Landuss

Wykonaj jeszcze skan przez Kaspersky TDSSKiller. Jeśli coś znajdzie ustaw opcję Skip a tu wklej tylko raport. Spróbuj uruchomić ComboFix w trybie awaryjnym oraz sporządź nowe logi z OTL.

W takiej sytuacji proponuje wypalić na innym komputerze bootowalną płytke Kaspersky Rescue Disk i z jej poziomu wykonać skanowanie. Dokumenty tekstowe są bezpieczne.

W takim razie masz infekcję plików wykonywalnych Ramnit. To trudna do usunięcia infekcja. Na początek zacznij od całkowitego skanowania wszystkich dysków za pomocą Kaspersky Virus Removal Tool. Po skanowaniu zdaj raport co program zrobił i czy coś wyleczył lub usunął.

Czekamy na log z Gmer bo jest on istotny. Tylko w OTL widać że masz aktywną emulacje wirtualnych napędów: DRV - [2009-05-08 22:21:25 | 000,278,984 | ---- | M] () [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\atksgt.sys -- (atksgt) DRV - [2009-05-08 22:21:25 | 000,025,416 | ---- | M] () [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\lirsgt.sys -- (lirsgt) DRV - [2008-02-23 00:05:35 | 000,716,272 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd) Jak wiadomo aby poprawnie Gmera wykonać należy zdjąć emulację według opisu: KLIK Pod jaką nazwą jest wykrywana infekcja? Jakie to są pliki? Chodzi o rozszerzenie bo jeśli .exe to może być tu infekcja w plikach wykonywalnych. Na razie nie zadaje żadnych zaleceń dopóki nie uzupełnisz tych wszystkich informacji bo są istotne.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files autorun.inf /alldrives RECYCLER /alldrives Recycled /alldrives $Recycle.Bin /alldrives :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL i USBFix

I już się nie powinien pojawić bo rootkit został usunięty. Wykonaj poniższe czynności: 1. Użyj opcji Sprzątanie z OTL oraz odinstaluj zbędne toolbary - Google Toolbar / DAEMON Tools Toolbar 2. Wykonaj aktualizacje oprogramowania: "{26A24AE4-039D-4CA4-87B4-2F83216021FF}" = Java 6 Update 22 "{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.1 - Polish "Mozilla Firefox (3.6.15)" = Mozilla Firefox (3.6.15) Szczegóły aktualizacyjne tutaj: KLIK. 3. Wyzeruj stan przywracania systemu: KLIK 4. Pozmieniaj sobie wszystkie hasła na komputerze bo ta infekcja lubi je wykradać.

A jednak jest tu rootkit TDL4: 2011/03/26 21:32:34.0937 2568 \HardDisk0 - detected Rootkit.Win32.TDSS.tdl4 (0) 2011/03/26 21:32:34.0968 2568 ================================================================================ 2011/03/26 21:32:34.0968 2568 Scan finished 2011/03/26 21:32:34.0968 2568 ================================================================================ 2011/03/26 21:32:35.0000 1740 Detected object count: 2 2011/03/26 21:33:18.0953 1740 Locked file(sptd) - User select action: Skip 2011/03/26 21:33:18.0953 1740 Rootkit.Win32.TDSS.tdl4(\HardDisk0) - User select action: Skip Program wykrył też sptd a więc sterownik wirtualnych napędów. Uruchom ponownie skan i tym razem przydziel opcję Cure (leczenie) dla tdl4. Po wszystkim skanujesz ponownie i wklejasz nowy raport z Kasperskyego.

Infekcja pomyślnie usunięta i problemy powinny zniknąć. Możesz użyć opcji Sprzątanie z OTL i wyzerować stan przywracania systemu: KLIK

Nie widać żeby tu była jakaś infekcja, ale wykonaj skan narzędziem TDSSKiller. Gdyby coś znalazł wybierz opcję Skip i wklej tylko raport.

Tego się też spodziewałem, ale chciałem się upewnić. Gmer też jest czysty. Sprawdź czy problem występuje także na czystym rozruchu: KLIK Temat jedzie do innego działu.

W logu z Gmer rootkit TDL4: ---- Disk sectors - GMER 1.0.15 ---- Disk \Device\Harddisk1\DR1 TDL4@MBR code has been found <-- ROOTKIT !!! Disk \Device\Harddisk1\DR1 sector 00: rootkit-like behavior Uruchom narzędzie Kaspersky TDSSKiller i wybierz w nim opcję Cure (leczenie). Następnie wklej raport z Kasperskyego i nowy z Gmera.

Jest dobrze i logi są czyste. Wykonaj jednak obowiązkowe aktualizacje: 64bit- Home Premium Edition (Version = 6.1.7600) - Type = NTWorkstation Internet Explorer (Version = 8.0.7600.16385) "{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java 6 Update 20 "{AC76BA86-7AD7-1033-7B44-A93000000001}" = Adobe Reader 9.3 System należy uzupełnić o SP1+IE9, a pozostałe zaktualizować: KLIK.

Mimo wszystko kontrolnie prosiłbym cie o sporządzenie logów z OTL

Wygląda, że jest dobrze. Wykonaj na koniec poniższe czynności: 1. Usuń prawidłowo ComboFix poprzez Start > w polu szukania wpisz Uruchom > cmd i wklej "f:\pobrane z neta\ComboFix.exe" /uninstall 2. Usuń z dysku ten folder: C:\Users\Krzysiek\AppData\Roaming\wlduact 3. Wykonaj obowiązkowe aktualizacje: Ultimate Edition (Version = 6.1.7600) - Type = NTWorkstation Internet Explorer (Version = 8.0.7600.16385) "{AC76BA86-7AD7-1045-7B44-A81000000003}" = Adobe Reader 8.1.0 - Polish System uzupełnij o SP1+IE9, zaktualizuj Adobe Reader: KLIK.

Nie wkleiłeś loga z Gmer, zamiast tego dałeś dwa razy OTL. Popraw to aby była jasna sytuacja, choć raczej wątpię w infekcje bo logi na to nie wskazują. Możliwe, że temat zostanie przeniesiony do innego działu. Ewentualnie dorzuć jeszcze log z Kaspersky TDSSKiller

Sytuacja uległa znacznej poprawie, ale jeszcze jest troche szczątków na usuwanie. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.imesh.com/" FF - prefs.js..extensions.enabledItems: arcabit@www.arcabit.pl:3.5 [2011-02-26 12:18:17 | 000,000,000 | ---D | M] (ArcaBit Ext.) -- C:\Program Files\Mozilla Firefox\extensions\arcabit@www.arcabit.pl File not found (No name found) -- [2011-03-26 11:31:44 | 000,342,528 | ---- | C] (YVUPRGQQW) -- C:\Users\Krzysiek\AppData\Roaming\frsh.exe [2011-02-26 12:17:53 | 000,000,000 | ---D | C] -- C:\ProgramData\ArcaBit [2011-02-26 12:17:53 | 000,000,000 | ---D | C] -- C:\Program Files\ArcaBit [2011-03-25 16:52:16 | 000,674,304 | -H-- | C] () -- C:\Users\Krzysiek\AppData\Roaming\m9LJe.exe [2011-03-25 16:52:16 | 000,674,304 | -H-- | C] () -- C:\Users\Krzysiek\AppData\Roaming\kvdvk.exe [2011-03-25 16:51:00 | 000,284,160 | -H-- | C] () -- C:\Users\Krzysiek\AppData\Roaming\gzteg.exe [2011-03-25 22:04:16 | 000,000,250 | ---- | C] () -- C:\Users\Krzysiek\AppData\Roaming\IQ0PSVUR85JC :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL.

Tylko logi z OTL byly zrobione przed ComboFixem a powinno byc odwrotnie. ComboFix sporo pousuwał i teraz nie jest jasnym ile tam jeszcze zostało. Wykonaj jeszcze raz świeży log z OTL (otl.txt)

W porządku. Wykonaj poniższe zalecenia. 1. Usuń ręcznie z dysku ten plik: C:\WINDOWS\windate.exe 2. Użyj opcji Sprzątanie z OTL. 3. Zaktualizuj Firefox i Adobe Reader: KLIK. 4. Wyzeruj stan przywracania systemu: KLIK

Logi z OTL mają być dwa, brakuje extras.txt. Podczas skanu opcja Rejestr - skan dodatkowy ma byc zaznaczona na "Użyj filtrowania". Zabrakło też loga z GMER pod kątem rootkitów. Uzupełnij to wszystko w kolejnym poście. Teraz uruchom zgodnie z opisem ComboFix i wklej z niego log.

Według logów infekcja powraca nie wiadomo skąd i dlaczego. Fakt siedzisz na pruchnie IE 6 + tylko SP2 i to wymaga aktualizacji, ale to się powinno zrobić na końcu. 1. Użyj narzędzia WWDC i pozamykaj nim porty. 2. Uruchom w takim razie zgodnie z opisem ComboFix i wklej z niego log.

Błąd prawdopodobnie przez ten pusty już zapis: F3 - HKU\S-1-5-21-823518204-2139871995-839522115-1003 WinNT: Load - (c:\documents and settings\arczi\dane aplikacji\eli_321.exe) - File not found W takim razie utwórz ostatni juz mam nadzieje skrypt: :OTL F3 - HKU\S-1-5-21-823518204-2139871995-839522115-1003 WinNT: Load - (c:\documents and settings\arczi\dane aplikacji\eli_321.exe) - File not found [2011-03-25 18:59:55 | 000,087,040 | ---- | C] (Ykvbxip Software) -- C:\tmp.exe Nowy log do oceny.

Kolejny skrypt do OTL: :Processes killallprocesses :Files C:\Documents and Settings\Arczi\xvlof.exe :OTL O3 - HKU\S-1-5-21-823518204-2139871995-839522115-1003\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - HKLM..\Run: [Regedit32] File not found O4 - HKLM..\Run: [Windows UDP Control Center] C:\WINDOWS\winudpmgr.exe (Klsrwl Software) O4 - HKLM..\Run: [wuaucldt] C:\WINDOWS\system32\wuaucldt.exe () O4 - HKU\S-1-5-21-823518204-2139871995-839522115-1003..\Run: [Microsoft Security Essentials] C:\WINDOWS\winlogon_61.exe () O4 - HKU\S-1-5-21-823518204-2139871995-839522115-1003..\Run: [wuaucldt] c:\Documents and Settings\Arczi\wuaucldt.exe () F3 - HKU\S-1-5-21-823518204-2139871995-839522115-1003 WinNT: Load - (c:\documents and settings\arczi\dane aplikacji\eli_321.exe) - File not found O20 - HKLM Winlogon: TaskMan - (C:\Documents and Settings\Arczi\xvlof.exe) - C:\Documents and Settings\Arczi\xvlof.exe () :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "TaskMan"=- Robisz to co poprzednio i wklejasz nowe logi z OTL.

Infekcja pomyślnie usunięta. DO wykonania poniższe punkty: 1. Użyj opcji Sprzątanie z OTL. 2. Wykonaj obowiązkowe aktualizacje: 64bit- Home Premium Edition (Version = 6.1.7600) - Type = NTWorkstation Internet Explorer (Version = 8.0.7600.16385) "{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java 6 Update 22 "{AC76BA86-7AD7-1033-7B44-A90100000001}" = Adobe Reader 9.0.1 "Mozilla Firefox (3.6.16)" = Mozilla Firefox (3.6.16) System należy uzupełnić do statusu SP1 + IE9, a pozostałe programy zaktualizować: KLIK. 3. Wyzeruj stan przywracania systemu: KLIK

Infekcja została pomyślnie usunięta. Pytanie czy problemy minęły? Do wykonania poniższe czynności: 1. Użyj opcji Sprzątanie z OTL. 2. Zabezpiecz się przed infekcjami z mediów przenośnych przez Panda USB Vaccine 3. Masz mało miejsca wolnego na partycji systemowej i w dodatku system plików to stary FAT: Drive C: | 18,55 Gb Total Space | 1,66 Gb Free Space | 8,96% Space Free | Partition Type: FAT32 Przeanalizuj dysk za pomocą SpaceSniffer aby sprawdzić co ewentualnie można z tej partycji usunąć i co zajmuje najwięcej miejsca. Po uzyskaniu większej ilości miejsca wykonaj szybką konwersję FAT do NTFS Start > Uruchom > cmd i w linii komend wpisz polecenie convert C: /fs:ntfs Na pytanie o dezinstalację woluminu odpowiedz twierdząco. 4. Wykonaj aktualizacje Firefoxa i Adobe Rader: KLIK. 5. Na końcu wyzeruj stan przywracania systemu: KLIK

Cóż, tutaj zapewne chodzi o rootkita w MBR. Objawy na to wskazują. W takiej sytuacji najlepiej będzie po prostu nadpisać MBR. Jedynym minusem jest wtedy utrata fabrycznego MBR producenta. 1. Pobierz gotową płytkę WinRE w wersji 64-bit zgodnie z twoim systemem: KLIK 2. Zastartuj z tej płyty zgodnie z opisem, a w menu wybierz opcję Wiersz polecenia i wpisz komendę bootrec /fixmbr 3. Restart komputera.