękuję

logi za moment

– Dodane 27.10.2009 (Wt) 9:03 –

oto moje logi : http://www.wklejto.pl/45403 i http://www.wklejto.pl/45404 - za pomoc dziękuję

ciemnowidz · 27 Październik 2009 09:38

Nie wygląda dobrze.

Pokaż log z Reglooks

Zastosuj ComboFix

Podczas pobierania i skanu ComboFix’em wyłącz antywirusa i zapory.

Logi wklej na wklejto.pl a tutaj tylko link do wklejki.

Pokaż log z RootRepeal

Zakładka Report , klikasz Scan , zaznaczasz wszystkie kratki => OK , wklejasz log który wyskoczy.

Jeśli i RootRepeal nie zaskoczy to z SysProt AntiRootkit

Zakładka log, zaznaczasz wszystko oprócz Hidden Files do skanu => Create log.

sskulek · 27 Październik 2009 18:37

Problem jest chyba duży, bo reglooks nawet nie odpali, natomiast combo fix najpierw podaje że komputer jest zarażony roolkitem w c:\WINDOWS\system32\sdra64.exe i musi ponowie uruchomić kompa, potem pracuje normalnie po etapie 50 usuwanie plików i niebieski ekran wysypuje system. jedyny log to ten z RootRepeal jest tu http://www.wklejto.pl/45461

ciemnowidz · 27 Październik 2009 18:50

Myślałem, że Virut też jest bo ten Avast’owy “zakraplacz” to jak to wieszcz mawiał “rychła przepowiednia jego”.

Na wszelki wypadek pokaż logi z RootRepeal z zakładek SSDT + ShadowSSDT (klikasz Scan => Save Report)

Zastosuj exeHelper

ComboFix’a pobierz od nowa, w momencie pobierania zmień mu nazwę na losową a rozszerzenie na .com.

sskulek · 27 Październik 2009 19:54

oki działam

– Dodane 27.10.2009 (Wt) 21:23 –

combofixa pobrałem od nowa ale zmianę nazwy i rozszerzenie mogłem zmienić dopiero po ściągnięciu, zadziałał ale do momentu “usuwanie plików” i niebiesko wysypało, tu są logi z RootRepeal, SSDT, Shadow SSDT oraz exeHelper - http://www.wklejto.pl/45480, http://www.wklejto.pl/45481, http://www.wklejto.pl/45483 i http://www.wklejto.pl/45484. Pozdrawiam i dziękuję za wyrozumiałość

ciemnowidz · 28 Październik 2009 05:58

W porządku, wygląda na to, że Viruta nie ma. Tyle, że jest infekcja na pliku bądź plikach systemowych.

Teraz wklej nowy log z OTL, SRENG, RegLooks (jeśli nie będzie chciał się uruchomić zmień mu rozszerzenie na .com)

Pobierz AVZ

Zaznaczasz do skanu wszystkie partycje, potem File => Standard scripts => zaznaczasz opcję 3 => klikasz Execute selected scripts => po zakończeniu skanu klikasz ikonę dyskietki po prawej stronie, zapisujesz log i podajesz tutaj jego zawartość.

sskulek · 28 Październik 2009 09:38

reglooks dalej nie odpali, tu są nowe logi z OTL http://www.wklejto.pl/45518, SREngLOG http://www.wklejto.pl/45519 oraz avz http://www.wklejto.pl/45520

ciemnowidz · 28 Październik 2009 13:13

Pobierz SystemLook, wklej do niego

W OTL w dolne białe okno wklej taki tekst

:Processes explorer.exe :OTL PRC - [2009-10-26 09:59:35 | 00,027,197 | ---- | M] () – C:\WINDOWS\System32\restor32a.exe O4 - HKLM…\Run: [Anti Trojan Elite] File not found O4 - HKLM…\Run: [KernelFaultCheck] File not found O4 - HKLM…\Run: [lxdiamon] File not found O4 - HKLM…\Run: [lxdimon.exe] File not found O4 - HKLM…\Run: [NeroFilterCheck] File not found O4 - HKLM…\Run: [NPSStartup] File not found 04 - HKLM…\Run: [Regedit32] C:\WINDOWS\System32\regedit.exe File not found O4 - HKLM…\Run: [restor32a] C:\WINDOWS\System32\restor32a.exe () O4 - HKLM…\Run: [TrojanScanner] File not found O4 - HKLM…\Run: [WinampAgent] File not found O4 - HKU\S-1-5-21-1454471165-362288127-1801674531-1004…\Run: [restor32a] C:\Documents and Settings\user\restor32a.exe File not found O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\sdra64.exe) - C:\WINDOWS\System32\sdra64.exe File not found :Services :Files C:\WINDOWS\System32\restor32a.exe C:\WINDOWS\System32\lowsec C:\WINDOWS\System32\drivers\968.exe C:\WINDOWS\System32\drivers\328.exe C:\WINDOWS\System32\drivers\343.exe C:\WINDOWS\System32\drivers\187.exe C:\WINDOWS\System32\drivers\921.exe :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] “Userinit”=“C:\WINDOWS\system32\userinit.exe,” :Commands [emptytemp] [start explorer] [Reboot]

Kliknij Run Fix. Pokaż log z usuwania i nowy robiony z opcji Run Scan.

sskulek · 28 Październik 2009 14:53

log z systemlook http://www.wklejto.pl/45541, log z usuwania OTL http://www.wklejto.pl/45543 i log z OTL z opcji run scan http://www.wklejto.pl/45544

ciemnowidz · 28 Październik 2009 15:05

Przeskanuj te pliki na VirusTotal i pokaż raport

W OTL wklej

Powtarzasz operację.

sskulek · 28 Październik 2009 15:18

MD5: 8607d35d92528e2df386f19a960d23ce

First received: 2009.02.13 20:31:44 UTC

Data: 2009.10.27 05:39:19 UTC [+1D]

Wyniki: 0/41

Permalink: analisis/c09fc6a73d9802d1f1aa4b3914e9c7eccda64858df1124e3ddba99e2601d7a04-1256621959

– Dodane 28.10.2009 (Śr) 16:20 –

MD5: 8607d35d92528e2df386f19a960d23ce

First received: 2009.02.13 20:31:44 UTC

Data: 2009.10.27 05:39:19 UTC [+1D]

Wyniki: 0/41

Permalink: analisis/c09fc6a73d9802d1f1aa4b3914e9c7eccda64858df1124e3ddba99e2601d7a04-1256621959

– Dodane 28.10.2009 (Śr) 16:24 –

raport z OTL po wklejce:

========== REGISTRY ==========

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Regedit32 deleted successfully.

OTL by OldTimer - Version 3.0.22.1 log created on 10282009_162249

– Dodane 28.10.2009 (Śr) 16:30 –

a tu jest log z OTL run scan OTL http://www.wklejto.pl/45552

ciemnowidz · 28 Październik 2009 15:39

Byłbym zapomniał - WRU => KLIK

Poza tym w logach niby nic nie ma. Ale niepokoi mnie ten svchost.

W OTL kliknij CleanUp.

Zastosuj Malwarebytes Anti-Malware i Dr.WEB CureIt, skany dokładne - usuwasz co znajdą i pokazujesz z nich logi.

sskulek · 29 Październik 2009 09:41

raport z dr web http://www.wklejto.pl/45625, raport z anti malwere http://www.wklejto.pl/45626

– Dodane 29.10.2009 (Cz) 10:42 –

i jeszcze z OTL http://www.wklejto.pl/45627

ciemnowidz · 29 Październik 2009 10:42

Nie wiem czy dotarła do Ciebie delikatna sugestia odnośnie WRU (opis strony jak i programu w linku w poprzednim poście), dlatego się powtórzę - wywal to świństwo!

Jeszcze raz spróbuj uruchomić ComboFix’a i Reglooks (pobierz je od nowa, uruchom w trybie awaryjnym).

A jako, że o czystości svchost nie jestem przekonany wklej do notatnika

Zapisz jako, Wszystkie pliki skrypt.bat i zapisz bezpośrednio na C

Potem wchodzisz w konsolę odzyskiwania i wpisujesz komendę

Jak wejść do konsoli odzyskiwania tutaj

http://www.adam749.eu/index.php?id=konsola

Następnie wklej w OTL

Klikasz Run Scan i wklejasz powstały log.