Wirus MalOb-DQ[Cryp]

Post25 maja 2011, 20:38

Witam, program Avast po aktualizacji wykrywa infekcje wirusem MalOb-DQ, objawy działania wirusa to przekierowywanie stron, poza tym ze względu na to że Avast ciągle blokuje uruchomienie tego programu działanie systemu jest drastycznie spowolnione. Plik który Avast wykrywa jako zarażony to C:\windows\system32\jkhijj.dll a proces, do którego się odnosi to Expolrer.exe. Dla jasności w sprawie załączam logi z OTL:

Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

Przeszukałem forum, szukając nazwy tego wirusa i nic nie znalazłem, jeżeli jednak źle szukałem to przepraszam, ale ze względu na spowolnienie funkcjonowanie systemu mam ograniczone możliwości działania.

Post26 maja 2011, 17:32

Odinstaluj poprzez Dodaj/Usuń program zbędny pasek przeglądarki Daemon Tools Toolbar.

W białe dolne okno Własne opcje skanowania/skrypt w OTL wklej:

:OTL
O4 - HKLM..\Run: [iihgfcsys] File not found
O4 - HKLM..\Run: [pmlllkaudio] C:\WINDOWS\System32\ssrrom.dll (foobar2000.org)
O4 - HKU\.DEFAULT..\Run: [tuspopsys] File not found
O4 - HKU\.DEFAULT..\Run: [xxvvutaudio] C:\WINDOWS\System32\ssrrom.dll (foobar2000.org)
O4 - HKU\S-1-5-18..\Run: [tuspopsys] File not found
O4 - HKU\S-1-5-18..\Run: [xxvvutaudio] C:\WINDOWS\System32\ssrrom.dll (foobar2000.org)
O4 - HKU\S-1-5-21-1644491937-583907252-725345543-1004..\Run: [hggdddaudio] C:\WINDOWS\System32\ssrrom.dll (foobar2000.org)
O4 - HKU\.DEFAULT..\RunOnce: [] File not found
O4 - HKU\S-1-5-18..\RunOnce: [] File not found
O4 - HKU\S-1-5-19..\RunOnce: [] File not found
O4 - HKU\S-1-5-20..\RunOnce: [] File not found
[2011-05-17 23:30:30 | 000,129,024 | -H-- | C] (foobar2000.org) -- C:\WINDOWS\System32\qonolk.dll
[2011-05-17 21:30:31 | 000,129,024 | -H-- | C] (foobar2000.org) -- C:\WINDOWS\System32\jkjiji.dll
[2011-05-17 20:30:30 | 000,129,024 | -H-- | C] (foobar2000.org) -- C:\WINDOWS\System32\jkhhig.dll
[2011-05-17 19:30:32 | 000,129,024 | -H-- | C] (foobar2000.org) -- C:\WINDOWS\System32\ssrsqp.dll
[2011-04-08 19:38:09 | 000,118,784 | -H-- | C] () -- C:\WINDOWS\System32\jkhijj.dll

:Commands
[emptytemp]

Uruchom to poprzez Wykonaj skrypt i zatwierdź restart.
Po restarcie wykonaj nowy zestaw logów OTL oraz pokaż raport z usuwania OTL powstały po wykonaniu powyższego skryptu.

Post26 maja 2011, 20:09

Dzięki za odpowiedź.
Po wykonaniu powyższych czynności Avast nie wykrywa już wirusa, ale zdarzyły się dwie dziwne rzeczy:

1. Przy logowaniu na tą stronę, dostałem komunikat z Avasta że zablokowano złośliwy adres url, w wierszu zarażenie wpisane było tylko URL:Mal, a proces którego to dotyczy to Firefox.exe.

2. Przy próbie wklejenia raportów na wklejto.pl nie można otworzyć dostępu do dysku aby wskazać odpowiedni plik (opcja dodaj plik nie reaguje), dlatego raporty zostały wklejone bezpośrednio w edytorze tekstu (ale to chyba nie ma znaczenia).

Poza tym nie ma już przekierowań na inne strony, ale czasami po wpisaniu adresu przeglądarka zamiast wyświetlić odpowiednią stronę wraca do adresu google.pl

log z ponownego skanowania:
Dostępne tylko dla zarejestrowanych użytkowników

log z wykonania skryptu:
Dostępne tylko dla zarejestrowanych użytkowników

Strona WWW · Post26 maja 2011, 20:15

Wykonaj pełne skanowanie programem Malwarebytes i pokaż raport:
http://www.hotfix.pl/obsluga-programu-m ... re-a55.htm

Post26 maja 2011, 20:37

No niestety Malwarebytes nie działa, po zainstalowaniu pojawia się komunikat i znika tak szybko że trudno go przeczytać ale jest to prawdopodobnie informacja o nieaktualnej bazie wirusów. Dodam jeszcze że miałem już wcześniej zainstalowany Malwarebytes, ale po jakimś czasie sprawnego działania, przestał funkcjonować tzn. po uruchomieniu program się wieszał.

Strona WWW · Post26 maja 2011, 20:40

W takim razie spróbuj dr.webem:
http://www.hotfix.pl/infusions/pro_down ... --p128.htm

Post27 maja 2011, 17:41

Dr. Web po ponad 18h skanowania znalazł to:

Dostępne tylko dla zarejestrowanych użytkowników

Zrobiłem jeszcze pełny skan GMER:

Dostępne tylko dla zarejestrowanych użytkowników

Post27 maja 2011, 20:24

Większość z tego, co wykrył Dr.Web wygląda mi na fałszywe alarmy.

Log z GMER natomiast jest raczej do niczego, gdyż masz zainstalowane DAEMON Tools.
Przeczytaj i zastosuj się: Dostępne tylko dla zarejestrowanych użytkowników

Z tego co teraz widzę to wydaje mi się podejrzane:

---- Disk sectors - GMER 1.0.15 ----

Disk \Device\Harddisk0\DR0 MBR read error
Disk \Device\Harddisk0\DR0 MBR BIOS signature not found 0

Wstaw prócz nowego loga z GMER raport z MBRCheck.

Post28 maja 2011, 19:37

Ok, Daemon usunięty,

log z GMER po usunięciu:
Dostępne tylko dla zarejestrowanych użytkowników

log z MBRCheck:
Dostępne tylko dla zarejestrowanych użytkowników