Win32:neredr [drp]


(Kulkastanislaw1) #1

Posiadam xp oraz ochronę AVASTA i niestety on sobie nie radzi z zakraplaczem Win32:neredr [drp], jestem w tych sprawach cieniasem iproszę o pomoc w kompleksowym odrobaczeniu mojego laptopka. Z góry dziękuję


(Henio Mazurek) #2

Ten zakraplacz zazwyczaj oznacza Viruta.

Wklej logi z OTL, GMER i System Repair Engineer

Logi wklej na wklejto.pl a tutaj tylko link do wklejki.

W OTL przestaw Processes na All oraz zaznacz LOP check i Purity check , nic więcej nie należy zmieniać.

W GMER klik na Szukaj , po zakończeniu skanu klikasz Kopiuj lub Zapisz.


(Kulkastanislaw1) #3

z OTL i SREng nie ma problemu logi zaraz przesyłam, natomiast po odpaleniu GMER-a a sekundę "niebiesko" i wywala laptopka. Mam nadzieję że te dwa logi wystarczą. pozdrawiam i dziękuję

logi za moment

-- Dodane 27.10.2009 (Wt) 9:03 --

oto moje logi : http://www.wklejto.pl/45403 i http://www.wklejto.pl/45404 - za pomoc dziękuję


(Henio Mazurek) #4

Nie wygląda dobrze.

Pokaż log z Reglooks

Zastosuj ComboFix

Podczas pobierania i skanu ComboFix'em wyłącz antywirusa i zapory.

Logi wklej na wklejto.pl a tutaj tylko link do wklejki.

Pokaż log z RootRepeal

Zakładka Report , klikasz Scan , zaznaczasz wszystkie kratki => OK , wklejasz log który wyskoczy.

Jeśli i RootRepeal nie zaskoczy to z SysProt AntiRootkit

Zakładka log, zaznaczasz wszystko oprócz Hidden Files do skanu => Create log.


(Kulkastanislaw1) #5

Problem jest chyba duży, bo reglooks nawet nie odpali, natomiast combo fix najpierw podaje że komputer jest zarażony roolkitem w c:\WINDOWS\system32\sdra64.exe i musi ponowie uruchomić kompa, potem pracuje normalnie po etapie 50 usuwanie plików i niebieski ekran wysypuje system. jedyny log to ten z RootRepeal jest tu http://www.wklejto.pl/45461


(Henio Mazurek) #6

Myślałem, że Virut też jest bo ten Avast'owy "zakraplacz" to jak to wieszcz mawiał "rychła przepowiednia jego".

Na wszelki wypadek pokaż logi z RootRepeal z zakładek SSDT + ShadowSSDT (klikasz Scan => Save Report)

Zastosuj exeHelper

ComboFix'a pobierz od nowa, w momencie pobierania zmień mu nazwę na losową a rozszerzenie na .com.


(Kulkastanislaw1) #7

oki działam

-- Dodane 27.10.2009 (Wt) 21:23 --

combofixa pobrałem od nowa ale zmianę nazwy i rozszerzenie mogłem zmienić dopiero po ściągnięciu, zadziałał ale do momentu "usuwanie plików" i niebiesko wysypało, tu są logi z RootRepeal, SSDT, Shadow SSDT oraz exeHelper - http://www.wklejto.pl/45480, http://www.wklejto.pl/45481, http://www.wklejto.pl/45483 i http://www.wklejto.pl/45484. Pozdrawiam i dziękuję za wyrozumiałość


(Henio Mazurek) #8

W porządku, wygląda na to, że Viruta nie ma. Tyle, że jest infekcja na pliku bądź plikach systemowych.

Teraz wklej nowy log z OTL, SRENG, RegLooks (jeśli nie będzie chciał się uruchomić zmień mu rozszerzenie na .com)

Pobierz AVZ

Zaznaczasz do skanu wszystkie partycje, potem File => Standard scripts => zaznaczasz opcję 3 => klikasz Execute selected scripts => po zakończeniu skanu klikasz ikonę dyskietki po prawej stronie, zapisujesz log i podajesz tutaj jego zawartość.


(Kulkastanislaw1) #9

reglooks dalej nie odpali, tu są nowe logi z OTL http://www.wklejto.pl/45518, SREngLOG http://www.wklejto.pl/45519 oraz avz http://www.wklejto.pl/45520


(Henio Mazurek) #10

Pobierz SystemLook, wklej do niego

W OTL w dolne białe okno wklej taki tekst

Kliknij Run Fix. Pokaż log z usuwania i nowy robiony z opcji Run Scan.


(Kulkastanislaw1) #11

log z systemlook http://www.wklejto.pl/45541, log z usuwania OTL http://www.wklejto.pl/45543 i log z OTL z opcji run scan http://www.wklejto.pl/45544


(Henio Mazurek) #12

Przeskanuj te pliki na VirusTotal i pokaż raport

W OTL wklej

Powtarzasz operację.


(Kulkastanislaw1) #13

MD5: 8607d35d92528e2df386f19a960d23ce

First received: 2009.02.13 20:31:44 UTC

Data: 2009.10.27 05:39:19 UTC [+1D]

Wyniki: 0/41

Permalink: analisis/c09fc6a73d9802d1f1aa4b3914e9c7eccda64858df1124e3ddba99e2601d7a04-1256621959

-- Dodane 28.10.2009 (Śr) 16:20 --

MD5: 8607d35d92528e2df386f19a960d23ce

First received: 2009.02.13 20:31:44 UTC

Data: 2009.10.27 05:39:19 UTC [+1D]

Wyniki: 0/41

Permalink: analisis/c09fc6a73d9802d1f1aa4b3914e9c7eccda64858df1124e3ddba99e2601d7a04-1256621959

-- Dodane 28.10.2009 (Śr) 16:24 --

raport z OTL po wklejce:

========== REGISTRY ==========

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Regedit32 deleted successfully.

OTL by OldTimer - Version 3.0.22.1 log created on 10282009_162249

-- Dodane 28.10.2009 (Śr) 16:30 --

a tu jest log z OTL run scan OTL http://www.wklejto.pl/45552


(Henio Mazurek) #14

Byłbym zapomniał - WRU => KLIK

Poza tym w logach niby nic nie ma. Ale niepokoi mnie ten svchost.

W OTL kliknij CleanUp.

Zastosuj Malwarebytes Anti-Malware i Dr.WEB CureIt, skany dokładne - usuwasz co znajdą i pokazujesz z nich logi.


(Kulkastanislaw1) #15

raport z dr web http://www.wklejto.pl/45625, raport z anti malwere http://www.wklejto.pl/45626

-- Dodane 29.10.2009 (Cz) 10:42 --

i jeszcze z OTL http://www.wklejto.pl/45627


(Henio Mazurek) #16

Nie wiem czy dotarła do Ciebie delikatna sugestia odnośnie WRU (opis strony jak i programu w linku w poprzednim poście), dlatego się powtórzę - wywal to świństwo!

Jeszcze raz spróbuj uruchomić ComboFix'a i Reglooks (pobierz je od nowa, uruchom w trybie awaryjnym).

A jako, że o czystości svchost nie jestem przekonany wklej do notatnika

Zapisz jako, Wszystkie pliki skrypt.bat i zapisz bezpośrednio na C

Potem wchodzisz w konsolę odzyskiwania i wpisujesz komendę

Jak wejść do konsoli odzyskiwania tutaj

http://www.adam749.eu/index.php?id=konsola

Następnie wklej w OTL

Klikasz Run Scan i wklejasz powstały log.