Win7 - wirus wyłączający Avast

Dla specjalistów Bezpieczeństwo
#1

Witam, złapałem wirusa który blokuje Avasta i strasznie muli system.

Uruchomiłem Dr.Web który wyleczył 3 infekcje i wszystko wróciło do normy.

Po drugim uruchomieniu laptopa problem powrócił z tym że Dr.Web nie widzi już żadnych infekcji

#2

Hej,

Wykonaj logi programem Farbar Recovery Scan Tool - informacje o tym, jak dokładnie ustawić program i gdzie zamieścić logi znajdziesz w temacie: http://forum.dobreprogramy.pl/farbar-recovery-scan-tool-raport-obowi%C4%85zkowy-t478727/.

Pozdrawiam,

Dimatheus

#3

FRST.txt

http://www.wklej.org/id/1700941/

Addition.txt

http://www.wklej.org/id/1700943/

Shortcut.txt

http://www.wklej.org/id/1700944/

 

FRST można uruchamiać z trybu awaryjnego ?

#4

Można.Odinstaluj Akamai NetSession Interface,Download Updater,Remote Desktop Access (VuuPC).Otwórz notatnik systemowy i wklej:

HKLM-x32\...\Run: [UpdatePPShortCut] = C:\Program Files (x86)\CyberLink\PowerProducer\MUITransfer\MUIStartMenu.exe [222504 2008-01-04] (CyberLink Corp.)
HKLM-x32\...\Run: [UpdatePSTShortCut] = C:\Program Files (x86)\CyberLink\DVD Suite\MUITransfer\MUIStartMenu.exe [210216 2008-10-22] (CyberLink Corp.)
HKLM-x32\...\Run: [UpdateLBPShortCut] = C:\Program Files (x86)\CyberLink\LabelPrint\MUITransfer\MUIStartMenu.exe [222504 2008-02-21] (CyberLink Corp.)
HKLM-x32\...\Run: [GrooveMonitor] = C:\Program Files (x86)\Microsoft Office\Office12\GrooveMonitor.exe [30040 2009-02-26] (Microsoft Corporation)
HKLM-x32\...\Run: [Adobe ARM] = C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [959176 2014-08-21] (Adobe Systems Incorporated)
HKU\S-1-5-21-2971589137-2989711502-4276252693-1000\...\Run: [Akamai NetSession Interface] = C:\Users\Pablo\AppData\Local\Akamai\netsession_win.exe [4673432 2014-10-30] (Akamai Technologies, Inc.)
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction ======= ATTENTION
HKU\S-1-5-21-2971589137-2989711502-4276252693-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction ======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=149
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=149
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page =
SearchScopes: HKLM-x32 - DefaultScope value is missing.
Toolbar: HKLM - avast! WebRep - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File
Toolbar: HKLM-x32 - No Name - {98889811-442D-49dd-99D7-DC866BE87DBC} - No File
S3 catchme; \\C:\ComboFix\catchme.sys [X]
S3 ipswuio; System32\DRIVERS\ipswuio.sys [X]
S3 PCAMp50a64; System32\Drivers\PCAMp50a64.sys [X]
S3 PCASp50a64; System32\Drivers\PCASp50a64.sys [X]
U3 tmlwf; No ImagePath
U3 tmwfp; No ImagePath
2015-05-01 12:33 - 2011-06-26 08:45 - 00256000 _____ () C:\Windows\PEV.exe
2015-05-01 12:33 - 2010-11-07 19:20 - 00208896 _____ () C:\Windows\MBR.exe
2015-05-01 12:33 - 2009-04-20 06:56 - 00060416 _____ (NirSoft) C:\Windows\NIRCMD.exe
2015-05-01 12:33 - 2000-08-31 02:00 - 00518144 _____ (SteelWerX) C:\Windows\SWREG.exe
2015-05-01 12:33 - 2000-08-31 02:00 - 00406528 _____ (SteelWerX) C:\Windows\SWSC.exe
2015-05-01 12:33 - 2000-08-31 02:00 - 00098816 _____ () C:\Windows\sed.exe
2015-05-01 12:33 - 2000-08-31 02:00 - 00080412 _____ () C:\Windows\grep.exe
2015-05-01 12:33 - 2000-08-31 02:00 - 00068096 _____ () C:\Windows\zip.exe
2015-05-01 12:31 - 2015-05-01 12:49 - 00000000 ____ D () C:\Qoobox
2015-04-30 18:12 - 2015-04-30 18:35 - 00000000 ____ D () C:\Users\Pablo\Doctor Web
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.

Przeskanuj programem Malwarebytes Anti-Malware http://www.malwarebytes.org/8/

Użyj TDSSKiller http://support.kaspersky.com/viruses/solutions?qid=208280684 Kieruj się poleceniami programu.

#5

Wszystko odinstalowane. Malwarebytes usunął 8 infekcji. TDSSKiller nie znalazł nic. Problem występuje nadal.

#6

Sprawdź jak działa system po odinstalowaniu Avasta:

Dezinstalacja za pomocą użycia narzędzia avast! Uninstall Utility

#7

Muli nadal, nie da się nic zrobić.

Czym to mógłbym jeszcze przeskanować?

#8

Jeżeli mam ISO Dr.Web Live CD to nagrywam go poprzez ‘‘Nagraj dane’’ —> ‘‘Nowy dysk’’  czy   ‘‘Obraz dysku’’ —> ‘‘Nagraj obraz’’   ?  W Aschampo

#9

Nic nie wskazuje na to, że masz zainfekowany system.

Spróbuj ustalić przyczynę za pomocą czystego rozruchu: https://support.microsoft.com/en-us/kb/331796/pl

Użyj opcji Nagraj obraz.

Poza tym jest też wersja na pendrive Dr.Web LiveDisk USB

#10

W czystym rozruchu działa prawidłowo.

Zrobiłem też ustalenie przyczyn problemu.

Problem pojawia się przy właczeniu usług

  • OracleMTSRecoveryService

  • OracleServiceXE

 

Można to odinstalować czy zostawić wyłączone?

 

Dzięki Atis za pomoc :slight_smile:

Po wyłączeniu Oracle Avast działa prawidłowo.

#11

Jeżeli nie korzystasz to możesz odinstalować program Oracle Database 11g Express Edition.

#12

Akurat Oracle Database 11g Express Edition nie da się odinstalować, wyskakuje jakiś błąd.

Ale odinstalowałem Oracle Virtualbox i wyżej wymienione usługi zniknęły.

Wszystko działa jak należy.

Dziękuję Ci jeszcze raz za pomoc :slight_smile:

#13

Geek Uninstaller Free:

http://www.geekuninstaller.com/geek.zip

Kliknij prawym na wybrany program i wybierz Usuń program wymuszone.