Wirus typu mebroot w pamięci operacyjnej

[Gronth]

Witam

Od jakiegoś tygodnia mój PC dziwnie zamulał, ale zwaliłem to na winę zaśmieconych dysków, jako ze ja wszystko chomikuje. Jednak dziś koło godziny 20 Nod 32 wykrył i podał komunikat o trojanie "Win32/Mebroot" w pamięci operacyjnej. Zaznaczam ze w ciągu ostatniego tygodnia robiłem dwa skany systemu Nodem i jeden kasperskym od kumpla. Żaden skan nie wykrył niczego takiego. Ogólnie objawy "zatrucia" to spowolniona praca kompa, nagłe zawieszanie się systemu, powolne uruchamianie niektórych programów, lub tez niezapowiedziane ich wyłączanie (np ten post pisze 2 raz)

Taki o to log wysmażył mi Combofix

http://wklej.org/id/588868/

a taki Hijackthis 2.0.2 (2.0.4 nie chciał sie pobrać z 5 różnych źródeł)

http://wklej.org/id/588869/



Dziękuję z góry ludziom którzy poświęcą swój czas żeby pomóc mi z moim problemem. Jakbym miał coś poprawić czy doskanowac, to prosze o informacje.

A z ciekawości zapytam co też wirusy tego typu robią właściwie? Bo ja to raczej komputer wykorzystuje w celach rozrywkowych i w tym nie siedzę. Nie jest to chyba raczej nic w stylu niesławnego wirusa "Czarnobyl" z lat 90 i wczesnych 2000 no nie?


PS. ani Nod ani Kaspersky skurczybyka nie chciały usuwać

[ordynat]

Hijackthis to przeżytek.

"mebroot" to Rootkit w MBR dysku twardego.
Niestety, ComboFix nie zobaczył go, więc nie wiemy, który to Rootkit.
1) Daj log z MBRCheck >http://www.fixitpc.pl/topic/8-dezynfekcja-zbior-narzedzi-usuwajacych/page__p__6557&#entry6557
2) Daj log z TDSSKiller >http://www.fixitpc.pl/topic/8-dezynfekcja-zbior-narzedzi-usuwajacych/page__p__6814&#entry6814
3) Daj log z Webroot AntiZeroAcces >http://www.fixitpc.pl/topic/8-dezynfekcja-zbior-narzedzi-usuwajacych/page__p__37213#entry37213
.

[Gronth]

log z MBR

http://wklej.org/id/589076/

Log z TDSSKillera

http://wklej.org/id/589080/

a ten trzeci albo nie zostawił loga albo ja nie moge go znaleźć. za to wyświetlił "Your computer is not infected by any Rootkit device". Jeśli zostawia log, to prosze o podanie przybliżonej lokalizacji gdzie mógłby on być.

[ordynat]

Ani MBRCheck, ani TDSSKiller nie wykryły wcale Rootkita w MBR dysku. (sptd.sys, wykryty przez TDSSKiller, to legalny starownik "Daemon Tools" i Alcohol'a).
Skoro Webroot AntiZeroAcces podał komunkat, że nie ma infekcji, to oznacza, że nie ma żadnego Rootkita w MBR.
Najprawdopodobniej twój Antivirus się myli.
Możesz jeszcze oczywiście dodatkowo przeskanować komputer przy pomocy Dr.Webcureit, który specjalizuje się w wykrywaniu i usuwania "Mebroot'a".
>http://www.programosy.pl/program,dr-web-cureit.html
Link zapasowy (już ze zmienioną nazwą), jeśli oficjalna strona będzie zablokowana przez wirusa >
>http://www.zshare.net/download/94210692cc7f98a6/
.

[Gronth]

W takim razie co może powodować takie "mylenie sie" antywirusa? Co jakiś czas tylko wyświetla taki komunikat. Czy może to byc jakiś nieoficjalny program, mod do gry czy crack?

Chciałbym zaznaczyć ze NOD wyświetla komunikat o wirusie przy każdym włączeniu komputera i okazyjnie w czasie jego pracy

[kominekl]

Podaj wymagane logi -> obowiazkowe-zasady-wstawiania-logow-wazne-vt117887.html.

[Gronth]

logi z OTL
http://wklej.org/id/589455/
http://wklej.org/id/589456/

loga z gmera dam nieco później, chwilowo nie mam czasu

[wojtas]

przy Gmerze poczytaj i zastosuj się do tego, i daj nowego loga z Gmera w następnym poście.

odinstaluj w dodaj usuń Dealio Toolbar v4.3, DAEMON Tools Toolbar, MyPlayCity Toolbar, uTorrentBar Toolbar, XfireXO Toolbar, Conduit Engine

Uruchom OTL i w sekcji własne opcje skanowania / skrypt wklej:

:OTL
SRV - File not found [Auto | Stopped] -- -- (ASKUpgrade)
IE - HKLM\..\URLSearchHook: {14f0d511-36a2-41ca-ae01-ba4f87282c97} - File not found
IE - HKLM\..\URLSearchHook: {414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3} - Reg Error: Key error. File not found
IE - HKLM\..\URLSearchHook: {4724c5d8-dfa7-417a-a2f5-1eabfee9b4ac} - C:\Program Files\MyPlayCity\tbMyPl.dll (Conduit Ltd.)
IE - HKLM\..\URLSearchHook: {5e5ab302-7f65-44cd-8211-c1d4caaccea3} - C:\Program Files\XfireXO\prxtbXfir.dll (Conduit Ltd.)
IE - HKLM\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - C:\Program Files\uTorrentBar\tbuTo1.dll (Conduit Ltd.)
IE - HKU\S-1-5-21-290597968-237744235-810446994-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT1392740
IE - HKU\S-1-5-21-290597968-237744235-810446994-1000\..\URLSearchHook: {14f0d511-36a2-41ca-ae01-ba4f87282c97} - File not found
IE - HKU\S-1-5-21-290597968-237744235-810446994-1000\..\URLSearchHook: {4724c5d8-dfa7-417a-a2f5-1eabfee9b4ac} - C:\Program Files\MyPlayCity\tbMyPl.dll (Conduit Ltd.)
IE - HKU\S-1-5-21-290597968-237744235-810446994-1000\..\URLSearchHook: {5e5ab302-7f65-44cd-8211-c1d4caaccea3} - C:\Program Files\XfireXO\prxtbXfir.dll (Conduit Ltd.)
IE - HKU\S-1-5-21-290597968-237744235-810446994-1000\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - C:\Program Files\uTorrentBar\tbuTo1.dll (Conduit Ltd.)
FF - prefs.js..browser.search.defaultenginename: "Yahoo"
FF - prefs.js..browser.search.defaultthis.engineName: "Conduit Engine Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=ConduitEngine&SearchSource=3&q={searchTerms}"
FF - prefs.js..browser.search.param.yahoo-fr: "chr-greentree_ff&type=966134"
FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.2.3.3
FF - prefs.js..keyword.URL: "http://search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=966134&p="
[2010-07-19 22:58:50 | 000,000,000 | ---D | M] (SHOUTcast Radio Toolbar) -- C:\Users\SuperUser\AppData\Roaming\mozilla\Firefox\Profiles\gbl0q39n.default\extensions\{12e4c684-c03e-4e4d-85bc-0c065e7a9489}
[2010-04-09 19:35:55 | 000,000,000 | ---D | M] (Softonic-Eng7 Toolbar) -- C:\Users\SuperUser\AppData\Roaming\mozilla\Firefox\Profiles\gbl0q39n.default\extensions\{414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3}
[2011-04-29 21:05:17 | 000,000,000 | ---D | M] (XfireXO) -- C:\Users\SuperUser\AppData\Roaming\mozilla\Firefox\Profiles\gbl0q39n.default\extensions\{5e5ab302-7f65-44cd-8211-c1d4caaccea3}
[2010-11-21 18:32:24 | 000,000,000 | ---D | M] (uTorrentBar Community Toolbar) -- C:\Users\SuperUser\AppData\Roaming\mozilla\Firefox\Profiles\gbl0q39n.default\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}
[2009-09-01 20:45:31 | 000,000,000 | ---D | M] ("Ask Toolbar for Firefox") -- C:\Users\SuperUser\AppData\Roaming\mozilla\Firefox\Profiles\gbl0q39n.default\extensions\{E9A1DEE0-C623-4439-8932-001E7D17607D}
2009-09-05 23:45:34 | 000,000,000 | ---D | M] ("DAEMON Tools Toolbar") -- C:\Users\SuperUser\AppData\Roaming\mozilla\Firefox\Profiles\gbl0q39n.default\extensions\DTToolbar@toolbarnet.com
[2010-11-21 18:32:25 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Users\SuperUser\AppData\Roaming\mozilla\Firefox\Profiles\gbl0q39n.default\extensions\engine@conduit.com
[2009-09-01 21:23:32 | 000,000,681 | ---- | M] () -- C:\Users\SuperUser\AppData\Roaming\Mozilla\Firefox\Profiles\gbl0q39n.default\searchplugins\ask.xml
[2010-11-21 18:32:25 | 000,000,913 | ---- | M] () -- C:\Users\SuperUser\AppData\Roaming\Mozilla\Firefox\Profiles\gbl0q39n.default\searchplugins\conduit.xml
[2010-07-12 21:47:15 | 000,002,059 | ---- | M] () -- C:\Users\SuperUser\AppData\Roaming\Mozilla\Firefox\Profiles\gbl0q39n.default\searchplugins\daemon-search.xml
[2010-10-17 12:37:19 | 000,001,184 | ---- | M] () -- C:\Users\SuperUser\AppData\Roaming\Mozilla\Firefox\Profiles\gbl0q39n.default\searchplugins\winamp-search.xml
O4 - Startup: C:\Users\SuperUser\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Registration Silent Hunter III.LNK = File not found
@Alternate Data Stream - 507 bytes -> C:\ProgramData\TEMP:05EE1EEF
@Alternate Data Stream - 102 bytes -> C:\ProgramData\TEMP:C7DEC6B7

:Files
C:\Users\SuperUser\AppData\Local\Temp*.html

:Commands
[emptytemp]
[emptyflash]

Kliknij wykonaj skrypt. I potwierdź reset komputera .

Następnie uruchamiasz OTL z opcją skanuj. Pokazujesz nowy log OTL.txt oraz raport z czyszczenia (zawartość notatnika, która otworzy się po restarcie). + Gmer ( emulacja do usunięcia ) + daj log z Ad Remover ( opcja Skan )