Elektroda.pl
Elektroda.pl
X
CControls
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Liczne infekcje, brak możliwości uruchomienia MBAM

master-007 16 Lut 2016 16:35 513 3
  • #1 16 Lut 2016 16:35
    master-007
    Moderator na urlopie...

    Witam,
    chciałem pomóc koledze, któremu przeglądarki Internet Explorer i Google Chrome przestały działać (brak połączenia z siecią w IE mimo odpowiedzi serwerów na komendę ping, w przypadku Chrome - "program nie odpowiada"). Zarówno AdwCleaner jak i Dr.Web CureIt wykryły infekcje (kilkanaście), które zostały usunięte. Po zainstalowaniu MBAM, nie można go uruchomić (brak odpowiedzi) ani usunąć stosując standardową deinstalację (exception E06D7363) przez Programy i funkcje - został usunięty poprzez usunięcie folderu. Malwarebytes Anti-Rootkit BETA wyświetlił przy instalacji komunikat o podejrzeniu wykrycia rootkita, którego miał usunąć przy otwieraniu aplikacji. Po włączeniu i załączeniu skanowania system zawiesza się w trakcie. Po przeprowadzonych operacjach użyto Ccleaner w celu oczyszczenia rejestru. FRST w trybie awaryjnym tworzył puste pliki logów, natomiast udało się je wygenerować w trybie normalnym. Przeglądarka Google Chrome po deinstalacji i ponownej instalacji z instalatora offline działa.

    Proszę o interpretację logów FRST i pomoc w usunięciu infekcji, o ile coś jeszcze tam zostało.

    0 3
  • CControls
  • #2 16 Lut 2016 16:44
    Kolobos
    Spec od komputerów

    W logach nadal widac mbam, nie zostal usuniety.

    Uzyj https://forums.malwarebytes.org/index.php?/topic/122284-mbam-clean-removal-process/

    Odinstaluj:
    Adobe Reader 9.5.5 - Polish, zmien na Foxit http://ninite.com/foxit/ lub na najnowsza wersje AR.
    AVG Web TuneUp

    Fixlist.txt dla FRST:
    Task: {0292B188-0F12-43C4-8F03-D57C47E4053D} - System32\Tasks\0116tbUpdateInfo => C:\ProgramData\Avg_Update_0116tb\0116tb_{E93357B3-3A73-4CF8-8EE2-B91C00D9334B}.exe
    Task: {21C11B13-F548-4136-AC2C-171C1427C35C} - System32\Tasks\0915wtUpdateInfo => C:\ProgramData\Avg_Update_0915wt\0915wt_{9882F06B-06E9-4D7E-9255-2B1474C2F7A4}.exe
    Task: {3E4BF75D-DA1D-499C-B7BC-28BBC5328057} - System32\Tasks\{676BB3BC-8015-4E86-8A45-F11BF016AB8E} => pcalua.exe -a E:\Video\DX80pol.exe -d E:\Video
    Task: {54D8A52B-959E-4F94-AC01-9F53A640EC0C} - System32\Tasks\psv_Treetech => /c regedit.exe /s "C:\ProgramData\Lightzap\Stanfix.reg" &amp; del "C:\ProgramData\Lightzap\Stanfix.reg" &amp; SCHTASKS /Delete /TN "psv_Treetech" /F <==== UWAGA
    Task: {A4F03FB1-4092-4EE9-92C1-36F781AB126C} - System32\Tasks\{8F123062-C9E9-4433-A2D8-1B616E11992D} => pcalua.exe -a "C:\Users\x\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\WMP9US3T\sp36881[1].exe" -d C:\Windows\system32
    Task: {C67D55AE-EAC2-463B-8628-3E9EBA0F6CA8} - System32\Tasks\xFiresLeasableV2 => Rundll32.exe DecidesScurvily.dll,main 7 1 <==== UWAGA
    Task: {FE9A3F25-BE12-45A0-9441-766FDE5C00A2} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv => C:\Windows\TEMP\{326561BD-0B6F-4C04-9596-78DEABDB49E9}.exe
    Task: C:\Windows\Tasks\0116tbUpdateInfo.job => C:\ProgramData\Avg_Update_0116tb\0116tb_{E93357B3-3A73-4CF8-8EE2-B91C00D9334B}.exe
    Task: C:\Windows\Tasks\0915wtUpdateInfo.job => C:\ProgramData\Avg_Update_0915wt\0915wt_{9882F06B-06E9-4D7E-9255-2B1474C2F7A4}.exe
    Task: C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job => C:\Windows\TEMP\{326561BD-0B6F-4C04-9596-78DEABDB49E9}.exe <==== UWAGA
    HKU\S-1-5-21-129353768-83451788-148230716-1000\...\MountPoints2: {4181d72a-3150-11e2-ab55-001b247038e6} - E:\Startme.exe
    HKU\S-1-5-21-129353768-83451788-148230716-1000\...\MountPoints2: {77bc1360-6968-11e2-84af-001b247038e6} - E:\AutoRun.exe
    HKU\S-1-5-21-129353768-83451788-148230716-1000\...\MountPoints2: {77bc1398-6968-11e2-84af-001b247038e6} - E:\AutoRun.exe
    HKU\S-1-5-21-129353768-83451788-148230716-1000\...\MountPoints2: {849baba8-8c67-11e4-b2b9-ae9d8cbbb00f} - E:\AutoRun.exe
    HKU\S-1-5-21-129353768-83451788-148230716-1000\...\MountPoints2: {acc803d5-696c-11e2-98ef-001b247038e6} - E:\AutoRun.exe
    HKU\S-1-5-21-129353768-83451788-148230716-1000\...\MountPoints2: {c287f9b6-6969-11e2-94d5-001b247038e6} - E:\AutoRun.exe




    HKU\S-1-5-21-129353768-83451788-148230716-1000\...\MountPoints2: {ddfa8ec0-7d91-11e5-b30e-c25b2365b401} - G:\Startme.exe
    HKU\S-1-5-21-129353768-83451788-148230716-1000\...\MountPoints2: {f5d19ea0-a7d1-11e4-a1a5-d24e44590cf6} - F:\AutoRun.exe
    HKU\S-1-5-21-129353768-83451788-148230716-1000\...\MountPoints2: {f5d19ea8-a7d1-11e4-a1a5-c78a52dc7569} - E:\AutoRun.exe
    HKU\S-1-5-21-129353768-83451788-148230716-1000\...\MountPoints2: {fe63f9a0-aedc-11e4-9423-fca08ced610e} - E:\AutoRun.exe
    HKU\S-1-5-21-129353768-83451788-148230716-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61...3HrRyqwcTat1LQz9LRy7DSchFDT98vaiSt-C4,&q={searchTerms}
    HKU\S-1-5-21-129353768-83451788-148230716-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.pl/
    HKU\S-1-5-21-129353768-83451788-148230716-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61...3HrRyqwcTat1LQz9LRy7DSchFDT98vaiSt-C4,&q={searchTerms}
    HKU\S-1-5-21-129353768-83451788-148230716-1000\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61...3HrRyqwcTat1LQz9LRy7DSchFDT98vaiSt-C4,&q={searchTerms}
    CHR HomePage: Default -> hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F...zgOna0NWyGLGt5J_jE7kF3U5JeS1g_PO4uAKYWXsZ8GI,,
    CHR Plugin: (AVG SiteSafety plugin) - C:\Program Files\Common Files\AVG Secure Search\SiteSafetyInstaller\14.0.1\\npsitesafety.dll => Brak pliku
    S4 blbdrive; \SystemRoot\system32\drivers\blbdrive.sys [X]
    2016-02-11 18:44 - 2016-02-11 18:44 - 00000000 ____D C:\ProgramData\Lightzaps
    2016-02-11 18:43 - 2016-02-11 18:43 - 07767040 _____ C:\Users\x\AppData\Roaming\agent.dat
    2016-02-11 18:43 - 2016-02-11 18:43 - 01827635 _____ C:\Users\x\AppData\Roaming\Yearlex.tst
    2016-02-11 18:43 - 2016-02-11 18:43 - 00126464 _____ C:\Users\x\AppData\Roaming\noah.dat
    2016-02-11 18:43 - 2016-02-11 18:43 - 00062976 _____ C:\Users\x\AppData\Roaming\Config.xml
    2016-02-11 18:43 - 2016-02-11 18:43 - 00018432 _____ C:\Users\x\AppData\Roaming\Main.dat
    2016-02-11 18:43 - 2016-02-11 18:43 - 00005568 _____ C:\Users\x\AppData\Roaming\md.xml
    2016-02-11 18:43 - 2016-02-11 18:43 - 00000000 ____D C:\Users\x\AppData\Local\FiresLeasable
    2016-02-11 18:43 - 2016-02-11 18:42 - 00666112 _____ C:\Users\x\AppData\Roaming\Yearlex.exe
    2016-02-11 18:42 - 2016-02-11 18:42 - 00126976 _____ C:\Users\x\AppData\Roaming\Installer.dat
    2016-02-11 18:42 - 2016-02-11 18:42 - 00010944 _____ C:\Users\x\AppData\Roaming\InstallationConfiguration.xml
    2016-01-27 18:30 - 2016-01-27 18:30 - 00000368 _____ C:\Windows\Tasks\0116tbUpdateInfo.job
    2016-02-16 14:25 - 2013-06-13 20:01 - 00000350 _____ C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job
    2016-02-11 18:44 - 2016-02-11 18:44 - 0032038 _____ () C:\Users\x\AppData\Roaming\uninstall_temp.ico
    2016-02-11 19:43 - 2016-02-14 18:43 - 0000068 _____ () C:\Users\x\AppData\Roaming\WB.CFG
    2012-11-16 09:01 - 2012-11-16 09:01 - 0000000 _____ () C:\Users\x\AppData\Local\AtStart.txt
    2012-11-16 09:01 - 2012-11-16 09:01 - 0000000 _____ () C:\Users\x\AppData\Local\DSwitch.txt
    2012-11-16 09:01 - 2012-11-16 09:01 - 0000000 _____ () C:\Users\x\AppData\Local\QSwitch.txt
    EmptyTemp:

    0
  • CControls
  • #3 16 Lut 2016 16:54
    Acorus 20
    Spec od komputerów

    Odinstaluj Adobe Reader 9.5.5 - Polish, AVG Web TuneUp. Otwórz notatnik systemowy i wklej:

    Cytat:
    CloseProcesses:
    Task: {0292B188-0F12-43C4-8F03-D57C47E4053D} - System32\Tasks\0116tbUpdateInfo => C:\ProgramData\Avg_Update_0116tb\0116tb_{E93357B3-3A73-4CF8-8EE2-B91C00D9334B}.exe
    Task: {21C11B13-F548-4136-AC2C-171C1427C35C} - System32\Tasks\0915wtUpdateInfo => C:\ProgramData\Avg_Update_0915wt\0915wt_{9882F06B-06E9-4D7E-9255-2B1474C2F7A4}.exe
    Task: {54D8A52B-959E-4F94-AC01-9F53A640EC0C} - System32\Tasks\psv_Treetech => /c regedit.exe /s "C:\ProgramData\Lightzap\Stanfix.reg" &amp; del "C:\ProgramData\Lightzap\Stanfix.reg" &amp; SCHTASKS /Delete /TN "psv_Treetech" /F <==== UWAGA
    Task: {A4F03FB1-4092-4EE9-92C1-36F781AB126C} - System32\Tasks\{8F123062-C9E9-4433-A2D8-1B616E11992D} => pcalua.exe -a "C:\Users\x\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\WMP9US3T\sp36881[1].exe" -d C:\Windows\system32
    Task: {C67D55AE-EAC2-463B-8628-3E9EBA0F6CA8} - System32\Tasks\xFiresLeasableV2 => Rundll32.exe DecidesScurvily.dll,main 7 1 <==== UWAGA
    Task: {FE9A3F25-BE12-45A0-9441-766FDE5C00A2} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv => C:\Windows\TEMP\{326561BD-0B6F-4C04-9596-78DEABDB49E9}.exe
    Task: C:\Windows\Tasks\0116tbUpdateInfo.job => C:\ProgramData\Avg_Update_0116tb\0116tb_{E93357B3-3A73-4CF8-8EE2-B91C00D9334B}.exe
    Task: C:\Windows\Tasks\0915wtUpdateInfo.job => C:\ProgramData\Avg_Update_0915wt\0915wt_{9882F06B-06E9-4D7E-9255-2B1474C2F7A4}.exe
    Task: C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job => C:\Windows\TEMP\{326561BD-0B6F-4C04-9596-78DEABDB49E9}.exe <==== UWAGA
    HKLM\...\Run: [Adobe Reader Speed Launcher] => C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe [41056 2013-05-08] (Adobe Systems Incorporated)
    HKLM\...\Run: [Adobe ARM] => C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe [958576 2013-04-04] (Adobe Systems Incorporated)
    HKLM\...\Run: [WinampAgent] => C:\Program Files\Winamp\winampa.exe [74752 2012-06-28] (Nullsoft, Inc.)
    HKU\S-1-5-21-129353768-83451788-148230716-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61...3HrRyqwcTat1LQz9LRy7DSchFDT98vaiSt-C4,&q={searchTerms}
    HKU\S-1-5-21-129353768-83451788-148230716-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61...3HrRyqwcTat1LQz9LRy7DSchFDT98vaiSt-C4,&q={searchTerms}
    HKU\S-1-5-21-129353768-83451788-148230716-1000\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61...3HrRyqwcTat1LQz9LRy7DSchFDT98vaiSt-C4,&q={searchTerms}
    SearchScopes: HKLM -> DefaultScope {ielnksrch} URL =
    CHR HomePage: Default -> hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F...zgOna0NWyGLGt5J_jE7kF3U5JeS1g_PO4uAKYWXsZ8GI,,
    S4 blbdrive; \SystemRoot\system32\drivers\blbdrive.sys [X]
    U5 ewusbnet; C:\Windows\System32\Drivers\ewusbnet.sys [249856 2014-02-07] (Huawei Technologies Co., Ltd.)
    2016-02-11 18:44 - 2016-02-11 18:44 - 00000000 ____D C:\ProgramData\Lightzaps
    2016-02-11 18:43 - 2016-02-11 18:43 - 07767040 _____ C:\Users\x\AppData\Roaming\agent.dat
    2016-02-11 18:43 - 2016-02-11 18:43 - 01827635 _____ C:\Users\x\AppData\Roaming\Yearlex.tst
    2016-02-11 18:43 - 2016-02-11 18:43 - 00126464 _____ C:\Users\x\AppData\Roaming\noah.dat
    2016-02-11 18:43 - 2016-02-11 18:43 - 00062976 _____ C:\Users\x\AppData\Roaming\Config.xml
    2016-02-11 18:43 - 2016-02-11 18:43 - 00018432 _____ C:\Users\x\AppData\Roaming\Main.dat
    2016-02-11 18:43 - 2016-02-11 18:43 - 00005568 _____ C:\Users\x\AppData\Roaming\md.xml
    2016-02-11 18:43 - 2016-02-11 18:43 - 00000000 ____D C:\Users\x\AppData\Local\FiresLeasable
    2016-02-11 18:43 - 2016-02-11 18:42 - 00666112 _____ C:\Users\x\AppData\Roaming\Yearlex.exe
    2016-02-11 18:42 - 2016-02-11 18:42 - 00126976 _____ C:\Users\x\AppData\Roaming\Installer.dat
    2016-02-11 18:42 - 2016-02-11 18:42 - 00010944 _____ C:\Users\x\AppData\Roaming\InstallationConfiguration.xml
    EmptyTemp:


    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
    Uruchom jako administrator FRST i kliknij w Fix/Napraw.
    Instalacja Service Pack 1 i 2.

    0
  • #4 17 Lut 2016 16:19
    master-007
    Moderator na urlopie...

    Mbam-clean usunął pozostałości po MBAM a po wykonaniu skryptów wszystko działało jak powinno. Niestety po zainstalowaniu Service Pack 1 i próbie zainstalowania kolejnej aktualizacji ekran laptopa zgasł (matryca wyświetlała czarny kolor) i po restarcie system już nie wstał, (przy próbie uruchomienia trybu awaryjnego "ładowanie" systemu nie pokazuje ładowania plików, tak, jak robiło to wcześniej. Prawdopodobnie infekcje zbiegły się w czasie z uszkodzeniem dysku, gdyż po restarcie aktywne jest tylko wejście do BIOS, natomiast nie ma żadnych komunikatów np. mogących wskazywać na uszkodzenie sektora rozruchowego lub innych wskazujących jakikolwiek błąd.

    Niemniej jednak, dziękuję kolegom za poświęcony czas i przygotowanie fixlist.
    Pozdrawiam,
    master-007

    0