Trojan w win32

[dante]

Witam serdecznie,

Mój NOD32 pokazał następujące zagrożenie (Odmiana zagrożenia): Win32/PSW.Agent.NUS koń trojański
Nazwa: Pamięć operacyjna > C:\Windows\SysWOW64\svchost.exe

Dodam, że posiadam Windows 7

Próbowałem takich narzędzi jak Spybot-S&D czy YAC. Następnie użyłem Combofix. Log z Combofix'a:

http://wklej.eu/index.php?id=4defcc653f

Czy wszystko jest już OK czy powinienem jeszcze coś zrobić? Bardzo proszę o pomoc...

[mateo8898]

Popełniłeś wiele błędów. Przede wszystkim nie stosujemy ComboFix na własną rękę. Podajemy logi z OTL i Gmer, które są nieingerującymi narzędziami. Spybot obecnie jest słaby, co do "YAC" nie wiem jaki program masz na myśli, ale jest taki fałszywy antywirus... Widzę, że używałeś także SDFix, który obecnie nadaje się do muzeum. Poza tym ComboFix wskazuje, że NOD ma nieaktualną bazę wirusów, sprawdź jak to jest w rzeczywistości.

Tak więc po kolei:
1. Odinstaluj Spybot`a.
2. Użyj AdwCleaner otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967-15.html#p139531 z opcji Usuń i podaj utworzony log.
3. Podaj logi z OTL otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967.html#p107754 i Gmer otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967.html#p88736

Kolejność jak podałem.

[dante]

Odinstalowałem Spybot. Chciałem zainstalować nową wersję NOD 32, ale się nie dało...

Przeskanowałem AdwCleaner'em - oto logi: http://wklej.eu/index.php?id=e5d3e49620
Logi z OTL: http://wklej.eu/index.php?id=4e522c6678
Logi z Gmer: http://wklej.eu/index.php?id=10b8c00ee4

[mateo8898]

Na razie wstrzymaj się z instalacją antywira, bo system nadal jest zainfekowany.

W AdwCleaner Odinstaluj

Uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:

:OTL
SRV:64bit: - [2014-02-14 16:42:10 | 000,078,776 | ---- | M] () [Unknown (-1) | Unknown] -- C:\Windows\SysNative\drivers\5c16bcabb67790ed.sys -- (5c16bcabb67790ed)
DRV:64bit: - [2014-02-14 16:42:10 | 000,078,776 | ---- | M] () [Unknown (-1) | Unknown (-1) | Unknown] -- C:\Windows\SysNative\drivers\5c16bcabb67790ed.sys -- (5c16bcabb67790ed)
64bit-FF - HKEY_LOCAL_MACHINE\software\mozilla\Thunderbird\Extensions\\[email protected]: C:\PROGRAM FILES\ESET\ESET NOD32 ANTIVIRUS\MOZILLA THUNDERBIRD
[2011-12-30 00:34:50 | 000,000,000 | ---D | M] (uTorrentBar Community Toolbar) -- C:\Users\Stiv\AppData\Roaming\mozilla\Firefox\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}
O8:64bit: - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~2\MICROS~2\Office14\EXCEL.EXE/3000 File not found
O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~2\MICROS~2\Office14\EXCEL.EXE/3000 File not found
O16:64bit: - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinstall-1_7_0-windows-i586.cab (Reg Error: Key error.)
O20 - Winlogon\Notify\igfxcui: DllName - (Reg Error: Value error.) - Reg Error: Value error. File not found
[2014-03-22 09:56:05 | 000,000,000 | ---D | C] -- C:\SDFix
[2014-03-22 10:56:16 | 000,000,000 | ---D | C] -- C:\Qoobox
[2014-03-21 23:05:42 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\iSafe
[2014-03-21 23:24:21 | 000,000,000 | ---D | M] -- C:\Users\Stiv\AppData\Roaming\Wuopaq

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Podajesz log z usuwania + nowe logi z OTL + nowy log z Gmer.

[dante]

Odinstalowałem Adw. Wykonałem skrypt, ale był błąd i nie mogłem podać logu z usuwania...

Nowy log z OTL: http://wklej.eu/index.php?id=6d148331c9

Zaraz podam z Gmer

[mateo8898]

Jednak OTL nie ruszył tego. Posłużymy się ComboFix`em.

Wklej do notatnika:

File::
C:\Windows\SysNative\drivers\5c16bcabb67790ed.sys

Driver::
5c16bcabb67790ed

Folder::
C:\Program Files (x86)\iSafe
C:\Program Files (x86)\Spybot - Search & Destroy 2
C:\Users\Stiv\AppData\Roaming\hhjugrwr
C:\Users\Stiv\AppData\Roaming\Wuopaq
C:\SDFix

Plik zapisz jako CFScript.txt
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe


Rozpocznie się usuwanie i powstanie log, który dajesz na forum.

Następnie podaj także nowe logi z OTL + nowy log z Gmer.

[dante]

A to poprzedni skan z Gmer (ten po skanie OTL, którego nie dałem): http://wklej.eu/index.php?id=56585a2808

Zabieram się za Twoje kolejne kroki

[dante]

Po restarcie systemu, który "zarządził" Combofix pojawił się komunikat z błędem, że urządzenie dołączone do komputera nie działa C:\system32\gfxUI.exe (o ile dobrze zapamiętałem...)

Log z Combofix: http://wklej.eu/index.php?id=5522471a83

Zabieram się za skan OTL i Gmer.

[dante]

Log z OTL: http://wklej.eu/index.php?id=b95021fee7
Log z Gmer: http://wklej.eu/index.php?id=e09a176269

[mateo8898]

Dalej siedzi. Zastosuj to narzędzie http://download.eset.com/special/ESETNecursCleaner.exe
Później nowe logi z OTL + Gmer.

[dante]

Wyskakuje po uruchomieniu go: Win32/Necurs found in your system. Rozumiem, że klikać ok żeby usunąć?

[mateo8898]

Tak.

[dante]

Zrobiłem tym EsetNecurs Cleaner'em tak jak pisałeś. Nie wiem czy tak jest i czy nie było tak wcześniej, ale w prawym, dolnym rogu pojawił mi się napis: "Tryb testu Windows 7 Kompilacja 7601" (może zawsze tu było, ale wolałem napisać).

Logi z OTL: http://wklej.eu/index.php?id=169ecea702
Logi z Gmer: http://wklej.eu/index.php?id=bca75f44f8

[mateo8898]

Jeśli chodzi o ten napis, musisz aktywować system. Obstawiam, że jest on "lewy" i pewnie został usunięty aktywator.

Narzędzie od Eseta poradziło sobie z infekcją.

Usuń pozostałości po NOD32 tym narzędziem http://www.instalki.pl/programy/downloa ... aller.html

Wklej w OTL:

:OTL
[2011-12-30 00:34:50 | 000,000,000 | ---D | M] (uTorrentBar Community Toolbar) -- C:\Users\Stiv\AppData\Roaming\mozilla\Firefox\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt, po restarcie Sprzątanie

Przeczyść dysk oraz rejestr CCleaner (zakładka Cleaner i Rejestr)

Wykonaj pełne skanowanie Malwarebytes' Anti-Malware - jeśli coś znajdzie usuń i daj raport (po uruchomieniu odrzuć okres testowy)

Zainstaluj antywira

Zainteresuj się tym programem http://www.instalki.pl/programy/downloa ... hecky.html

[dante]

Logu z OTL po wykonaniu skryptu nie dało się zrobić (błąd). Skanuję właśnie Malware.

Jaki freeware antywirus polecasz, jeśli mogę spytać? Jakieś programy typu AdBlock itp.?