Avast wykrył wirus physicaldriveo

[qaz987654321]

Wita.
Avast wykrył mi rookita physicaldriveo. Prawdopodobnie przez to nie mogę odczytać żadnego pendriva bo otrzymuje żądanie o formatowanie.
Proszę o poradę

[mateo8898]

Podaj logi z OTL i GMER

No i gdzie dokładnie Avast znalazł tego rootkita (nazwa pliku i lokalizacja)???

[qaz987654321]

OTL:
http://www.wklej.eu/index.php?id=1d41744dba
http://www.wklej.eu/index.php?id=4eca394c7f
Lokalizacja: MBR:\\PHYSICALDRIVEO

GMER: http://www.wklej.eu/index.php?id=5221e9972e

[qaz987654321]

Wszystko przesłane. Możemy zaczynać

[mateo8898]

Czyli infekcja w MBR. Użyj TDSSKiller otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967-15.html#p120292 i podaj raport z niego.

[qaz987654321]

http://www.wklej.eu/index.php?id=77f09bdb8e
A mam jeszcze problem z nośnikami pamięci bo wszystkie pendrivy itp. po włożeniu do kompa wymagają formatowania i wyskakuje komunikat że formatowanie nie powiodło się.

[mateo8898]

TDSSKiller sobie poradził, przechodzimy do reszty.

Odinstaluj toolbary: Ask Toolbar, DAEMON Tools Toolbar, vShare.tv plugin, Facemoods Toolbar

Następnie uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:

:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://startsear.ch/?aff=1
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://start.facemoods.com/?a=ost&s={searchTerms}&f=4
FF - prefs.js..browser.search.defaultengine: "Web Search"
FF - prefs.js..browser.search.defaultenginename: "Web Search"
FF - prefs.js..browser.search.order.1: "Web Search"
FF - prefs.js..browser.startup.homepage: "http://startsear.ch/?aff=1"
FF - prefs.js..extensions.enabledItems: vshare@toolbar:1.0.0
FF - prefs.js..extensions.enabledItems: [email protected]:1.1.3.0244
FF - prefs.js..keyword.URL: "http://vshare.toolbarhome.com/search.aspx?srch=ku&q="
[2011/03/13 18:03:28 | 000,000,000 | ---D | M] ("DAEMON Tools Toolbar") -- C:\Documents and Settings\Darek\Dane aplikacji\Mozilla\Firefox\Profiles\8n5fmv3r.default\extensions\[email protected]
[2011/09/14 20:33:07 | 000,000,000 | ---D | M] (Ask Toolbar) -- C:\Documents and Settings\Darek\Dane aplikacji\Mozilla\Firefox\Profiles\8n5fmv3r.default\extensions\[email protected]
[2010/10/30 18:52:17 | 000,000,000 | ---D | M] (vShare Plugin) -- C:\Documents and Settings\Darek\Dane aplikacji\Mozilla\Firefox\Profiles\8n5fmv3r.default\extensions\vshare@toolbar
[2010/12/10 09:06:03 | 000,002,059 | ---- | M] () -- C:\Documents and Settings\Darek\Dane aplikacji\Mozilla\Firefox\Profiles\8n5fmv3r.default\searchplugins\daemon-search.xml
[2011/07/11 20:04:02 | 000,000,633 | ---- | M] () -- C:\Documents and Settings\Darek\Dane aplikacji\Mozilla\Firefox\Profiles\8n5fmv3r.default\searchplugins\startsear.xml
[2010/10/30 18:52:23 | 000,001,583 | ---- | M] () -- C:\Documents and Settings\Darek\Dane aplikacji\Mozilla\Firefox\Profiles\8n5fmv3r.default\searchplugins\web-search.xml
[2011/07/30 19:16:26 | 000,002,046 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fcmdSrchost.xml
O4 - HKU\S-1-5-21-842925246-1284227242-2147192659-1001..\Run: [] File not found
[2011/09/14 22:01:00 | 000,000,234 | ---- | M] () -- C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job

:Files
C:\Documents and Settings\Darek\Menu Start\Programy\Autostart\Tworzenie wycinków ekranu i uruchamianie programu OneNote 2007.lnk

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DivX Download Manager"=-
"facemoods"=-
"GrooveMonitor"=-
"NokiaMServer"=-

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania + nowe logi z OTL i Gmer.

[qaz987654321]

Niestety nie pojawiami się log po wpisaniu skryptu- jedynie komunikat że trzeba rebootować kompa. I wtedy uruchomiałem ponownie

OTL: http://www.wklej.eu/index.php?id=874a0ee9d9
http://www.wklej.eu/index.php?id=fe07efd768
LOG: http://www.wklej.eu/index.php?id=0b90f6bcb0

[mateo8898]

Tym razem wykonaj usuwanie w trybie awaryjnym.

W OTL wklej:

:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://startsear.ch/?aff=1
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://start.facemoods.com/?a=ost&s={searchTerms}&f=4
FF - prefs.js..browser.search.defaultengine: "Web Search"
FF - prefs.js..browser.search.defaultenginename: "Web Search"
FF - prefs.js..browser.search.order.1: "Web Search"
FF - prefs.js..browser.startup.homepage: "http://startsear.ch/?aff=1"
FF - prefs.js..extensions.enabledItems: vshare@toolbar:1.0.0
FF - prefs.js..extensions.enabledItems: [email protected]:1.1.3.0244
FF - prefs.js..keyword.URL: "http://vshare.toolbarhome.com/search.aspx?srch=ku&q="
[2011/03/13 18:03:28 | 000,000,000 | ---D | M] ("DAEMON Tools Toolbar") -- C:\Documents and Settings\Darek\Dane aplikacji\Mozilla\Firefox\Profiles\8n5fmv3r.default\extensions\[email protected]
[2011/09/14 20:33:07 | 000,000,000 | ---D | M] (Ask Toolbar) -- C:\Documents and Settings\Darek\Dane aplikacji\Mozilla\Firefox\Profiles\8n5fmv3r.default\extensions\[email protected]
[2010/10/30 18:52:17 | 000,000,000 | ---D | M] (vShare Plugin) -- C:\Documents and Settings\Darek\Dane aplikacji\Mozilla\Firefox\Profiles\8n5fmv3r.default\extensions\vshare@toolbar
[2010/12/10 09:06:03 | 000,002,059 | ---- | M] () -- C:\Documents and Settings\Darek\Dane aplikacji\Mozilla\Firefox\Profiles\8n5fmv3r.default\searchplugins\daemon-search.xml
[2011/07/11 20:04:02 | 000,000,633 | ---- | M] () -- C:\Documents and Settings\Darek\Dane aplikacji\Mozilla\Firefox\Profiles\8n5fmv3r.default\searchplugins\startsear.xml
[2010/10/30 18:52:23 | 000,001,583 | ---- | M] () -- C:\Documents and Settings\Darek\Dane aplikacji\Mozilla\Firefox\Profiles\8n5fmv3r.default\searchplugins\web-search.xml
[2011/07/30 19:16:26 | 000,002,046 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fcmdSrchost.xml
O4 - HKU\S-1-5-21-842925246-1284227242-2147192659-1001..\Run: [] File not found
[2011/09/14 22:01:00 | 000,000,234 | ---- | M] () -- C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job
O3: - HKU\.DEFAULT\..\Toolbar\WebBrowser - No CLSID value found.
O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - No CLSID value found.
O3: - HKU\.DEFAULT\..\Toolbar\WebBrowser - No CLSID value found.
O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O3: - HKU\S-1-5-18\..\Toolbar\WebBrowser - No CLSID value found.
O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - No CLSID value found.
O3: - HKU\S-1-5-18\..\Toolbar\WebBrowser - No CLSID value found.
O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O3: - HKU\S-1-5-21-842925246-1284227242-2147192659-1001\..\Toolbar\WebBrowser - No CLSID value found.
O3 - HKU\S-1-5-21-842925246-1284227242-2147192659-1001\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O3: - HKU\S-1-5-21-842925246-1284227242-2147192659-1001\..\Toolbar\WebBrowser - No CLSID value found.
O3 - HKU\S-1-5-21-842925246-1284227242-2147192659-1001\..\Toolbar\WebBrowser: (no name) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - No CLSID value found.
O3: - HKU\S-1-5-21-842925246-1284227242-2147192659-1001\..\Toolbar\WebBrowser - No CLSID value found.
O3 - HKU\S-1-5-21-842925246-1284227242-2147192659-1001\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O4 - HKU\S-1-5-21-842925246-1284227242-2147192659-1001..\Run: [] File not found
O4 - HKLM..\Run: [DivX Download Manager] "C:\Program Files\DivX\DivX Plus Web Player\DDmService.exe" start File not found
[2011/07/31 11:41:59 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Darek\Dane aplikacji\facemoods.com
[2011/07/30 19:16:26 | 000,002,046 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fcmdSrchost.xml

:Files
C:\Documents and Settings\Darek\Menu Start\Programy\Autostart\Tworzenie wycinków ekranu i uruchamianie programu OneNote 2007.lnk

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"facemoods"=-
"GrooveMonitor"=-
"NokiaMServer"=-

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania + nowe logi z OTL.

[qaz987654321]

http://www.wklej.eu/index.php?id=e9ce4829eb z trybu awaryjnego

[kominekl]

+ nowe logi z OTL.

Ponadto chyba źle skopiowany został skrypt (chyba nie skopiowałaś :OTL).

[qaz987654321]

OTL w normalnym trybie http://www.wklej.eu/index.php?id=b3d529863d

[qaz987654321]

Jeszcze raz zrobiłem w trybie awaryjnym:
http://www.wklej.eu/index.php?id=5e49d9964c

[kominekl]

Wcześniej zapomniałeś o początku :OTL . Teraz poszło. Podaj ponownie nowe logi , bo to wiele zmieniło .

[qaz987654321]

OTL: http://www.wklej.eu/index.php?id=98b6b6e913
EXtras http://www.wklej.eu/index.php?id=5f5757e0a5

GMER http://www.wklej.eu/index.php?id=94be7fae9b