Problem z usunięciem Backdoora

typek234 · 3 Sierpień 2010 19:11

Witam,

Otoż zaatakował mnie wirus ktory zapycha mi łącze, czy nawet je rozłącza. Dr. Web nazywa go Backdoor.tdss.565 i niby go usuwa (za każdym razem znajduje go w innym pliku)… jednak po paru minutach czy restarcie ten znowu się pojawia. Najbardziej smuci mnie to ze ESET wogole go nie wykrywa BŁAGAM o pomoc.

do tego mam w autostarcie jakies gowno pt Windows Defender Apps Control.exe

aha no i wogole wszystkie procesy mają jakieś anomalne zużycie procesroa…

http://www.wklej.org/id/372408/

jessica · 3 Sierpień 2010 21:31

To mi się kojarzy z Rootkitem TDSS, wprawdzie w logu nic nie wskazuje na jego obecność, ale na wszelki wypadek użyj TDSKiller >http://www.bezpieczenstwosystemow.pl/index.php?topic=7461.0

Potem:

Start > Uruchom > wybierz (lub wpisz) regedit i w kluczu:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders

w okienku po prawej zaznacz: Startup >prawoklik >Modyfikuj> w okienku, które się pojawi wklej:

Zatwierdź.

Zrestartuj komputer.
Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL DRV - File not found [Kernel | On_Demand | Running] – C:\Documents and Settings\Administrator\xp.sys – (xp) DRV - File not found [Kernel | On_Demand | Stopped] – D:\PciCon.sys – (PciCon) DRV - File not found [Kernel | On_Demand | Stopped] – D:\INSTALL\GMSIPCI.SYS – (GMSIPCI) DRV - File not found [File_System | Unknown | Running] – -- (DwProt) IE - HKCU…\URLSearchHook: - Reg Error: Key error. File not found O4 - HKLM…\Run: [ARC] C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\tempalbert\MSASCul.exe File not found O4 - HKLM…\Run: [KernelFaultCheck] File not found O4 - HKCU…\Run: [owpyatvn] C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\siybnykcs\loreifqtssd.exe File not found O4 - Startup: C:\Documents and Settings\All Users\My applications\Windows Defender Apps Control.exe () [2010-08-03 16:12:39 | 000,000,000 | —D | C] – C:\Documents and Settings\All Users\My applications [2010-08-03 16:12:39 | 000,123,025 | ---- | M] () – C:\Documents and Settings\All Users\My applications\Windows Defender Apps Control.exe :Files C:\Documents and Settings\All Users\My applications\Windows Defender Apps Control.exe C:\Documents and Settings\All Users\My applications :Commands [emptytemp]

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.

Pokaż nowy log OTL.txt oraz raport z usuwania.

Daj też raport z TDSKiller.

jessi

typek234 · 4 Sierpień 2010 08:50

Dzięki za odpowiedz.

Zanim udzielono mi odpowiedzi uzywalem juz tdss killera, wykrył1 wirusa i niby się go pozbył, no ale generalnie to nic nie dało. Ten windows aplication usunąłem ręcznie, Użyłem jednak combofixa i wszystko wydaje się jednak w porządku, no prawie wszystko bo czasem procesy mają naprawdę dziwne liczby przy zuzyciu procesora (60k,60k,50k,40k… to jednak troche za duzo, normalnie tak nie miałem a mimo to jest niby 1% zuzycia). No ale ok zmieniłem to w rejestrze i użyłem OTL. Logi poniżej.

http://www.wklej.eu/index.php?id=d63c5697d1

http://www.wklej.eu/index.php?id=e0ddca4741

jessica · 4 Sierpień 2010 09:29

W nowym logu nie widzę już nic szkodliwego.

Ale masz najnowszy wynalazek Firefofoxa, którego zadaniem jest zamulać komputer.

>http://ja.rafi.pl/2010/06/25/firefox-i-coraz-gorsze-rozwiazania/

jessi

typek234 · 4 Sierpień 2010 20:22

ja już powoli tracę nadzieje, bez kitu… Doctor mi nic nie wykrywa, grajac w cokolwiek online mam takie lagi ze praktycznie nie da się grac, nic nie sciagam, firefox wylaczony (chociaz wczesniej gralem z firefoxem, zadnych problemow) wiec definitywnie mi jeszcze cos w kompie siedzi…

wchodząc w menadżer zadan można się załamac

explorer.exe 60K

svchost.exe 62K ( jest ich 4, gdy chcialem jakis tam zakonczyc, wyskoczyla mi ramka że komputer zrestartuje się w ciagu nie pamietam, chyba 60 sekund)

RTHDCPCL.exe (karta dzwiekowa) 66K

to nie jest normalne…