Nie wykrywa pendrive. Log OTL.

Post11 kwie 2014, 12:05

Witam, dzisiaj system zaczął wariować. Antywirus (Comodo, a później AVG) "krzyczy", że zapora sieciowa nie funkcjonuje prawidłowo . System nie wykrywa też pendrive którego na innych komputerach otwieram bezproblemowo. Proszę o analizę logów :
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

Post11 kwie 2014, 13:22

AVG krzyczy bo mamy tutaj rootkit Necurs:

DRV:64bit: - [2014-04-07 18:51:19 | 000,079,808 | ---- | M] () [Unknown (-1) | Unknown (-1) | Unknown] -- C:\Windows\SysNative\drivers\eec1f0484922c70d.sys -- (eec1f0484922c70d)

Cechą tego rootkita jest zapobieganie działaniu sterowników programów skanujących. Padają Antywirusy.

1. Zastosuj zgodnie z opisem: Dostępne tylko dla zarejestrowanych użytkownikówór-narzędzi-usuwających/
ESET Necurs Remover i zresetuj system.

2. Do deinstalacji: wxPython 2.8.4.0 (unicode) for Python 2.5 (chyba, że korzystasz) [Python 2.5 pywin32-212] [Python 2.5 numpy-1.0.3] / uTorrentControl_v6 Toolbar

3. Użyj >Dostępne tylko dla zarejestrowanych użytkowników (aby pobrać kliknij na dużą zieloną strzałkę po prawej).
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner[S1].txt

4. Uruchom Dostępne tylko dla zarejestrowanych użytkowników. Wciśnij dowolny klawisz i czekaj, aż skończy się operacja. (UWAGA: podczas pobierania, programy mogą wskazywać, że to jest zagrożenie, proszę to zignorować). Pokaż raport.

5. Wklej nowe logi z OTL.

Post11 kwie 2014, 19:37

Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników.
Nie wiem dlaczego, ale nie wyświetliło mi Extras ;/ Skanowałem dwa razy.

Post11 kwie 2014, 22:47

Masz raport z ESET Necurs Remover ?

Post13 kwie 2014, 10:45

Mam, ale nic nie znalazł..
Dostępne tylko dla zarejestrowanych użytkowników

Post13 kwie 2014, 11:50

Znalazł:

[2014.04.12 12:20:44.132] - INFO: Found suspicious service - eec1f0484922c70d

Ale nic z niej nie zrobił.
Daj log z Dostępne tylko dla zarejestrowanych użytkowników.

Post13 kwie 2014, 14:16

Dostępne tylko dla zarejestrowanych użytkowników

Post13 kwie 2014, 14:51

Otwórz notatnik i wklej w nim to:

File::
C:\Windows\SysNative\drivers\eec1f0484922c70d.sys

Driver::
eec1f0484922c70d

Registry::
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\eec1f0484922c70d]

>>Plik>>Zapisz jako... >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
--------> Obrazek

Ma się rozpocząć usuwanie (i powstanie log na końcu). Daj ten log.

Dorzuć też nowe logi z OTL.

Post13 kwie 2014, 18:30

Combofix Dostępne tylko dla zarejestrowanych użytkowników
OTl Dostępne tylko dla zarejestrowanych użytkowników

Post13 kwie 2014, 18:44

Usuwa się ale... dalej jest w systemie.

1. Uruchom Dostępne tylko dla zarejestrowanych użytkowników. Dla wyniku Rootkit.Win32.Necurs.gen wybierz akcję Delete. Natomiast wszystkie wyniki typu LockedFile.Multi.Generic mają mieć przyznane Skip, gdyż to prawidłowe sterowniki zablokowane przez rootkita. Jeśli rootkit zostanie poprawnie usunięty, sterowniki samoczynnie się odblokują. Zresetuj system.

2. Daj log z FRST.

Post13 kwie 2014, 19:15

Addition Dostępne tylko dla zarejestrowanych użytkowników
FRST Dostępne tylko dla zarejestrowanych użytkowników

Post13 kwie 2014, 19:16

Raport z TDSSKiller też podrzuć.

Post13 kwie 2014, 19:20

Dostępne tylko dla zarejestrowanych użytkowników

Post13 kwie 2014, 19:23

Masło maślane bo raport jest nie pełny.
Coś TDSSKiller wykrył?

Post13 kwie 2014, 19:27

Tak, wykrył Rootkit.Win32.Necurs.gen.
Były tam jeszcze 2 raporty:
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników