Zablokowana ochrona rezydenta w AVG (wirus?)

[piter488]

Witam.

Mam problem z Lapkiem,nie można włączyć ochrony rezydenta w AVG.,oprócz tego pojawił sie problem z otwarciem stron np:youtub ,przy próbie otwarcia pojawia sie ostrzeżenie że jakiś adobe shocwave player nie jest zainstalowany.Zainstalowałem i niby wszystko OK,ale po restarcie to samo.Problem pojawił się po usunięciu jakiejś dziwnej przeglądarki (nichcianej) Qone8,do tego jeszcze zaczął zamulać.

Proszę o pomoc.

[djarta]

Wklej odpowiednie logi wg. tego:
bezpieczenstwo/regulamin-bezpiecze-stwa-t19001.html

[piter488]

Log z OTL
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
log z GMER (w sekcji 1 zaznaczone byly 3ostatnie usługi,rejestr,pliki, reszty nie dało się zaznaczyć)GMER przerwał skanowanie ze wzgledu na wykrycie Rotkit.
Log z FRst
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

Dostępne tylko dla zarejestrowanych użytkowników

[djarta]

1. Uruchom Dostępne tylko dla zarejestrowanych użytkowników. Dla wyniku Rootkit.Win32.Necurs.gen wybierz akcję Delete. Natomiast wszystkie wyniki typu LockedFile.Multi.Generic mają mieć przyznane Skip, gdyż to prawidłowe sterowniki zablokowane przez rootkita. Jeśli rootkit zostanie poprawnie usunięty, sterowniki samoczynnie się odblokują. Zresetuj system.

2. Zrób nowy skan FRST (bez Addition i Shortcut). Dołącz log utworzony przez TDSSKiller. Zobacz czy GMER wykrywa dalej Rootkita.

[piter488]

Log z FRST
Dostępne tylko dla zarejestrowanych użytkowników
Log z TDSSKiller
Dostępne tylko dla zarejestrowanych użytkowników
Log z GMER-a (tym razem w sekcji pierwszej udało się wszystko zaznaczyc jak trzeba,rotkita nie wykrył)
Wygląda na to że wszystko sie naprawilo po użyciu TDSSKiller,nawet ochronka rezydenta się sama włączyła.
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

[djarta]

Główny składnik infekcji usunięty. Teraz możemy zająć się czyszczeniem.
AVG był zablokowany z powodu Rootkita, Rootkit został usunięty to wszelkie blokady zostały zdjęte.

1. Otwórz notatnik i wklej:

(Dimagi) C:\Users\szymek\AppData\Local\Temp\Vuyv\zauco.exe
S0 MBAMSwissArmy; system32\drivers\MBAMSwissArmy.sys [X]
S3 RtsUIR; system32\DRIVERS\Rts516xIR.sys [X]
S3 USBCCID; system32\DRIVERS\RtsUCcid.sys [X]
FF Plugin: @avg.com/AVG SiteSafety plugin,version=11.0.0.1,application/x-avg-sitesafety-plugin - C:\Program Files\Common Files\AVG Secure Search\SiteSafetyInstaller\18.1.0\\npsitesafety.dll No File
FF Plugin: @microsoft.com/GENUINE - disabled No File
Toolbar: HKCU - No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File
Toolbar: HKCU - No Name - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No File
Toolbar: HKLM - No Name - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No File
SearchScopes: HKLM - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=LENIE
SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=LENIE
SearchScopes: HKLM - {EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C} URL = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&invocationType=tb50winampie7
SearchScopes: HKCU - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=LENIE
SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=LENIE
SearchScopes: HKCU - {95B7759C-8C7F-4BF1-B163-73684A933233} URL = Dostępne tylko dla zarejestrowanych użytkowników{2B3D768C-35FD-4AC1-B010-27DD923D8715}&mid=9fb2341ff85b1cffb27d7bacdaedbb25-50ffe1c777cba98240d0dbf17f0ad9a54a88a117&lang=pl&ds=AVG&pr=fr&d=2011-12-03 17:08:46&v=15.2.0.5&pid=avg&sg=0&sap=dsp&q={searchTerms}
SearchScopes: HKCU - {EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C} URL = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&invocationType=tb50winampie7
StartMenuInternet: IEXPLORE.EXE - iexplore.exe
URLSearchHook: HKCU - (No Name) - {A3BC75A2-1F87-4686-AA43-5347D756017C} - No File
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = Dostępne tylko dla zarejestrowanych użytkowników
HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Dostępne tylko dla zarejestrowanych użytkowników
HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = Dostępne tylko dla zarejestrowanych użytkowników
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
HKU\S-1-5-21-1897119176-1576852872-1416124155-1003\...\Run: [Zauco] => C:\Users\szymek\AppData\Local\Temp\Vuyv\zauco.exe [652800 2010-01-18] (Dimagi) <===== ATTENTION
HKU\S-1-5-21-1897119176-1576852872-1416124155-1003\...\Run: [Ilca] => C:\Users\szymek\AppData\Local\Temp\Ygzu\ilca.exe [652800 2010-01-15] (Dimagi) <===== ATTENTION
HKU\S-1-5-21-1897119176-1576852872-1416124155-1003\...\Run: [brxagggq] => C:\Users\szymek\brxagggq.exe
HKU\S-1-5-21-1897119176-1576852872-1416124155-1003\...\MountPoints2: {8e87fa62-13e7-11e3-93d0-0c6076dff9bf} - F:\LGAutoRun.exe
HKU\S-1-5-21-1897119176-1576852872-1416124155-1003\...\Winlogon: [Shell] explorer.exe,C:\Users\szymek\xvlof.exe <==== ATTENTION
AppInit_DLLs: C:\PROGRA~1\SupTab\SEARCH~1.DLL => C:\PROGRA~1\SupTab\SEARCH~1.DLL File Not Found
HKLM\...\Run: [] => [X]
C:\Users\szymek\AppData\Local\Temp\Ygzu
C:\Users\szymek\AppData\Local\Temp\Vuyv
C:\TDSSKiller_Quarantine
C:\ProgramData\{01BD4FC9-2F86-4706-A62E-774BB7E9D308}
C:\ProgramData\IePluginServices
C:\Program Files\SmartTweak
C:\Users\szymek\AppData\Roaming\qone8
C:\Program Files\SupTab
C:\ProgramData\WPM
C:\Users\szymek\AppData\Local\Temp
Reboot:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

2. Do odinstalowania: WPM / Windows Live Toolbar / Winamp Toolbar / AVG Secure Search

3. Użyj >Dostępne tylko dla zarejestrowanych użytkowników (aby pobrać kliknij na dużą zieloną strzałkę po prawej).
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner[S1].txt

4. Uruchom Dostępne tylko dla zarejestrowanych użytkowników. Wciśnij dowolny klawisz i czekaj, aż skończy się operacja. (UWAGA: podczas pobierania, programy mogą wskazywać, że to jest zagrożenie, proszę to zignorować). Pokaż raport.

5. Wklej nowe logi z FRST.

6. Mam rozkmine jeżeli chodzi o to:

HKLM\...\Run: [Updatemonitor] => C:\Program Files\Updatemonitor\data\UpdateMonitor.exe [142336 2012-10-18] ()

Jakbyś pomógł - sprawdź co to jest. Masz laptopa Lenovo i jeden ze składników sterownika Lenovo ma samą taką nazwę - lecz tutaj brak podpisu cyfrowego. Zweryfikuj czy to od Lenovo czy to jakiś ,,przybłęda".

[piter488]

Adw-cleaner
Dostępne tylko dla zarejestrowanych użytkowników
FixLog
Dostępne tylko dla zarejestrowanych użytkowników
JRT
Dostępne tylko dla zarejestrowanych użytkowników
FRST
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
Pkt.6.
Nie mam pojęcia jak to sprawdzić

[djarta]

C:\Program Files\Updatemonitor\data\UpdateMonitor.exe
Ten plik poprostu sprawdź, uruchom go. Coś wyskakuje (?) Jakieś okienko / monit (?) .
Sprawdź też właściwości pliku, piszę coś we właściwościach => szczegóły? Możesz też spakować mi ten plik i gdzieś wrzucić na hosting, ew. cały folder C:\Program Files\Updatemonitor

[piter488]

Dostępne tylko dla zarejestrowanych użytkowników
Plik przy próbie uruchomienia(otwórz,admin) nie reaguje,

[djarta]

Nie wiem co sądzić o tym pliku.
Brak podpisu cyfrowego, rozmiar jest inny niż sterownik od Lenovo. Skanery uważają plik za czysty.
Lecz dam do usunięcia, jest on podejrzany.

1. Otwórz notatnik i wklej:

S2 vToolbarUpdater18.1.0; C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\18.1.0\ToolbarUpdater.exe [X]
S3 AVG Security Toolbar Service; C:\Program Files\AVG\AVG9\Toolbar\ToolbarBroker.exe [167264 2011-11-10] ()
FF Plugin: @microsoft.com/GENUINE - disabled No File
SearchScopes: HKLM - DefaultScope value is missing.
HKU\S-1-5-21-1897119176-1576852872-1416124155-1003\...\Run: [Zauco] => C:\Users\szymek\AppData\Local\Temp\Vuyv\zauco.exe <===== ATTENTION
HKLM\...\Run: [Updatemonitor] => C:\Program Files\Updatemonitor\data\UpdateMonitor.exe [142336 2012-10-18] ()
C:\Users\szymek\AppData\Local\Temp\Vuyv
C:\Program Files\Updatemonitor
C:\Users\szymek\AppData\Local\Temp
Reboot:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

2. Wykonaj nowe logi z FRST.

[piter488]

Fixlog
Dostępne tylko dla zarejestrowanych użytkowników
FRST
Dostępne tylko dla zarejestrowanych użytkowników
Tylko jeden log się pojawił ???

[djarta]

Skasowane pomyślnie i jest już czysto.

Kroki finalizujące:

1. W AdwCleaner wciśnij na Odinstaluj. W OTL wciśnij Sprzątanie.

2. Wykonaj wszystko z tego tematu: Kroki kończące temat.
Końcowo pokazujesz: raport z DelFix oraz raport z pełnego skanowania Malwarebytes.

[piter488]

DelFix
Dostępne tylko dla zarejestrowanych użytkowników

Malwarbytes nie był w stanie załadować sterownika anti-Rootkit kod błędu 20025.Czy chcesz kontynuować skan bez funkcji anti-rootkit?

Co to może znaczyć? próbowałem zainstalować kilka razy.

[djarta]

Hmm, kontynuuj skanowanie bez Anti-Rootkit.

[piter488]

Dziwne,
proces skanowania-ładowanie
Postęp skanowania niebieski pasek przelatuje z lewej na prawo
Zeskanowane obiekty -0
Chyba coś w tym programie nie działa.

Program działa próbowałem na innym lapku i jest OK.