logo elektroda
logo elektroda
X
logo elektroda
REKLAMA
REKLAMA
Adblock/uBlockOrigin/AdGuard mogą powodować znikanie niektórych postów z powodu nowej reguły.

Rootkit blokuje antywirusa i zaporę - analiza logu

kitek777 24 Sty 2017 14:09 945 8
REKLAMA
  • #1 16224146
    kitek777
    Poziom 3  
    Posty: 3
    Witam na komputerze mam rootkit który blokuje mi antywirusa, malwarebytes i wyłączył zaporę proszę o analizę logu
    Załączniki:
    • Addition.txt (30.64 KB) Musisz być zalogowany, aby pobrać ten załącznik.
    • FRST.txt (54.96 KB) Musisz być zalogowany, aby pobrać ten załącznik.
  • REKLAMA
  • #2 16224187
    Kolobos
    Spec od komputerów
    Posty: 85175
    Pomógł: 17169
    Ocena: 10452
    Odinstaluj: Java(TM) 6 Update 38
    Zainstaluj http://ninite.com/java/

    Obok frst.exe utworz plik Fixlist.txt z zawartoscia:
    Task: {E43DEA36-FE06-4305-A1CB-F515DB54374A} - \0a2y0r0 -> Brak pliku <==== UWAGA
    ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku
    DPF: HKLM-x32 {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} C:\Program Files (x86)\Yahoo!\Common\Yinsthelper.dll
    Handler: tmpx - {0E526CB5-7446-41D1-A403-19BFE95E8C23} - c:\Program Files (x86)\Trend Micro\Client Server Security Agent\bho\1009\TmIEPlg32.dll Brak pliku
    FF Plugin-x32: yaxmpb(_at_)yahoo.com/YahooActiveXPluginBridge;version=1.0.0.1 -> C:\Program Files (x86)\Yahoo!\Common\npyaxmpb.dll [Brak pliku]
    S4 MBAMService; "C:\Program Files\Malwarebytes\Anti-Malware\mbamservice.exe" [X]
    S2 Nero BackItUp Scheduler 4.0; C:\Program Files (x86)\Common Files\Nero\Nero BackItUp 4\NBService.exe [X]
    S2 Secure Hunter Service; C:\Program Files (x86)\SecureHunter\AntiMalwarePro\bin\shrtsrv.exe [X]
    U0 aswVmm; Brak ImagePath
    2017-01-24 09:08 - 2017-01-24 13:40 - 00000000 ____D C:\Program Files (x86)\McAfee
    2017-01-24 09:08 - 2017-01-24 13:38 - 00000000 ____D C:\Program Files\Common Files\McAfee
    2017-01-24 07:46 - 2017-01-24 13:19 - 00000000 ____D C:\AdwCleaner
    2017-01-17 11:42 - 2017-01-17 11:42 - 00000000 ____D C:\Windows\System32\Tasks\AVAST Software
    2017-01-17 11:38 - 2017-01-17 11:38 - 00000000 ____D C:\Program Files\AVAST Software
    2017-01-17 11:37 - 2017-01-18 11:05 - 00000000 ____D C:\ProgramData\AVAST Software
    2017-01-10 07:31 - 2017-01-10 07:31 - 00000000 __SHD C:\found.000
    2017-01-24 12:42 - 2014-10-30 06:59 - 00000000 ____D C:\ProgramData\McAfee
    EmptyTemp:

    W FRST wybierz Napraw.

    Zrob pelny skan przy pomocy cureit http://ftp.drweb.com/pub/drweb/cureit/launch.exe

    Zamiesc log z https://support.kaspersky.com/pl/viruses/disinfection/5350
  • REKLAMA
  • #3 16229372
    kitek777
    Poziom 3  
    Posty: 3
    Logi w załączniku
    Załączniki:
    • KL_syscure.zip (50.08 KB) Musisz być zalogowany, aby pobrać ten załącznik.
  • #4 16229472
    Kolobos
    Spec od komputerów
    Posty: 85175
    Pomógł: 17169
    Ocena: 10452
    Miales zamiescic log z TDSSKiller do ktorego link podalem, a nie jakies zbedne informacje z innego programu.
  • #5 16229542
    kitek777
    Poziom 3  
    Posty: 3
    Chodzi o ten log?
    Załączniki:
    • TDSSKiller.3.1.0.12_26.01.2017_12.57.14_log.txt (414.72 KB) Musisz być zalogowany, aby pobrać ten załącznik.
  • REKLAMA
  • #6 16229634
    Kolobos
    Spec od komputerów
    Posty: 85175
    Pomógł: 17169
    Ocena: 10452
    Nie ma tutaj sladu infekcji.

    Czy cureit cos wykryl?
  • #7 16229651
    kitek777
    Poziom 3  
    Posty: 3
    Nic nie wykrył

    Dodano po 59 [sekundy]:

    Nadal zapora jest wyłączona, program antywirusowy również
  • REKLAMA
  • #8 16229664
    Kolobos
    Spec od komputerów
    Posty: 85175
    Pomógł: 17169
    Ocena: 10452
    F-Secure zapewne sam wylaczyl zapore, do tego widac, ze dziala.

    Nie ma tutaj infekcji, tym bardziej rootkitow.

    Przeinstaluj F-Secure lub zmien na cos innego.
  • #9 16229708
    kitek777
    Poziom 3  
    Posty: 3
    Ok dziekuję

Podsumowanie tematu

✨ Użytkownik zgłosił problem z rootkitem, który blokuje działanie oprogramowania antywirusowego (w tym Malwarebytes) oraz zapory sieciowej. W odpowiedziach zasugerowano odinstalowanie przestarzałej wersji Javy oraz użycie narzędzi do analizy logów, takich jak TDSSKiller. Po analizie logów nie znaleziono śladów infekcji, a problem z wyłączoną zaporą przypisano do działania oprogramowania F-Secure. Użytkownik został zachęcony do reinstalacji F-Secure lub zmiany na inne oprogramowanie antywirusowe.
Podsumowanie AI na podstawie dyskusji. Może zawierać błędy.
REKLAMA