Win32/TrojanDownloader.Mebload.AR (w pamięci operacyjnej)

[Manierisme]

Jak wyżej. Internetowy skaner ESET wykrywa w pamięci operacyjnej konia trojańskiego Win32/TrojanDownloader.Mebload.AR, którego nie można wyleczyć/usunąć. Na razie komputer nie stwarza większych problemów z wyjątkiem trochę wolniejszego działania.

Zwracam się z prośbą o pomoc (usunięcie wirusa).

W załączeniu zamieszczam logi:

OTL.txt- Dostępne tylko dla zarejestrowanych użytkowników

Extras.txt- Dostępne tylko dla zarejestrowanych użytkowników

Log.txt (RSIT)- Dostępne tylko dla zarejestrowanych użytkowników

Info.txt (RSIT)- Dostępne tylko dla zarejestrowanych użytkowników

MBRCheck.txt- Dostępne tylko dla zarejestrowanych użytkowników

TDSSKiller.txt- Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

11:34:22.0234 8260 Detected object count: 3
11:34:22.0234 8260 Actual detected object count: 3
11:34:49.0336 8260 C:\Windows\system32\srvany.exe - copied to quarantine
11:34:49.0338 8260 KMService ( UnsignedFile.Multi.Generic ) - User select action: Quarantine
11:34:49.0376 8260 C:\Program Files\TOSHIBA\SMARTLogService\TosIPCSrv.exe - copied to quarantine
11:34:49.0378 8260 TOSHIBA SMART Log Service ( UnsignedFile.Multi.Generic ) - User select action: Quarantine
11:34:49.0413 8260 C:\Program Files\Unlocker\UnlockerDriver5.sys - copied to quarantine
11:34:49.0415 8260 UnlockerDriver5 ( UnsignedFile.Multi.Generic ) - User select action: Quarantine
11:46:37.0067 8556 Deinitialize success

Wywaliłeś sobie crack do Office`a, część oprogramowanie Toshiba`y i Unlocker`a.

"ESET Online Scanner" = ESET Online Scanner v3
"InstallShield_{FEDD27A0-B306-45EF-BF58-B527406B42C8}" = TOSHIBA Value Added Package
"QuickStores-Toolbar_is1" = QuickStores-Toolbar 1.1.0

Odinstaluj to oprogramowanie.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

SRV - File not found [Auto | Stopped] -- C:\Windows\system32\HPZipm12.dll -- (Pml Driver HPZ12)
SRV - File not found [Auto | Stopped] -- C:\Windows\system32\HPZinw12.dll -- (Net Driver HPZ12)
SRV - File not found [Auto | Stopped] -- C:\Program Files\Common Files\Microsoft Shared\Virtualization Handler\CVHSVC.EXE -- (cvhsvc)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\tosrfusb.sys -- (Tosrfusb)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\tosrfsnd.sys -- (TosRfSnd)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\tosrfnds.sys -- (tosrfnds)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\Tosrfhid.sys -- (Tosrfhid)
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\tosrfcom.sys -- (Tosrfcom)
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\tosrfbnp.sys -- (tosrfbnp)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\tosrfbd.sys -- (tosrfbd)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\tosporte.sys -- (tosporte)
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKU\S-1-5-21-1709548550-2734509734-3820782006-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src=IE-SearchBox&FORM=IE8SRC
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} Dostępne tylko dla zarejestrowanych użytkowników (OnlineScanner Control)
[2012-05-22 12:32:20 | 015,263,592 | ---- | C] (Google Inc.) -- C:\Program Files\picasa39-setup.exe
[2012-05-21 17:45:26 | 018,376,624 | ---- | C] (Mooii) -- C:\Program Files\PhotoScape_V3.6.2(dobreprogramy.pl).exe
[2012-01-17 18:24:09 | 009,746,632 | ---- | C] (Glarysoft Ltd ) -- C:\Program Files\Glary Untilities.exe
[2012-01-17 11:37:47 | 005,515,632 | ---- | C] (Kamil Dzióbek ) -- C:\Users\Lidia\Setup_Dziobas_Rar_Player_0.009.37.exe
[2012-10-28 05:26:21 | 000,781,383 | ---- | M] () -- C:\Users\Lidia\Desktop\RSIT.exe

:Files
C:\Windows\tasks\*.*
C:\Users\Lidia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dropbox.lnk
C:\Program Files\trend micro
C:\rsit
C:\Windows\Temp
C:\m.txt
C:\Program Files\v9Soft

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"=-
"IAAnotif"=-
"HSON"=-
"SmoothView"=-
"00TCrdMain"=-
"StartCCC"=-
"RtHDVCpl"=-
"BCSSync"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Malwarebytes Anti-Malware"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TOSCDSPD]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UnlockerAssistant]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Bluetooth Monitor.lnk]

:Commands
[emptyflash]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z ADWCleaner (z opcji Delete) -> Dostępne tylko dla zarejestrowanych użytkowników + nowe logi z OTL -> http://hotfix.pl/articles.php?article_id=143 + log z Autoruns -> http://www.hotfix.pl/optymalizacja-auto ... s-a128.htm.

[Manierisme]

"Wykonaj Skrypt" OTL: Dostępne tylko dla zarejestrowanych użytkowników
"Delete" ADWCleaner: Dostępne tylko dla zarejestrowanych użytkowników
OTL: Dostępne tylko dla zarejestrowanych użytkowników + Extras.txt- Dostępne tylko dla zarejestrowanych użytkowników
Autoruns: Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

Autoruns.

W Autoruns odznacz, a następnie usuń (co się bedzie dąło):

HKLM\System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\StartupPrograms

Wszystko.

HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components

Wszystko.

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Wszystko.

HKLM\Software\Microsoft\Internet Explorer\Extensions

Wszystko.

Task Scheduler

Wszystko.

HKLM\System\CurrentControlSet\Services

Ati External Event Utility
gusvc
IAANTMON
MBAMScheduler
MBAMService
Microsoft SharePoint Workspace Audit Service
ose
osppsvc
SkypeUpdate
WinDefend
WMPNetworkSvc

HKLM\System\CurrentControlSet\Services

IpInIp
NwlnkFlt
NwlnkFwd

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
[2012-10-31 11:26:33 | 000,000,000 | ---D | C] -- C:\Windows\temp
[2012-10-28 11:28:20 | 000,000,000 | ---D | C] -- C:\TDSSKiller_Quarantine

:Files
C:\Windows\tasks\*.*

:Commands
[emptyflash]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL.

[Manierisme]

W Autoruns nie wszystko udało mi się usunąć.
Skrypt w OTL: Dostępne tylko dla zarejestrowanych użytkowników
OTL.txt: Dostępne tylko dla zarejestrowanych użytkowników
Extras.txt: Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

O2 - BHO: (no name) - AutorunsDisabled - No CLSID value found.
O9 - Extra Button: Wyślij do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - Reg Error: Value error. File not found
O9 - Extra 'Tools' menuitem : Wyślij &do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - Reg Error: Value error. File not found
O9 - Extra Button: &Notatki połączone programu OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - Reg Error: Value error. File not found
O9 - Extra 'Tools' menuitem : &Notatki połączone programu OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - Reg Error: Value error. File not found
[2012-11-01 16:50:20 | 000,000,000 | ---D | C] -- C:\Windows\temp

:Files
C:\Windows\tasks\*.*

:Commands
[emptyflash]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie w OTL -> Sprzątanie.

"{26A24AE4-039D-4CA4-87B4-2F83216030FF}" = Java(TM) 6 Update 30

Odinstaluj i zainstaluj najnowszą wersję -> Dostępne tylko dla zarejestrowanych użytkowników.

"KLiteCodecPack_is1" = K-Lite Codec Pack 7.6.0 (Full)

Odinstaluj i zainstaluj najnowszą wersję -> Dostępne tylko dla zarejestrowanych użytkowników.

Kroki Finalizujące.

Przeczyść dysk i rejestr CCleaner`em -> Dostępne tylko dla zarejestrowanych użytkowników.
Wykonaj pełne skanowanie Malwarebytes`em Anti-Malware (nie gódź się na wersję testową) -> Dostępne tylko dla zarejestrowanych użytkowników, jeśli coś znajdzie usuń i daj raport.

[Manierisme]

Dostępne tylko dla zarejestrowanych użytkowników

W Malwarebytes skanowanie nic nie wykazało.

[kominekl]

http://www.wklej.org/id/861893/

W Malwarebytes skanowanie nic nie wykazało.

Czy są jeszcze jakieś problemy?

[Manierisme]

Komputer nie sprawia problemów. DZIĘKUJĘ PIĘKNIE za rady!

* Wcześniej wykasowałam pliki umożliwiające skanowanie on-line ESET'em, czy teraz mogę dodatkowo przeskanować tym progamem komputer?

[kominekl]

Wcześniej wykasowałam pliki umożliwiające skanowanie on-line ESET'em, czy teraz mogę dodatkowo przeskanować tym progamem komputer?

Można ale ten program przegrywa zdecydowanie z Malwarebytes`em, więc jest to zbędne.