Eset hlási trojan v MBR

[milosmio]

Dobrý deň.
Chcel by som požiadať o pomoc. Eset smart security my hlási že našiel Trojan: MBR sektor 0. fyzického disku - Win32/KillMBR.NBQ trójsky kôň - nemožno liečiť. Cez nabootovanú inštalačku Win 10 a recovery console som sa pokúsil obnoviť mbr sektor (bootrec /fixMbr), ale eset stále aj tak hlási Trojan. Skúšal som ešte aj program aswMBR.

Log z FRST prikladám v prílohe, lebo text prekračuje maximálny počet znakov.
Ďakujem za pomoc

[Rudy]

Zdravím!
Zkuste na to pustit MBAR:

Stáhněte Malwarebytes Anti-Rootkit http://www.malwarebytes.org/products/mbar/

Uložte nejlépe na Plochu a rozbalte
Spusťte kliknutím na mbar
Nyní postupně klikněte na Next a Update
Po dokončení update (aktualizace) databáze klikněte opět na Next
Nechte zaškrtnute všechny tři možnosti a kliněte na Scan čímž spustíte prohledavani PC
Po dokončeni skenu (cca 5 minutek) zkontrolujte, zda-li je u všech nalezů (samozrejme pokud budou) zatržítko
Tež zkontrolujte, jestli je zatržitko u Create Restore point
Nyní klikněte na CleanUp čímž nalezenou infekci odstraníme
PC bude restartován
Složka mbar by měla obsahovat log (a zřejmě se i sám otevře) mbar-log-rok-měsíc-den (hodina-minuta-sekunda).txt, ten mi sem dejte.

[milosmio]

Posielam log, pravdepodobne je to tento:
Malwarebytes Anti-Rootkit BETA 1.9.3.1001
www.malwarebytes.org

Database version:
main: v2016.11.24.10
rootkit: v2016.11.20.01

Windows 10 x64 NTFS
Internet Explorer 11.447.14393.0
MIO :: MIO [administrator]

24.11.2016 21:29:04
mbar-log-2016-11-24 (21-29-04).txt

Scan type: Quick scan
Scan options enabled: Anti-Rootkit | Drivers | MBR | Physical Sectors | Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken
Scan options disabled:
Objects scanned: 341444
Time elapsed: 7 minute(s), 5 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

Physical Sectors Detected: 0
(No malicious items detected)

(end)

[Rudy]

Podle tohoto tam nic není a byl zapnut sken MBR. Divné. Takže ještě zkuste GMER: http://www.gmer.net/ a dejte log.

[milosmio]

Posielam log z GMER:
GMER 2.2.19882 - http://www.gmer.net
Rootkit scan 2016-11-24 21:54:48
Windows 6.2.9200 x64 \Device\Harddisk1\DR1 -> \Device\00000038 Samsung_SSD_840_PRO_Series rev.DXM06B0Q 238,47GB
Running: eexvetsp.exe; Driver: R:\TEMP\pxldypob.sys


---- User code sections - GMER 2.2 ----

? C:\WINDOWS\SYSTEM32\dbgcore.DLL [2240] entry point in ".rdata" section 00000000714bc940
? C:\WINDOWS\system32\apphelp.dll [2240] entry point in ".rdata" section 000000006fc0f7c0
? C:\WINDOWS\SYSTEM32\iertutil.dll [2240] entry point in ".rdata" section 000000006f861590
? C:\WINDOWS\system32\wbem\wbemsvc.dll [2496] entry point in ".rdata" section 00000000714d8fc0
? C:\WINDOWS\SYSTEM32\NTASN1.dll [4048] entry point in ".rdata" section 000000006f3fa020
? C:\WINDOWS\system32\ncryptsslp.dll [4048] entry point in ".rdata" section 000000006f3d04f0
? C:\WINDOWS\SYSTEM32\iertutil.dll [6420] entry point in ".rdata" section 000000006f861590
? C:\WINDOWS\system32\apphelp.dll [6420] entry point in ".rdata" section 000000006fc0f7c0
? C:\WINDOWS\SYSTEM32\iertutil.dll [6432] entry point in ".rdata" section 000000006f861590
? C:\WINDOWS\system32\apphelp.dll [7144] entry point in ".rdata" section 000000006fc0f7c0
? C:\WINDOWS\SYSTEM32\iertutil.dll [6624] entry point in ".rdata" section 000000006f861590
? C:\WINDOWS\system32\apphelp.dll [5636] entry point in ".rdata" section 000000006fc0f7c0
? C:\WINDOWS\SYSTEM32\iertutil.dll [5636] entry point in ".rdata" section 000000006f861590
? C:\WINDOWS\SYSTEM32\atlthunk.dll [5636] entry point in ".data" section 0000000066c74290
? C:\Windows\System32\ActXPrxy.dll [5636] entry point in ".rdata" section 0000000061f39b80
? C:\WINDOWS\system32\apphelp.dll [6560] entry point in ".rdata" section 000000006fc0f7c0
? C:\WINDOWS\SYSTEM32\iertutil.dll [6560] entry point in ".rdata" section 000000006f861590
? C:\WINDOWS\system32\apphelp.dll [7124] entry point in ".rdata" section 000000006fc0f7c0
? C:\WINDOWS\SYSTEM32\iertutil.dll [7124] entry point in ".rdata" section 000000006f861590
? C:\WINDOWS\system32\apphelp.dll [6364] entry point in ".rdata" section 000000006fc0f7c0
? C:\WINDOWS\SYSTEM32\iertutil.dll [6364] entry point in ".rdata" section 000000006f861590
? C:\WINDOWS\system32\apphelp.dll [6492] entry point in ".rdata" section 000000006fc0f7c0
? C:\WINDOWS\SYSTEM32\iertutil.dll [6492] entry point in ".rdata" section 000000006f861590
? C:\WINDOWS\system32\apphelp.dll [6868] entry point in ".rdata" section 000000006fc0f7c0
? C:\WINDOWS\SYSTEM32\iertutil.dll [6868] entry point in ".rdata" section 000000006f861590
? C:\WINDOWS\SYSTEM32\d3d10.dll [8992] entry point in ".rdata" section 0000000063dc7910
? C:\WINDOWS\system32\wbem\wbemsvc.dll [8736] entry point in ".rdata" section 00000000714d8fc0
? C:\WINDOWS\SYSTEM32\iertutil.dll [8736] entry point in ".rdata" section 000000006f861590
? C:\WINDOWS\system32\apphelp.dll [6960] entry point in ".rdata" section 000000006fc0f7c0

---- User IAT/EAT - GMER 2.2 ----

IAT C:\WINDOWS\Explorer.EXE[4236] @ C:\WINDOWS\Explorer.EXE[USER32.dll!SetWindowCompositionAttribute] [5750080]
IAT C:\WINDOWS\Explorer.EXE[4236] @ C:\WINDOWS\Explorer.EXE[GDI32.dll!StretchDIBits] [5750020]
IAT C:\WINDOWS\Explorer.EXE[4236] @ C:\WINDOWS\Explorer.EXE[UxTheme.dll!DrawThemeTextEx] [5750040]
IAT C:\Program Files\Windows Sidebar\sidebar.exe[7564] @ C:\Program Files\Windows Sidebar\sidebar.exe[KERNEL32.dll!RegSetValueExW] [7ffd05d1c620] C:\Program Files\Windows Sidebar\dwmapi.dll
IAT C:\Program Files\Windows Sidebar\sidebar.exe[7564] @ C:\Program Files\Windows Sidebar\sidebar.exe[USER32.dll!TrackPopupMenu] [7ffd05d1c490] C:\Program Files\Windows Sidebar\dwmapi.dll
IAT C:\Program Files\Windows Sidebar\sidebar.exe[7564] @ C:\Program Files\Windows Sidebar\sidebar.exe[dwmapi.dll!DwmUpdateThumbnailProperties] [7ffd05d14410] C:\Program Files\Windows Sidebar\dwmapi.dll
IAT C:\Program Files\Windows Sidebar\sidebar.exe[7564] @ C:\Program Files\Windows Sidebar\sidebar.exe[dwmapi.dll!DwmSetWindowAttribute] [7ffd05d14380] C:\Program Files\Windows Sidebar\dwmapi.dll

---- Threads - GMER 2.2 ----

Thread C:\WINDOWS\system32\csrss.exe [680:804] fffffd5b807a6c20
Thread C:\WINDOWS\Explorer.EXE [4236:6604] 00007ffd157220e0

---- Registry - GMER 2.2 ----

Reg HKLM\SYSTEM\CurrentControlSet\Control\CMF\SqmData@SystemStartTime 0x68 0xF1 0xE1 0x20 ...
Reg HKLM\SYSTEM\CurrentControlSet\Control\CMF\SqmData@SystemLastStartTime 0x47 0xE6 0x7B 0x6D ...
Reg HKLM\SYSTEM\CurrentControlSet\Control\CMF\SqmData@CMFStartTime 0x68 0xF1 0xE1 0x20 ...
Reg HKLM\SYSTEM\CurrentControlSet\Control\CMF\SqmData@CMFLastStartTime 0x47 0xE6 0x7B 0x6D ...
Reg HKLM\SYSTEM\CurrentControlSet\Control\CMF\SqmData\BootLanguages@sk-SK 342
Reg HKLM\SYSTEM\CurrentControlSet\Control\GraphicsDrivers\Configuration\ENC238479325053_16_07DD_7E^E7C69F889AD2FD511B457512923E66F3@Timestamp 0x70 0x5E 0xC3 0x21 ...
Reg HKLM\SYSTEM\CurrentControlSet\Control\Lsa@LsaPid 756
Reg HKLM\SYSTEM\CurrentControlSet\Control\Session Manager@PendingFileRenameOperations \??\R:\TEMP\_iu14D2N.tmp??\??\R:\TEMP\~nsuA.tmp\Au_.exe??\??\R:\TEMP\~nsuA.tmp??
Reg HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Executive@UuidSequenceNumber 3902241
Reg HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\kernel\RNG@RNGAuxiliarySeed -635731222
Reg HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters@BootId 346
Reg HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters@BaseTime 489953148
Reg HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Power@POSTTime 13051
Reg HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Power@FwPOSTTime 12285
Reg HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server@InstanceID 72ec0cf4-050f-4c50-a97c-f2ce158
Reg HKLM\SYSTEM\CurrentControlSet\Control\WMI\Autologger\WdiContextLog@FileCounter 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters\Probe\{e183c78c-c234-4173-bc0b-82ee9fa09460}@LastProbeTime 1480022831
Reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch@Epoch 5674
Reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch2@Epoch 708
Reg HKLM\SYSTEM\CurrentControlSet\Services\srvnet\Parameters@MajorSequence 341
Reg HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{57daafbb-e168-4a55-91b6-8e0e1a839053}@LeaseObtainedTime 1480019230
Reg HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{57daafbb-e168-4a55-91b6-8e0e1a839053}@T1 -667464419
Reg HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{57daafbb-e168-4a55-91b6-8e0e1a839053}@T2 2016890141
Reg HKLM\SYSTEM\CurrentControlSet\Services\W32Time\SecureTimeLimits@SecureTimeEstimated 0x71 0x4C 0x5E 0x88 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\W32Time\SecureTimeLimits@SecureTimeHigh 0x71 0xB4 0x22 0xEA ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\W32Time\SecureTimeLimits@SecureTimeLow 0x71 0xE4 0x99 0x26 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\Winmgmt\Parameters@ServiceDllUnloadOnStop 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\WmiApRpl\Performance@Object List 55300 55306 55316 55326 55346 55390 55400 55438 55444 55460
Reg HKLM\SYSTEM\CurrentControlSet\Services\WmiApRpl\Performance@Last Counter 55466
Reg HKLM\SYSTEM\CurrentControlSet\Services\WmiApRpl\Performance@Last Help 55467
Reg HKLM\SYSTEM\CurrentControlSet\Services\WmiApRpl\Performance@First Counter 55300
Reg HKLM\SYSTEM\CurrentControlSet\Services\WmiApRpl\Performance@First Help 55301
Reg HKLM\SYSTEM\Setup\Upgrade\NsiMigrationRoot\60\0@Rw 0x64 0x62 0x03 0x00 ...
Reg HKLM\SYSTEM\Setup\Upgrade\NsiMigrationRoot\60\0@RwMask 0x64 0x62 0x03 0x00 ...
Reg HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shutdown@CleanShutdown 1
Reg HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Search\RecentApps\{2AA0B3EE-143E-4EE9-9DD8-3C8BBC475495}@LastAccessedTime 0x50 0xE4 0x70 0x31 ...
Reg HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Search\RecentApps\{2AA0B3EE-143E-4EE9-9DD8-3C8BBC475495}@LaunchCount 3
Reg HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Search\RecentApps\{E3EDD374-7E19-4339-931A-D399ADEB7DD9}@LastAccessedTime 0xC0 0xE1 0x0E 0x49 ...
Reg HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Search\RecentApps\{E3EDD374-7E19-4339-931A-D399ADEB7DD9}@LaunchCount 4

---- EOF - GMER 2.2 ----

[Rudy]

Tak tomu moc nechápu. Ani GMER (jako druhý soft) nic nehlásí. Tak ještě do třetice. Udělejte sken AVPTool: http://www.viry.cz/forum/viewtopic.php?f=29&t=58179 a smažte, co najde.

[milosmio]

V AVPTool som zaškrtol všetky možnosti a výsledok je že nič nenašiel. Neviem sem dať log z tej novej verzie tak posielam ako prílohu printscreen. Ešte posielam aj printscreen z hlásením esetu.

[Rudy]

Halt budeme experimentovat. Vyzkoušejte tuto jednoúčelovou utilitu: https://translate.google.cz/translate?h ... rev=search .

[milosmio]

Nebude treba posielať preložené stránky cez translátor. Takéto podobné stránky ako táto som na internete našiel, ale radšej som tie nástroje nesťahoval. Aby som do počítača nezavliekol niečo ďalšie.

[Rudy]

Není jiná možnost, standardní utility pro tento účel nezabírají. Nepředpokládám, že by utilita od Nortona, byla něčím "cinknutá".

[milosmio]

Nainštaloval som SpyHunter4 z tej stránky a dal prehľadať počítač a našlo niečo, sú to tieto kľúče v registroch a ich pod podpriečinky:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\sgrunt.biz
HKEY_USERS\S-1-5-21-3167054919-4069758600-730885039-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\sgrunt.biz
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\otherchance.com
HKEY_USERS\S-1-5-21-3167054919-4069758600-730885039-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\otherchance.com
HKEY_CLASSES_ROOT\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\windows_ie_ac_001\Software\TotalPlus01-3.1V25.09

Opraviť sa záznamy bez registrácie a zaplatenia automaticky nedajú, tak som uvedené veci ručne zmazal a dal znova prehľadať počítač. Teraz už nič nenájde spyhunter, ale problém pretrváva.

[Rudy]

SpyHunter není na odstraňování trojáků. Ten je na spyware a to je úplně jiná kategorie šmejdů.

[milosmio]

Pozeral som ešte raz tú stránku, ale ja tam žiaden iný program nevidím a tam kde sa aj spomína slovíčko Norton tak je to aj tak odkaz na aplikáciu SpyHunter. Aplikáciu som radšej odinštaloval. Preto som sa radšej pýtal pred tím než som z tej stránky niečo stiahol, ale aj tak nepomohlo

[Rudy]

Ještě zkuste StopZillu: http://www.stahuj.centrum.cz/utility_a_ ... D=6.1.90.7 . Spusťte ji v nouz. režimu.

[milosmio]

Skúsil som tú Stopzillu a je to tiež pekne blbý program. Spustil som kontrolu v núdzovom režime a našlo len nejaké falošné veci a aj tak nič neopraví pokým si nekúpim licenciu.
V PC mám 3 disky, systémový SSD a dva normálne. Pomocou revosleep som vo windowse zastavil tie dva hdd okrem systémového a vtedy prestal Eset hlásiť trojan. Zistil som na ktorom sa trojan v sektoroch MBR nachádza a potom cez MiniTool Partition Wizard som dal rebuild MBR. Vyzerá že som tím problém odstránil. Keď som ešte na začiatku skúšal /fixMbr cez windows recovery consol tak sa síce prepísali mbr sektory ale len na systémovom disku a preto mi to problém s trojanom neodstránilo.