Tdsskiller znalazł rootkita co dalej?

[marcin0060]

To moje logi z programu tdsskiller avast co chwile wykrywa wirusy z adresow url kiedys juz mialem problem z tymi rootkitami. Proszę o pomoc
Avast wyswietla cos w tym stylu co kilka minut
Szczegóły infekcji
URL:

Kod: Zaznacz cały

http://abserver10.in******40/index.php

Proces: C:\WINDOWS\system32\svchost.exe
Infekcja: URL:Mal
To logi tdsskillera
Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

11:58:02.0671 2828 \Device\Harddisk0\DR0 ( Rootkit.Boot.Wistler.a ) - User select action: Cure Restore
11:58:04.0093 2828 \Device\Harddisk1\DR1 ( Rootkit.Boot.Wistler.a ) - User select action: Cure Restore

Wskazują ewidentnie na infekcję typu Wistler, która zresztą została prawdopodobnie wyleczona. Rozegramy to punktowo.

1. Usuń wszystkie punkty przywracania -> http://www.hotfix.pl/odchudzanie-system ... tm#restore.
2. Zastosuj Combofix -> http://www.hotfix.pl/articles.php?article_id=41. Przedstaw raport z Niego.
3. Zastosuj ponownie TDSSKiller -> http://www.hotfix.pl/instrukcja-obslugi ... r-a341.htm. Z niego również przedstaw raport.
4. Podaj logi z OTL -> http://hotfix.pl/articles.php?article_id=143.

[marcin0060]

Punkty przywracania usunięte
Dostępne tylko dla zarejestrowanych użytkowników To logi z combofixa
Dostępne tylko dla zarejestrowanych użytkowników tdsskiller
Dostępne tylko dla zarejestrowanych użytkowników OTL
Dostępne tylko dla zarejestrowanych użytkowników Extras

[kominekl]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ALLUpdate"="d:\program files\ALLPlayer\ALLPlayer\ALLUpdate.exe" [2011-08-16 1379840]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2008-12-29 687560]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="c:\windows\ehome\ehtray.exe" [2005-08-05 64512]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-06-15 6803456]
"nwiz"="nwiz.exe" [2005-06-15 1519616]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2005-06-15 86016]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2008-03-25 49152]
"NBKeyScan"="d:\program files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2008-06-08 2221352]
"NeroFilterCheck"="c:\program files\Common Files\Nero\Lib\NeroCheck.exe" [2008-06-19 570664]
"hpqSRMon"="c:\program files\HP\Digital Imaging\bin\hpqSRMon.exe" [2008-03-13 81920]
"UVS11 Preload"="g:\program files\Ulead Systems\Ulead VideoStudio 11\uvPL.exe" [2007-09-12 340136]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-05-14 248552]
"Monitor"="c:\windows\PixArt\PAC207\Monitor.exe" [2006-11-03 319488]
"SoundMan"="SOUNDMAN.EXE" [2006-08-02 577536]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-01-03 37296]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-02 843712]
"WinampAgent"="c:\program files\Winamp\winampa.exe" [2011-10-26 74752]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
c:\documents and settings\All Users\Start Menu\Programs\Startup\
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2008-3-25 214360]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AvaFind]
2004-01-06 04:57 660992 ------w- c:\program files\AvaFind\AvaFind.exe
S2 gupdate;Usługa Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2011-04-24 136176]
S3 gupdatem;Usługa Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [2011-04-24 136176]

To wszystko zbędniki w autostarcie. Wejdź w START -> URUCHOM -> Msconfig -> Usługi -> odznacz usługę -> NVIDIA Display Driver Service. Resztę usunę poniższym skryptem.

"Akamai" = Akamai NetSession Interface
"DAEMON Tools Toolbar" = DAEMON Tools Toolbar
"AlcoholAutomount"="d:\program files\Alcohol Soft\Alcohol 120\axcmd.exe" [2009-04-24 203928]
DRV - [2005-12-12 21:12:01 | 000,049,664 | ---- | M] (Protection Technology) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\sfsync04.sys -- (sfsync04) StarForce Protection Synchronization Driver (version 4.x)
DRV - [2005-08-10 14:44:04 | 000,050,688 | ---- | M] (Protection Technology) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\sfdrv01.sys -- (sfdrv01) StarForce Protection Environment Driver (version 1.x)
DRV - [2005-05-16 15:20:39 | 000,006,656 | ---- | M] (Protection Technology) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\sfhlp02.sys -- (sfhlp02) StarForce Protection Helper Driver (version 2.x)

To zbędne oprogramowanie. Akamai NetSession Interface zupełnie niepotrzebny, DAEMON Tools Toolbar to śmieciowy pasek narzędzi, a Alcohol 120% jest zbedny, ponieważ posiadasz Daemon`a. Odinstaluj te programy. Ponadto widnieją tu sterowniki po starej zaporze StarForce. Koniecznie należy je odinstalować. W tym celu pobierz -> Dostępne tylko dla zarejestrowanych użytkowników -> wypakuj -> uruchom plik sfdrvrem.exe.

C:\WINDOWS\ERDNT
C:\Qoobox
C:\WINDOWS\SWREG.exe
C:\WINDOWS\SWSC.exe
C:\WINDOWS\SWXCACLS.exe
C:\WINDOWS\NIRCMD.exe
C:\Documents and Settings\Slawomir\Desktop\ComboFix.exe

Odinstalujemy Combofix`a. W tym celu wejdź w START -> URUCHOM -> i wpisz tam -> C:\Documents and Settings\Slawomir\Desktop\ComboFix.exe /uninstall.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\PCAMPR5.SYS -- (PCAMPR5)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\mbamswissarmy.sys -- (MBAMSwissArmy)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Slawomir\LOCALS~1\Temp\catchme.sys -- (catchme)
DRV - File not found [Kernel | On_Demand | Unknown] -- -- (abun8s14)
DRV - File not found [Kernel | On_Demand | Unknown] -- -- (a5ruhvoc)
IE - HKU\S-1-5-21-1220945662-484763869-725345543-1003\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&locale=&apn_ptnrs=^A45&apn_dtid=^YYYYYY^YY^PL&apn_uid=90800324-1602-4e30-825b-b26d66acb4ea&apn_sauid=E715AEAB-7971-4B3F-A918-8B806BAE8DCB&atb=sysid%3D406%3Aappid%3D102%3Auc
IE - HKU\S-1-5-21-1220945662-484763869-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = 127.0.0.1:9421;<local>
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)
[2011-01-10 21:38:22 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Documents and Settings\Slawomir\Application Data\Mozilla\Firefox\Profiles\owx1mydb.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2009-02-17 16:12:54 | 000,000,523 | ---- | M] () -- C:\Documents and Settings\Slawomir\Application Data\Mozilla\Firefox\Profiles\owx1mydb.default\searchplugins\daemon-search.xml
O2 - BHO: (AC-Pro) - {0FB6A909-6086-458F-BD92-1F8EE10042A0} - C:\Program Files\AutocompletePro\AutocompletePro.dll File not found
O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found.
O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} Dostępne tylko dla zarejestrowanych użytkowników (Reg Error: Key error.)
O16 - DPF: {361E6B79-4A69-4376-B0F2-3D1EBEE9D7E2} Dostępne tylko dla zarejestrowanych użytkowników (RtspVaPgCtrl Class)
O16 - DPF: {CAFEEFAC-0014-0000-0003-ABCDEFFEDCBA} Dostępne tylko dla zarejestrowanych użytkowników (Reg Error: Key error.)

:Services
gupdate
gupdatem

:Files
C:\DOCUME~1\Slawomir\LOCALS~1\Temp
C:\Program Files\Google\Update
RECYCLER /alldrives
C:\TDSSKiller_Quarantine
C:\WINDOWS\tasks\*.job
C:\WINDOWS\tasks\SA.DAT
c:\documents and settings\All Users\Start Menu\Programs\Startup\HP Digital Imaging Monitor.lnk
C:\Documents and Settings\Slawomir\Application Data\909FD7.dat
C:\Documents and Settings\All Users\Application Data\qjaxlkio.dss
C:\Documents and Settings\Slawomir\Application Data\xf2dridqyameovtfxsmhe3ytbbtvxeyg2

:Reg
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ALLUpdate"=-
"DAEMON Tools Lite"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"=-
"NvCplDaemon"=-
"nwiz"=-
"NvMediaCenter"=-
"HP Software Update"=-
"NBKeyScan"=-
"NeroFilterCheck"=-
"hpqSRMon"=-
"UVS11 Preload"=-
"SunJavaUpdateSched"=-
"Monitor"=-
"SoundMan"=-
"Adobe Reader Speed Launcher"=-
"Adobe ARM"=-
"WinampAgent"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AvaFind]
[-HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
[-HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL.

======================================================================================================

Przeprowadziłem edycję w celu dodania poprawnej instrukcji deinstalacji Combofix`a.

[marcin0060]

Log z usuwania
Dostępne tylko dla zarejestrowanych użytkowników

Dostępne tylko dla zarejestrowanych użytkowników OTL
Dostępne tylko dla zarejestrowanych użytkowników Extras
Coś jest nie tak przy usuwaniu ComboFix wyskakuje komunikat ze System windows nie może odnaleźć pliku C:\Documents..

[djarta]

Coś jest nie tak przy usuwaniu ComboFix wyskakuje komunikat ze System windows nie może odnaleźć pliku C:\Documents..

Bo jest pomyłka w komendzie deinstalacyjnej.

1. Start > uruchom > wklej komendę:

"c:\documents and settings\Slawomir\Desktop\ComboFix.exe" /uninstall

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:OTL
O9 - Extra Button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe File not found
O4 - HKU\S-1-5-21-1220945662-484763869-725345543-1003..\Run: [Akamai NetSession Interface] "C:\Documents and Settings\Slawomir\Local Settings\Application Data\Akamai\netsession_win.exe" File not found
O3 - HKU\S-1-5-21-1220945662-484763869-725345543-1003\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.

:Files
C:\DOCUMENTS AND SETTINGS\SLAWOMIR\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\OWX1MYDB.DEFAULT\EXTENSIONS\{D10D0BF8-F5B5-C8B4-A8B2-2B9879E08C5D}.XPI
C:\DOCUMENTS AND SETTINGS\SLAWOMIR\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\OWX1MYDB.DEFAULT\EXTENSIONS\{EF4E370E-D9F0-4E00-B93E-A4F274CFDD5A}.XPI

Klik w Wykonaj Skrypt.

3. Podrzuć jeszcze raport z MBRCheck.

4.

Kod: Zaznacz cały

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: InstallVisualStyle = C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles (Microsoft)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: InstallTheme = C:\WINDOWS\Resources\Themes\Royale.theme ()


To jest już fabryczne od nowości czy sam instalowałeś?

[marcin0060]

Raport z MBRCheck
Dostępne tylko dla zarejestrowanych użytkowników

To z punktu 4 to sam nie wiem, możesz mi rozjaśnić co to takiego? Wstyd się przyznać ale mój komputer to spory śmietnik niestety

[djarta]

Sprawdziłem je i wyglądają na Ok.
MBR też jest czysty.

[marcin0060]

To super dziękuje bardzo za fachową pomoc.

[kominekl]

To super dziękuje bardzo za fachową pomoc.

Przedstaw jeszcze nowe logi.

"{D0C73318-7B4A-4D16-A0C4-3B83F075EA88}" = Search Settings 1.2

Odinstaluj.

Internet Explorer (Version = 6.0.2900.5512)

Zaktualizuj do najnowszej wersji -> Dostępne tylko dla zarejestrowanych użytkowników.

"{26A24AE4-039D-4CA4-87B4-2F83216018FF}" = Java(TM) 6 Update 23
"{AC1E4C93-C1E7-11D6-9D10-00010240CE95}" = Java 2 Runtime Environment, SE v1.4.0_03

Odinstaluj i zainstaluj najnowszą wersję -> Dostępne tylko dla zarejestrowanych użytkowników.

"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.0 - Polish

Odinstaluj i zainstaluj najnowszą wersję -> http://www.hotfix.pl/infusions/pro_down ... r-p515.htm.

"KLiteCodecPack_is1" = K-Lite Codec Pack 6.9.0 (Full)

Odinstaluj i zainstaluj najnowszą wersję -> http://www.hotfix.pl/infusions/pro_down ... k-p155.htm.

"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.2

Odinstaluj i zainstaluj najnowszą wersję -> http://www.hotfix.pl/infusions/pro_down ... e-p147.htm.

Kroki Finalizujące.

Przeczyść dysk i rejestr CCleaner`em -> http://www.hotfix.pl/infusions/pro_down ... r-p158.htm.
Wykonaj pełne skanowanie Malwarebytes`em Anti-Malware (nie gódź się na wersję testową) -> http://www.hotfix.pl/infusions/pro_down ... e-p164.htm, jeśli coś znajdzie usuń i daj raport.