Zainfekowany komputer - syshost.exe i nie tylko


(Faust7) #1

Witam

Od 2 dni męczę się z wyleczeniem komputera. Pierwszy raz spotkałem się z taką, dość mocną infekcją.

Podczas przeglądania internetu, nagle spostrzegłem że MSE został wyłączony i wskazuje na zagrożenie komputera, głośniczek obok jest z krzyżykiem i informuje "brak zainstalowanego urządzenia audio". Od razu otworzyłem MSE i próbowałem włączyć ochronę w czasie rzeczywistym ale po kliknięciu wyskakuje błąd.

Otworzyłem menedżer zadań i zobaczyłem proces którego wcześniej nie było pod nazwą syshost.exe. Uruchomiłem komputer w trybie awaryjnym i próbowałem przeskanować komputer ale MSE wyświetlał jakieś błędy, że jego funkcje są zablokowane itp. Chciałem uruchomić przywracanie systemu ale dostawałem komunikat "Wystąpił nieoczekiwany błąd. Odmowa dostępu (0x80070005). Zamknij narzędzie i spróbuj ponownie". Podobne komunikaty dostaję kiedy próbuje wejść w niektóre opcje w panelu sterowania oraz kilku innych systemowych funkcjach. Pobrałem Avira Free lecz system nie chciał się wtedy włączyć i zacinał się po ekranie ładowania. W trybie awaryjnym niczego nie wykrywał. Przeszedłem do Avasta. Ten miał wyłączone niektóre funkcje jak ochrona w trybie rzeczywistym itp. których nie dało się włączyć bo wyskakiwał komunikat o błędzie, odmowie dostępu, zablokowanych funkcjach. Też nic nie wykrył. Podobne zachowanie było w przypadku AVG.

Pobrałem i uruchomiłem Dr.Web CureIt! który wykrył tylko 1 element, backdoor w katalogu jDownlaodera - usunąłem.

W międzyczasie odinstalowałem niepotrzebne programy których skanowanie długo trwało np. Gimp, różne czcionki w nim itp.

Później zabrałem się za Malwarebytes Anti-Malware który wykrył wreszcie syshost.exe, wybrałem akcje "usuń" i ponownie uruchomiłem komputer.

Log http://wklejto.pl/132426

EDIT: W Malwarebytes Anti-Malware nie mogę włączyć funkcji moduł ochronny. Wyskakuje błąd "PROGRAM_ERROR_PROTECTION_MODULE (1068, 0, ProtectionEnable) Uruchomienie zależności lub grupy nie powiodło się."

Zabrałem się za OTL. Logi: OTL.txt - http://wklejto.pl/132429 oraz Extras.txt - http://wklejto.pl/132430

Syshost nie pojawia się już w menedżerze zadań ale komputer nadal dziwnie się zachowuje, funkcje poblokowane, nie mogę włączyć antywirusa itp.

Co robić dalej?


(Atis) #2

Pobierz ESET Necurs Remover:

http://download.eset.com/special/ESETNecursRemover.zip

Uruchom ESETNecursRemover i postępuj zgodnie z zaleceniami programu.

Później pokaż nowy log z OTL


(Acorus) #3

Użyj ESET Necurs Remover:

http://www.eset.eu/encyclopaedia/win32- ... downloader

Postępuj zgodnie z zaleceniami programu i później utwórz nowy log z OTL.


(Faust7) #4

Dziękuje za błyskawiczną odpowiedź. Skąd wiedzieliście co to jest?

Użyłem ESET Necurs Remover, wykrył i usunął problem. Wykonałem skan OTL - http://wklejto.pl/132434

Komputer na razie zachowuje się normalnie, przynajmniej kilka funkcji które nie działały wcześniej. Jak się ustrzec przez podobnymi problemami? Jaki darmowy program antywirusowy itp proponujecie? MSE mnie zawiódł i wolałbym coś innego.


(Atis) #5

Nie trudno rozpoznać trojana Necurs, bo to od dawna znana infekcja.

W logu widać charakterystyczny sterownik o losowej nazwie oraz dużą grupę zablokowanych sterowników systemowych.

Wątpię żeby inne programy antywirusowe potrafiły zablokować tego typu trojana.

Do okna Własne opcje skanowania / skrypt wklej:

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania i nowy log Skanuj.


(Faust7) #6

Log z usuwania - http://wklejto.pl/132447

Log z OTL - http://wklejto.pl/132449

No rozumiem że są trojany i takie przypadki przed którymi nie da się w 100% zabezpieczyć... Co jednak zrobić, jakich programów użyć żeby czuć się jak najbezpieczniej?


(Atis) #7

Problem w tym, że antywirusy nie potrafią zablokować nawet prostych trojanów.

Na forach komputerowych od dłuższego czasu prawdziwa plaga trojana Weelsof (Ukash).

To jest prosty trojan i żaden program antywirusowy łącznie z komercyjnymi przed tym nie chroni.

Odinstaluj starą wersję programu:

JavaFX 2.1.1

Java 7 Update 5

Adobe Flash Player 10 ActiveX

Później zainstaluj:

Flash Player

Java

Uruchom OTL i kliknij Sprzątanie.

Usuń stare punkty przywracania:

Aby usunąć wszystkie punkty przywracania

Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date


(Faust7) #8

To co proponujesz do ochrony komputera?

Zrobiłem to co radziłeś, pryz okazji odinstalowałem zbędne programy i zaktualizowałem wszystkie nieaktualne.

Nie mam punktów przywracania bo mam wyłączone przywracanie systemu.


(Atis) #9

Zostaw Microsoft Security Essentials i do skanowania dysku darmowy skaner Malwarebytes.

Przywracanie warto włączyć dla dysku systemowego.

Możesz ograniczyć miejsce przeznaczone na punkty przywracania:

http://www.vistax64.com/tutorials/76227 ... space.html

http://www.howtogeek.com/howto/windows- ... -in-vista/


(Faust7) #10

Dzięki za pomoc. Zastosuje się do porad bo nie mam ochoty przechodzić przez to ponownie.