Перейти к содержанию

Заражение предустановленного Windows


Рекомендуемые сообщения

Доброго дня.

Дочка привела подругу, у которой была проблема входа в интернет (не пускало вообще), а так как уменя уже была подобная оказия я согласился помочь. 

Согласно ответу компании Майкрософт  выполнил сброс параметров сетевого адаптера, маршрутов, очистке DNS и Winsock. проблема пропала, НО меня изначально  насторожило то что часть меню (когда кликаешь правой кнопкой мыши) и "всплывающие сообщения"  на "аброкатабре", проверил утилитой AVZ ,  в п. 1.1 выдало: 

Анализ kernel32.dll, таблица экспорта найдена в секции .rdata
Функция kernel32.dll:ReadConsoleInputExA (1094) перехвачена, метод ProcAddressHijack.GetProcAddress ->75AC297A->775BCC01
Перехватчик kernel32.dll:ReadConsoleInputExA (1094) нейтрализован
Функция kernel32.dll:ReadConsoleInputExW (1095) перехвачена, метод ProcAddressHijack.GetProcAddress ->75AC29AD->775BCC25
Перехватчик kernel32.dll:ReadConsoleInputExW (1095) нейтрализован
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:NtCreateFile (268) перехвачена, метод ProcAddressHijack.GetProcAddress ->779CD280->6D4AB775
Перехватчик ntdll.dll:NtCreateFile (268) нейтрализован
Функция ntdll.dll:NtSetInformationFile (549) перехвачена, метод ProcAddressHijack.GetProcAddress ->779CCFA0->6D4AB6F1
Перехватчик ntdll.dll:NtSetInformationFile (549) нейтрализован
Функция ntdll.dll:NtSetValueKey (580) перехвачена, метод ProcAddressHijack.GetProcAddress ->779CD330->6D4AC69D
Перехватчик ntdll.dll:NtSetValueKey (580) нейтрализован
Функция ntdll.dll:ZwCreateFile (1647) перехвачена, метод ProcAddressHijack.GetProcAddress ->779CD280->6D4AB775
Перехватчик ntdll.dll:ZwCreateFile (1647) нейтрализован
Функция ntdll.dll:ZwSetInformationFile (1926) перехвачена, метод ProcAddressHijack.GetProcAddress ->779CCFA0->6D4AB6F1
Перехватчик ntdll.dll:ZwSetInformationFile (1926) нейтрализован
Функция ntdll.dll:ZwSetValueKey (1957) перехвачена, метод ProcAddressHijack.GetProcAddress ->779CD330->6D4AC69D
Перехватчик ntdll.dll:ZwSetValueKey (1957) нейтрализован
 Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:CallNextHookEx (1531) перехвачена, метод ProcAddressHijack.GetProcAddress ->7553779D->6D4AB6DB
Перехватчик user32.dll:CallNextHookEx (1531) нейтрализован
Функция user32.dll:SetWindowsHookExW (2303) перехвачена, метод ProcAddressHijack.GetProcAddress ->7554534B->6D4AC801
Перехватчик user32.dll:SetWindowsHookExW (2303) нейтрализован
 Переустановил предустановленную Windows 8.1 (полная переустановка) но проблема не пропала.
Проверял ноутбук следующими утилитами/программами: AVZ, Kaspersky Virus Removal Tool,  Dr.Web CureIt!, Avast Internet Security, Malwarebytes Anti-Malware, hitmanpro_x64, VIPRERescue...  результат  "нулевой" (((

CollectionLog-2016.07.07-23.36.zip

Ссылка на сообщение
Поделиться на другие сайты

1. Деинсталлируйте:

Host App Service
TuneUp Utilities 2014

2. Удалите осколки от McAfee  =>  http://support.kaspersky.ru/7157?_ga=1.43195232.4379107.1470563720

 

 

  •  
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.
  • Прикрепите отчет к своему следующему сообщению.
 
Подробнее читайте в этом руководстве.
 
Ссылка на сообщение
Поделиться на другие сайты

Деинсталлируйте:

Host App Service
TuneUp Utilities 2014.AVZ проверял ДО установки тун апа, но на всякий пожарный удалил.

"осколки" макафе вроде бы удалил.

Отчёт прилагаю.

AdwCleanerS2.txt

Ссылка на сообщение
Поделиться на другие сайты

Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора),  нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления.

Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.

Прикрепите отчет к своему следующему сообщению


Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.
Ссылка на сообщение
Поделиться на другие сайты
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на сообщение
Поделиться на другие сайты
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 



  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:



CreateRestorePoint:
CloseProcesses:
Filter: application/x-mfe-ipt - {3EF5086B-5478-4598-A054-786C45D75692} -  No File
CHR HKLM-x32\...\Chrome\Extension: [daanglpcpkjjlkhcbladppjphglbigam] - hxxps://clients2.google.com/service/update2/crx
S4 McAWFwk; c:\PROGRA~1\COMMON~1\mcafee\actwiz\mcawfwk.exe [X]
Task: {78F5713C-D284-4DD8-B155-4DAD9AC0BFEA} - System32\Tasks\FUB => C:\Program Files (x86)\Acer\Care Center\FUB.bat <==== ATTENTION
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\Services\McAfee SiteAdvisor Service]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\Services\McAPExe]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\Services\McAWFwk]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\Services\McNaiAnn]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\Services\McODS]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\Services\McOobeSv2]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\Services\mcpltsvc]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\Services\McProxy]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\Services\MSK80Service]
EmptyTemp:



  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!


  • Обратите внимание, что компьютер будет перезагружен.


  • Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму

 

 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • makes
      От makes
      Собственно сабж.
      Пишет нейтрализован, но при следующем сканировании та же картина. Прилагаю лог: 
      avz_log.txt
    • Niko182
      От Niko182
      Проверяю компьютер AVZ и сразу получаю такой кусок лога:
      1. Поиск RootKit и программ, перехватывающих функции API
      1.1 Поиск перехватчиков API, работающих в UserMode
       Анализ kernel32.dll, таблица экспорта найдена в секции .rdata
      Функция kernel32.dll:ReadConsoleInputExA (1132) перехвачена, метод ProcAddressHijack.GetProcAddress ->774DDAB8->75E8AC20
      Перехватчик kernel32.dll:ReadConsoleInputExA (1132) нейтрализован
      Функция kernel32.dll:ReadConsoleInputExW (1133) перехвачена, метод ProcAddressHijack.GetProcAddress ->774DDAEB->75E8AC50
      Перехватчик kernel32.dll:ReadConsoleInputExW (1133) нейтрализован
       Анализ ntdll.dll, таблица экспорта найдена в секции .text
      Функция ntdll.dll:NtCreateFile (295) перехвачена, метод ProcAddressHijack.GetProcAddress ->77831B70->74971480
      Перехватчик ntdll.dll:NtCreateFile (295) нейтрализован
      Функция ntdll.dll:NtSetInformationFile (598) перехвачена, метод ProcAddressHijack.GetProcAddress ->77831890->749715E0
      Перехватчик ntdll.dll:NtSetInformationFile (598) нейтрализован
      Функция ntdll.dll:NtSetValueKey (630) перехвачена, метод ProcAddressHijack.GetProcAddress ->77831C20->74971650
      Перехватчик ntdll.dll:NtSetValueKey (630) нейтрализован
      Функция ntdll.dll:ZwCreateFile (1837) перехвачена, метод ProcAddressHijack.GetProcAddress ->77831B70->74971480
      Перехватчик ntdll.dll:ZwCreateFile (1837) нейтрализован
      Функция ntdll.dll:ZwSetInformationFile (2138) перехвачена, метод ProcAddressHijack.GetProcAddress ->77831890->749715E0
      Перехватчик ntdll.dll:ZwSetInformationFile (2138) нейтрализован
      Функция ntdll.dll:ZwSetValueKey (2170) перехвачена, метод ProcAddressHijack.GetProcAddress ->77831C20->74971650
      Перехватчик ntdll.dll:ZwSetValueKey (2170) нейтрализован
       Анализ user32.dll, таблица экспорта найдена в секции .text
      Функция user32.dll:CallNextHookEx (1536) перехвачена, метод ProcAddressHijack.GetProcAddress ->776494F0->74971370
      Перехватчик user32.dll:CallNextHookEx (1536) нейтрализован
      Функция user32.dll:SetWindowsHookExW (2399) перехвачена, метод ProcAddressHijack.GetProcAddress ->7764E780->749716C0
      Перехватчик user32.dll:SetWindowsHookExW (2399) нейтрализован
      Функция user32.dll:Wow64Transition (1504) перехвачена, метод CodeHijack (метод не определен)
       >>> Код руткита в функции Wow64Transition - ошибка стандартной нейтрализации (невозможно изменить область памяти, возможно противодействие со стороны руткита)
       
      Стоит ли волноваться?
×
×
  • Создать...