Problem z wirusem Win32:Rootkit-gen [Rtk] - log z HiJackTHis

[kil3r]

Witam... Mam problem a wlasciwie kolezanka...problem nosi nazwe Win32:Rootkit-gen [Rtk]..i rowniez otwieraja sie jej strony z jaimis grami itd. bardzo irytujaca sprawa...jak byscie mogli mi pomoc byl bym bardzo wdzieczny...oto log z HiJackTHis..probowalem rowniez zrobic loga z combofix ale program po skonczonym dzialaniu resetowal kompa i nidzie nie zostawial loga;/
http://www.wklej.eu/index.php?id=e0b8aefd86
z gory bardzo dziekuje

[mateo8898]

Uruchom HijackThis Do a system scan only w okienku programu pokaże się log zaznacz kratki przy podanych wpisach klikasz Fix checked

Kod: Zaznacz wszystko

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.theprizeday.com/today.php
O2 - BHO: Automated Content Enhancer - {1D74E9DD-8987-448b-B2CB-67FFF2B8A932} - C:\Program Files\Automated Content Enhancer\4.1.0.5190\ACEIEAddOn.dll
O2 - BHO: Customized Platform Advancer - {42C7C39F-3128-4a17-BDB7-91C46032B5B9} - C:\Program Files\Customized Platform Advancer\3.1.0.1630\CPAIEAddOn.dll
O2 - BHO: Content Management Wizard - {B72681C0-A222-4b21-A0E2-53A5A5CA3D41} - C:\Program Files\Content Management Wizard\1.1.0.1870\CMWIE.dll
O2 - BHO: TCP - {CAC89FF9-34A9-4431-8CFE-292A47F843BC} - C:\Program Files\Textual Content Provider\1.1.0.1610\TCPIE.dll
O2 - BHO: Web Search Operator - {EB4A577D-BCAD-4b1c-8AF2-9A74B8DD3431} - C:\Program Files\Web Search Operator\3.1.0.1840\wso.dll
O4 - HKLM\..\Run: [ASUS Live Update] C:\Program Files\ASUS\ASUS Live Update\ALU.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [SMSERIAL] C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Internet Today Task] "C:\Program Files\Internet Today\1.1.0.1190\InternetToday.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [cdoosoft] C:\DOCUME~1\Kasia\USTAWI~1\Temp\herss.exe
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Startup: Tworzenie wycinków ekranu i uruchamianie programu OneNote 2007.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

Pobierz The Avenger w pole Input script here wklej poniższy tekst:

Kod: Zaznacz wszystko

Folders to delete:
C:\Program Files\Internet Today
C:\Documents and Settings\All Users\Dane aplikacji\QuestService
C:\Program Files\QuestService
C:\Program Files\Automated Content Enhancer
C:\Program Files\Customized Platform Advancer
C:\Program Files\Content Management Wizard
C:\Program Files\Textual Content Provider
C:\Program Files\Web Search Operator

Files to delete:
C:\DOCUME~1\Kasia\USTAWI~1\Temp\herss.exe

Drivers to delete:
QuestService Service

klikasz Execute Potwierdzasz i zgadzasz się na restart klikając OK.
Po wykonaniu wklej raport na forum C:\avenger.txt

Dodatkowo podaj logi z: OTL, GMER oraz System Repair Engineer

[kil3r]

niestety antywirus nadal krzyczy ze ma tego wirusa;/ Win32:Trojan-gen ktory znajduje sie C:\WINDOWS\system32\x, a nie wiem czy moge usunac go recznie?? a zrobilem dokladnie wszystko tak jak u gory napisales...
nie moglem zrobic loga GMER poniewaz po dwukrotnym kliknieciu wlaczal sie nieieski ekran po czym komputer sie resetowal i nic sie nie dzialo...
oto logi z tych programow co chciales:
Avanger http://www.wklej.eu/index.php?id=2c04fdb6c0

System Rapair Engineer http://www.wklej.eu/index.php?id=39b31eb9c9

OTL http://www.wklej.eu/index.php?id=1ad45ea323 Extras http://www.wklej.eu/index.php?id=3a6921561f

[kil3r]

przed chwila wyskoczyl mi nastepny komunikat z takim wirusem Win32:Confi [Wrm]

[mateo8898]

Uruchom OTL w oknie Custom Scans/Fixes wklej:

:OTL
FF - prefs.js..extensions.enabledItems: {B13721C7-F507-4982-B2E5-502A71474FED}:2.2.0.102
FF - prefs.js..extensions.enabledItems: {F2DDDB92-1605-4260-9B25-45A4DAE87B50}:1.0
FF - HKLM\software\mozilla\Firefox\Extensions\\{E63605FC-D583-4C81-867F-9457BDB3EA1B}: C:\Program Files\Web Search Operator\3.1.0.1840\FF
FF - HKLM\software\mozilla\Firefox\Extensions\\{8141440E-08F0-4339-9959-5C31C6A69F23}: C:\Program Files\Automated Content Enhancer\4.1.0.5190\FF
FF - HKLM\software\mozilla\Firefox\Extensions\\{E889F097-B0BE-471B-89AD-B86B6F04B506}: C:\Program Files\Customized Platform Advancer\3.1.0.1630\FF
[2010-01-01 13:49:45 | 00,002,405 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\questservice133.xml
O3 - HKU\S-1-5-21-1801674531-115176313-1177238915-1003\..\Toolbar\WebBrowser: (no name) - {D45817B8-3EAD-4D1D-8FCA-EC63A8E35DE2} - No CLSID value found.

:Files
C:\WINDOWS\System32\x

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"KernelFaultCheck"=-
"NPSStartup"=-
"SkyTel"=-
"SMSERIAL"=-
"StartCCC"=-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1068:TCP"=-
"6450:TCP"=-

Klikasz Run Fix. Dajesz log z usuwania + nowy log z OTL. Widzę, że używałeś Combofixa, więc podaj log, który wtedy wygenerował, bo widać w logu ślady Confickera

[kil3r]

zaraz to zrobie tylko narazie na tym kompie robie czysczenie dysku z narzedzi systemowych..a jakos to cholernie zamula...wiec jak sie skonczy to zrobie to co mowiles....a combofixa robilem loga ale to pare miesiecy temu na tym kompie bo tez mial problem z wirusami..a teraz tez probowalem zrobic ale po uruchumieniu cobofixa i przeskanowaniu kompa i jego zresetowaniu i nie zostawial log ani na dysku ani nigdzie nie bylo go;/ a probowalem kilka razy.

[kil3r]

po tym ostatnim co mi dales co wkleilem i nacisnalem Run fix to wyskoczylo ze jakies pliki od systemu windows zostaly zastapiane innymi i grozi niestabilnoscia systemu..po recznym restarcie kompa mozna powiedziec ze system pad widze pulpi i ikony ale zadnej sie nie da wlaczyc...ani przywracania systemu nie moge zrobic..,wiec teraz juz czeka tylko chyba format i ponowna reinstalacja systemu;/

[mateo8898]

No ciekawe, bo żadnych plików systemowych tu nie było usuwanych, ani nic z tych rzeczy. Spróbuj wejść w tryb awaryjny, a jeśli nie da rady to zrób instalację nakładkową

[strona nie jest już dostępna]

[kil3r]

wielkie dzieki za pomoc..ale jak pisalem u gory to jest to komp kolezanki i nie mam caly czas dostepu do niego a tez nie mam na tyle teraz czas zeby siedziec nad nim wiec zrobie mu formata i instalke nowego systemu

[mateo8898]

To ok, ale jeszcze jedno:
Wylecz pamięci przenośne Flash Disinfector lub sformatuj, bo widać tam także było właśnie tego typu infekcję.

[kil3r]

ok dzieki za pomoc:)