Jak przeskanujesz Dr.WEB to wklej jeszcze log z mbr.exe (na stronie gmera).
Z gmer ten log to się wyświetlił zaraz po uruchomieniu? Jeśli tak to teraz kliknij szukaj (ma być wszystko zaznaczone do skanu, tzn usługi, procesy itp, jeśli o dyski chodzi to nie przestawiaj, ma być tylko C).
Poza tym w gmer w zakładce procesy podświetl jakiś i w dolnym okienku sprawdź czy coś nie jest na czerwono, jeśli będzie to wynotuj. To samo zrób dla innych zakładek.
Wygląda na to, że ta biblioteka podczepia się pod wszystkie exe oprócz dwóch plików systemowych.
Wejdź w tryb awaryjny i tam odpal Cr.WEB Cure It. Pobierz też Malwarebytes Anti-Malware, zainstaluj i uruchom go w awaryjnym, usuń co znajdzie i pokaż log.
On tego w ogóle nie pokaże. To jest rootkit i to ciężki w usunięciu. Wcześniejsze jego wersje ComboFix usuwa automatycznie. Skoro wrócił to gdzieś jest źródło zakażenia którego nie usunął Dr.WEB. Wyłącz na czas operacji przywracanie systemu.
Wejdź do rejestru => szukaj => wpisz geyekrjithwimu , napisz dokładnie gdzie to zostało znalezione.
Zrób jeszcze raz ten skan z Dr.WEB Live CD, potem pobierz ComboFix i w momencie pobierania zmień nazwę na losową a rozszerzenie na .com. Potem wklej do notatnika (dorzucę jeszcze driver, choć nie wiem czy potrzebnie)
Zapisujesz jako CFScript.txt. Przeciągasz na ComboFix i wklejasz powstały log.
Zatrzymałem wyszukiwanie i usuwałem to, co było możliwe do usunięcia. Do kosza i czyszczenie kosza, przeglądnięcie rejestru z wyszukiwaniem wyrażenia “geye” i czyszczenie wszystkich znalezionych wpisów.
Czyszczenie CCleanerem, zapuszczenie GMERA uff… czysto :D, sprawdzenie działania wyszukiwania… oj znowu pętelka :/… sprawdzenie rejestru… i czysto. Wyłączenie przywracania systemu i Restart.
Wyłączenie osłony rezydentalnej i innych funkcji NIS2009 i puszczenie ComboFix. Poszło gładko bez żadnych głupich wpisów o małej ilości pamięci i innych krzaków i nieprawidłowym działaniu aplikacji. Wyłącznie przywracania systemu i restart.
Usunięcie Qoobox odbyło sie tym razem bez problemu. Czyszczenie kosza, CCleanerem czyszczenie plików i rejestru. Sprawdzenie działania Wyszukiwarki plików w Windzie. Działa poprawnie!
Włączenie wszystkich funkcji NIS2009. Restart.
Pełnie skanowanie NIS2009, skanowanie Gmerem, Skanowanie Dr. Web Cure It (ooo poszło normalnie :D) … i czysto :D… uff.
Spostrzeżenia: Już po susunięcu geye… .sys wykrytego przez AVG Anti-Rootkit Free i zapuszczeniu skanowania GMEREM, GMER zaczął skanować system normalnie (pełne skanowanie z rootkitem zajmowało GMEROWI ok 30 sek, po wywaleniu geye… .sys GMER skanował dyski ponad 4 minuty :D). Od razu można było w wyszukiwarce w windzie znajdywać pliki ukryte i systemowe, o czym z żywym rootkitem można było zapomnieć. Pliki rootkita zagnieżdżały się w lokalizacjach:
C:\Windows\temp
C:\Windows\system32
wszystkie pliki z początkową frazą w nazwie pliku “geye” z różnymi rozszerzeniami.
To by było na tyle. Proszę o sprawdzenie loga z ComboFix zamieszczonego powyżej.