problem Rootkit.TDSS.v3

Post21 mar 2012, 18:25

Witam mam program pc tool internet security ktory nieustannie pokazuje tego wirusa restartuje scanuje i od nowa to samo przesle rapotrt z programu TDSS Killer Kaspersky i prosze o pomoc w rozwiazaniu problemu gdzie jest ten nieszczesny wirus.
Z gory dziekuje. Pozdrawiam.

TDSSKiller: Dostępne tylko dla zarejestrowanych użytkowników

Post21 mar 2012, 18:35

Daj log z OTL.

Post21 mar 2012, 22:14

A teraz proszę o pomoc.
P.S. próbowałem tez zrobić format, płyta jest ok ale czegoś nie czyta. Tak pokazuje i nie wiem co robić. Nowy os zbyt drogi na linuksie się nie znam a "illegal" raczej odpada. raczej.

Post21 mar 2012, 22:15

Nie wiem czy widzisz ale piszesz tak chaotycznie, że nawet jak poprawiłem pisownię to nadal nie wiem co chcesz zrobić i co się dzieje. Przykładowo, pokazuje coś ale co pokazuje?

Post21 mar 2012, 22:27

hm w tym momencie mam problem z rootkit wymieniony w tytule.
Program pc tool internet security pokazuje go za kazdym razem usowa i od nowa za pisownie przpraszam

-- 21 mar 2012, 22:27 --

drugi temat to format ale chciałbym wpierw rozwiazac ten problem.
Pozniej będe sie martwił dalej, tak wiec jest szansa czy nie? ;/

Post21 mar 2012, 23:14

No to jak rootkit to najpierw zrób co mówił djarta, czyli log z OTL. Wszystko jest tutaj-> http://www.hotfix.pl/obsluga-programu-otl-a143.htm

Post22 mar 2012, 05:20

TDSS rootkit removing tool 2.4.1.3 Aug 27 2010 08:53:42

A przede wszystkim usuń tę starożytną wersję TDSSKiller, i pobierz najnowszą wersję, bo ta dawna wersja nie wykrywa nowszych wersji tego Rootkita.
Na Forum niestety jest link tylko do starej wersji TDSSKiller, więc podam Ci swój:
>Dostępne tylko dla zarejestrowanych użytkowników
Zrób log i pokaż go tu.

F.

Post22 mar 2012, 06:29

Aha spoko wlasnie skanuje

Post22 mar 2012, 06:44

Na Forum niestety jest link tylko do starej wersji TDSSKiller, więc podam Ci swój:
>http://www.mediafire.com/?6zdptanwgxz0zic

Przy okazji zmieniłem w tym artykule. Dzięki.

Post22 mar 2012, 16:46

OTL.txt : Dostępne tylko dla zarejestrowanych użytkowników
Extras.txt: Dostępne tylko dla zarejestrowanych użytkowników

Post22 mar 2012, 18:03

"{18455581-E099-4BA8-BC6B-F34B2F06600C}" = Google Toolbar for Internet Explorer
"Browser Defender_is1" = Browser Defender 4.0
"NCH_EN Toolbar" = NCH EN Toolbar
"{C634C1E3-53CF-4D8E-9FF6-4006CBB0F630}" = Outlook 2010 Toolbar
"uTorrent Turbo Accelerator" = uTorrent Turbo Accelerator
"System Explorer_is1" = System Explorer 3.8.5
"Registry Mechanic_is1" = Registry Mechanic 10.0
"Sophos-AntiRootkit" = Sophos Anti-Rootkit 1.5.20
"SpywareBlaster_is1" = SpywareBlaster 4.6
"uTorrentBar Toolbar" = uTorrentBar Toolbar
"Wise Disk Cleaner_is1" = Wise Disk Cleaner 6.32
"Wise Registry Cleaner_is1" = Wise Registry Cleaner 6.21
"WorkStationOPtimizer" = WorkStationOPtimizer

To zbędne oprogramowanie. Google Toolbar, NCH EN Toolbar, Outlock Toolbar i uTorrentBar Toolbar to śmieci, Browser Defender to zbędnik, podobnie, jak ta reszta. Odinstaluj koniecznie to wszystko, oraz ewentualnie zbędne Ci oprogramowanie. Ponadto w logu widać jakieś ślady po Kaspersky`im, McAfee`im, AVG, Avast, Comodo, G-Data, F-Secure i Norton`ie, których działanie w komputerze zaburza jego pracę. Wyczyść komputer z nich poprzez użycie tego -> Dostępne tylko dla zarejestrowanych użytkowników, tego -> Dostępne tylko dla zarejestrowanych użytkowników, tego (AVG Remover) -> Dostępne tylko dla zarejestrowanych użytkowników, tego -> Dostępne tylko dla zarejestrowanych użytkowników, tego -> Dostępne tylko dla zarejestrowanych użytkowników, tego -> Dostępne tylko dla zarejestrowanych użytkowników i tego -> Dostępne tylko dla zarejestrowanych użytkowników.

O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [BCSSync] C:\Program Files\Microsoft Office\Office14\BCSSync.exe (Microsoft Corporation)
O4 - HKLM..\Run: [DLA] C:\WINDOWS\system32\DLA\DLACTRLW.EXE (Sonic Solutions)
O4 - HKLM..\Run: [IntelZeroConfig] C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe (Intel Corporation)
O4 - HKLM..\Run: [SmoothView] C:\Program Files\Toshiba\TOSHIBA Zooming Utility\SmoothView.exe (TOSHIBA Corporation)
O4 - HKLM..\Run: [Tvs] C:\Program Files\Toshiba\Tvs\TvsTray.exe (TOSHIBA Corporation)
O4 - HKU\S-1-5-21-4216016003-3122416126-1531588767-1005..\Run: [DAEMON Tools Lite] C:\Program Files\DAEMON Tools Lite\DTLite.exe (DT Soft Ltd)
O4 - HKU\S-1-5-21-4216016003-3122416126-1531588767-1005..\Run: [Odkurzacz-MCD] C:\Program Files\Odkurzacz\odk_mcd.exe (Franmo Software)
O4 - HKU\S-1-5-21-4216016003-3122416126-1531588767-1005..\Run: [SystemExplorerAutoStart] C:\Program Files\System Explorer\SystemExplorer.exe (Mister Group)
O4 - HKU\S-1-5-21-4216016003-3122416126-1531588767-1005..\Run: [TOSCDSPD] C:\Program Files\Toshiba\TOSCDSPD\TOSCDSPD.exe (TOSHIBA)
O4 - Startup: C:\Documents and Settings\paul\Start Menu\Programs\Startup\VirtualExpander.lnk = C:\WINDOWS\system32\VirtualExpander\VirtualExpander.exe (Sony Corporation)

To zbędniki w autostarcie. Usunę je w poniższym skrypcie.

Logi

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

SRV - File not found [On_Demand | Stopped] -- C:\Program Files\McAfee Security Scan\3.0.250\McCHSvc.exe -- (McComponentHostService)
SRV - File not found [Auto | Stopped] -- c:\program files\common files\logitech\lvmvfm\LVPrcSrv.exe -- (LVPrcSrv)
SRV - File not found [Auto | Stopped] -- C:\Program Files\cFosSpeed\spd.exe -- (cFosSpeedS)
SRV - File not found [Auto | Stopped] -- C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2012\avp.exe -- (AVP)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\SYMREDRV.SYS -- (SYMREDRV)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\SYMNDIS.SYS -- (SYMNDIS)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\PROGRA~1\COMMON~1\SYMANT~1\SymcData\idsdefs\20050901.036\symidsco.sys -- (SYMIDSCO)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\SYMIDS.SYS -- (SYMIDS)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\SYMFW.SYS -- (SYMFW)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\SYMDNS.SYS -- (SYMDNS)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\8.tmp -- (MEMSWEEP2)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\LVPrcMon.sys -- (LVPrcMon)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\klim5.sys -- (klim5)
DRV - File not found [Kernel | On_Demand | Unknown] -- -- (amli8yfa)
DRV - [2011-11-08 15:52:50 | 000,952,192 | ---- | M] (cFos Software GmbH) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\cfosspeed.sys -- (cFosSpeed)
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src={referrer:source?}
IE - HKU\S-1-5-21-4216016003-3122416126-1531588767-1005\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników ... 1e101f6427
IE - HKU\S-1-5-21-4216016003-3122416126-1531588767-1005\..\URLSearchHook: {37483b40-c254-4a72-bda4-22ee90182c1e} - C:\Program Files\NCH_EN\prxtbNCH_.dll (Conduit Ltd.)
IE - HKU\S-1-5-21-4216016003-3122416126-1531588767-1005\..\URLSearchHook: {472734EA-242A-422b-ADF8-83D1E48CC825} - C:\Program Files\PC Tools\PC Tools Security\BDT\PCTBrowserDefender.dll (Threat Expert Ltd.)
IE - HKU\S-1-5-21-4216016003-3122416126-1531588767-1005\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - C:\Program Files\uTorrentBar\prxtbuTo0.dll (Conduit Ltd.)
IE - HKU\S-1-5-21-4216016003-3122416126-1531588767-1005\..\SearchScopes,DefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
IE - HKU\S-1-5-21-4216016003-3122416126-1531588767-1005\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src={referrer:source?}
IE - HKU\S-1-5-21-4216016003-3122416126-1531588767-1005\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&AF=111252&babsrc=SP_ss&mntrId=7c01149e000000000000001e101f6427
IE - HKU\S-1-5-21-4216016003-3122416126-1531588767-1005\..\SearchScopes\{5F3DF2FF-09EC-43E4-B564-E79294D77CDC}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8&rlz=1I7ADRA_enPL468
IE - HKU\S-1-5-21-4216016003-3122416126-1531588767-1005\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{sear
IE - HKU\S-1-5-21-4216016003-3122416126-1531588767-1005\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{1018AB66-A14E-4D72-AEB7-C91B47FD7B08}&mid=6eb1a1fe431c47d19777d15756fbbada-8bab22c3c7b86cb63d8cd85b1fe7d4f2d5d3f2f3&lang=pl&ds=AVG&pr=fr&d=2012-02-01 20:54:09&v=10.0.0.7&sap=dsp&q={searchTerms}
IE - HKU\S-1-5-21-4216016003-3122416126-1531588767-1005\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB9}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKU\S-1-5-21-4216016003-3122416126-1531588767-1005\..\SearchScopes\{FD521B31-84A1-43DC-A9D7-6663FD593EE7}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKU\S-1-5-21-4216016003-3122416126-1531588767-1005\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)"
FF - prefs.js..browser.search.defaultthis.engineName: "NCH EN Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2801948&SearchSource=3&q={searchTerms}"
FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"
FF - prefs.js..browser.startup.homepage: "http://search.conduit.com/?ctid=CT2801948&SearchSource=13"
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Documents and Settings\paul\Local Settings\Application Data\Google\Update\1.3.21.99\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Documents and Settings\paul\Local Settings\Application Data\Google\Update\1.3.21.99\npGoogleUpdate3.dll (Google Inc.)
[2011-12-29 21:07:18 | 000,000,000 | ---D | M] (uTorrentBar Community Toolbar) -- C:\Documents and Settings\paul\Application Data\Mozilla\Firefox\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}
[2012-02-28 12:57:56 | 000,000,915 | ---- | M] () -- C:\Documents and Settings\paul\Application Data\Mozilla\Firefox\Profiles\av0bizhv.default\searchplugins\conduit.xml
[2012-01-02 21:10:20 | 000,002,921 | ---- | M] () -- C:\Documents and Settings\paul\Application Data\Mozilla\Firefox\Profiles\av0bizhv.default\searchplugins\daemon-search.xml
[2012-02-01 20:53:46 | 000,003,747 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\avg-secure-search.xml
[2012-03-07 19:25:55 | 000,002,310 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml
O2 - BHO: (no name) - {E33CF602-D945-461A-83F0-819F76A199F8} - No CLSID value found.
O3 - HKU\S-1-5-21-4216016003-3122416126-1531588767-1005\..\Toolbar\WebBrowser: (no name) - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No CLSID value found.
O3 - HKU\S-1-5-21-4216016003-3122416126-1531588767-1005\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O3 - HKU\S-1-5-21-4216016003-3122416126-1531588767-1005\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O8 - Extra context menu item: &MSN Search - res://C:\Program Files\MSN Toolbar Suite\msntb.dll/search.htm File not found
O9 - Extra Button: &Virtual Keyboard - {4248FE82-7FCB-46AC-B270-339F08212110} - Reg Error: Key error. File not found
O9 - Extra Button: URLs c&heck - {CCF151D8-D089-449F-A5A4-D9909053F20F} - Reg Error: Key error. File not found
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} Dostępne tylko dla zarejestrowanych użytkowników ... 4594597734 (WUWebControl Class)
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} Dostępne tylko dla zarejestrowanych użytkowników ... s-i586.cab (Java Plug-in 1.5.0_06)
@Alternate Data Stream - 225 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:DFC5A2B2
@Alternate Data Stream - 199 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:D1B5B4F1
@Alternate Data Stream - 127 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:430C6D84
@Alternate Data Stream - 105 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:5C321E34

:Files
C:\Program Files\Google\Update
C:\Documents and Settings\paul\Local Settings\Application Data\Google\Update
C:\TDSSKiller_Quarantine
C:\WINDOWS\System32\SAVRKBootTasks.sys
C:\Documents and Settings\All Users\Application Data\SystemExplorer
C:\Program Files\System Explorer
C:\Program Files\Sophos
C:\Program Files\Kaspersky Lab
C:\Program Files\cFosSpeed
C:\Program Files\McAfee Security Scan
C:\F-Secure BlackLight
C:\Program Files\SpywareBlaster
C:\Documents and Settings\paul\Application Data\Registry Mechanic
C:\Program Files\Registry Mechanic
C:\Program Files\COMODO
C:\Program Files\WorkStationOPtimizer
C:\Documents and Settings\All Users\Application Data\{32364CEA-7855-4A3C-B674-53D8E9B97936}
C:\Documents and Settings\paul\Application Data\Wise Registry Cleaner
C:\Program Files\Wise Disk Cleaner
C:\Program Files\Wise Registry Cleaner
C:\Documents and Settings\All Users\Application Data\Simply Super Software
C:\Program Files\AVAST Software
C:\Documents and Settings\All Users\Application Data\AVAST Software
C:\Program Files\AVG
C:\Documents and Settings\All Users\Application Data\CPA_VA
C:\Documents and Settings\All Users\Documents\COMODO
C:\WINDOWS\System32\drivers\MiniIcpt.sys
C:\Documents and Settings\All Users\Application Data\G DATA
C:\Documents and Settings\LocalService\Application Data\McAfee
C:\Documents and Settings\All Users\Application Data\McAfee Security Scan
C:\Documents and Settings\All Users\Application Data\McAfee
C:\WINDOWS\tasks\*.job
C:\Documents and Settings\paul\Application Data\Microsoft\Internet Explorer\Quick Launch\System Explorer.lnk
C:\0_1.fil
C:\0_2.fil
C:\0_2.stat
C:\0_1.stat
C:\0.stat
C:\0.fil
C:\Documents and Settings\paul\Application Data\Microsoft\Internet Explorer\Quick Launch\Picasa 3.lnk
C:\Documents and Settings\paul\Application Data\Microsoft\Internet Explorer\Quick Launch\System Explorer.lnk
C:\Documents and Settings\paul\Start Menu\Programs\Startup\VirtualExpander.lnk

:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Alcmtr"=-
"BCSSync"=-
"DLA"=-
"IntelZeroConfig"=-
"SmoothView"=-
"Tvs"=-
[HKEY_USERS\S-1-5-21-4216016003-3122416126-1531588767-1005\Software\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Lite"=-
"Odkurzacz-MCD"=-
"TOSCDSPD"=-

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL.

Post22 mar 2012, 18:44

oki sprobuje po kolei i sie odezwe wielkie dzieki narazie za pomoc. ;-)

Post22 mar 2012, 18:52

wiktoria100705 pisze:oki sprobuje po kolei i sie odezwe wielkie dzieki narazie za pomoc.

OK

. Postaraj się to wykonać dokładnie, gdyż, jak widzisz jest tu masę roboty, a im dokładniej będziesz wykonywała polecenia, tym szybciej to skończymy.

Post22 mar 2012, 18:57

ok wlasnie zaczynam w razie problemow bede pisał

Post23 mar 2012, 06:55

@kominekl

C:\Documents and Settings\paul\Application Data\Registry Mechanic
C:\Program Files\Registry Mechanic
C:\Program Files\COMODO
C:\Program Files\WorkStationOPtimizer
C:\Documents and Settings\All Users\Application Data\{32364CEA-7855-4A3C-B674-53D8E9B97936}
C:\Documents and Settings\paul\Application Data\Wise Registry Cleaner
C:\Program Files\Wise Disk Cleaner
C:\Program Files\Wise Registry Cleaner
C:\Documents and Settings\All Users\Application Data\Simply Super Software

Dlaczego dajesz do usuwania prawidłowe, legalne i dobre programy?

Ja też używam "Wise Registry Cleaner" i "Wise Disk Cleaner", i bardzo sobie chwalę te programy.

=======================================================================================

@wiktoria100705
Użyłeś nowego TDSSKiller, ale nie dałeś ani logu z tego, ani nie napisałeś, czy wykrył tego tytułowego TDSS ?

F.