Wirus blokujący strony antywirusowe

Dla specjalistów Bezpieczeństwo
#1

Witam. Podejrzewam, że jakiś wredny wirus blokuje strony antywirusowe. Przejrzałem już podobne tematy i próbowałem działać według tamtych zaleceń ale bezskutecznie.

Po przeskanowaniu komputera programem ComboFix otrzymałem taki oto raport:

ComboFix 12-02-16.02 - Administrator 2012-02-16 20:10:04.2.2 - x86

Microsoft Windows XP Professional 5.1.2600.3.1250.48.1045.18.511.130 [GMT 1:00]

Uruchomiony z: c:\documents and settings\Administrator\Pulpit\ComboFix.exe

Użyto następujących komend :: c:\documents and settings\Administrator\Pulpit\CFScript.txt

.

FILE ::

"c:\windows\system32\01.tmp"

"c:\windows\system32\kmvtjmun.dll"

.

.

((((((((((((((((((((((((( Pliki utworzone od 2012-01-16 do 2012-02-16 )))))))))))))))))))))))))))))))

.

.

2012-02-14 21:28 . 2012-02-14 21:28	--------	d-sh--w-	c:\documents and settings\Administrator\Dane aplikacji\AV Security Essentials

2012-02-14 21:28 . 2012-02-14 21:28	--------	d-sh--w-	c:\documents and settings\All Users\Dane aplikacji\AVQCSE

.

.

.

(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

.

------- Sigcheck -------

Note: Unsigned files aren't necessarily malware.

.

[-] 2009-07-05 . E0593C5746742DFB99A45B9D1234EBFB . 361600 . . [5.1.2600.5625] . . c:\windows\system32\drivers\tcpip.sys

.

[-] 2009-06-08 . 23D57C8E0B5F3A098722C92C44D2ED44 . 7373312 . . [8.00.6001.18702] . . c:\windows\system32\mshtml.dll

.

[-] 2009-06-09 . E6E972564384361D4C4DEBFE374FD311 . 631808 . . [5.1.2600.5512] . . c:\windows\system32\user32.dll

.

[-] 2009-06-08 . 5AF5D548C95CB356F8B2D7F766BE264A . 1349632 . . [8.00.6001.18702] . . c:\windows\system32\wininet.dll

.

[-] 2009-06-27 . 227B04CFB38191D21105985514E5C398 . 3642368 . . [6.00.2900.5512] . . c:\windows\explorer.exe

.

[-] 2009-06-28 . 4D0130AA048A4F398A69493D2D5B41E6 . 2363904 . . [5.1.2600.5755] . . c:\windows\system32\ntkrnlpa.exe

.

[-] 2009-06-28 . 32DE6ECA68D94772683039ACA57ECF61 . 2485248 . . [5.1.2600.5755] . . c:\windows\system32\ntoskrnl.exe

.

((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane  

REGEDIT4

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"TransBar"="c:\windows\TransBar.exe" [2005-06-01 65536]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SoundMan"="SOUNDMAN.EXE" [2006-03-01 577536]

"Gainward"="c:\program files\VDOTool\TBPanel.exe" [2006-09-13 2154496]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-08-11 7630848]

"nwiz"="nwiz.exe" [2006-08-11 1519616]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-08-11 86016]

"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2007-08-24 33648]

"Lexmark 1200 Series"="c:\program files\Lexmark 1200 Series\lxczbmgr.exe" [2006-07-13 57344]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"TransBar"="c:\windows\TransBar.exe" [2005-06-01 65536]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"_nltide_3"="advpack.dll" [2009-07-05 128512]

.

c:\documents and settings\All Users\Menu Start\Programy\Autostart\

DSLMON.lnk - c:\program files\SAGEM\SAGEM F@st 800-840\dslmon.exe [2009-10-22 839680]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"DisableStatusMessages"= 1 (0x1)

.

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"NoSMMyPictures"= 1 (0x1)

"NoSMConfigurePrograms"= 1 (0x1)

"NoSMHelp"= 1 (0x1)

"NoResolveTrack"= 1 (0x1)

.

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]

"ForceClassicControlPanel"= 1 (0x1)

"NoSMMyPictures"= 1 (0x1)

"NoSMConfigurePrograms"= 1 (0x1)

"NoSMHelp"= 1 (0x1)

"NoResolveTrack"= 1 (0x1)

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"c:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE"=

"c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"3121:TCP"= 3121:TCP:evbuejx

.

R0 viasraid;viasraid;c:\windows\system32\drivers\viasraid.sys [2009-07-05 77312]

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2009-10-22 114768]

R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2009-10-22 20560]

R3 e4usbaw;USB ADSL2 WAN Adapter;c:\windows\system32\drivers\e4usbaw.sys [2009-10-22 114616]

S2 IKANLOADER2;General Purpose USB Driver (e4ldr.sys);c:\windows\system32\drivers\e4ldr.sys [2009-10-22 63555]

S2 pzysapm;Boot Image;c:\windows\system32\svchost.exe -k netsvcs [2008-04-14 14336]

.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

pzysapm

.

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{D58F39FF-953E-4F45-898F-59F243B9A523}]

2009-07-05 00:16	128512	----a-w-	c:\windows\system32\advpack.dll

.

Zawartość folderu 'Zaplanowane zadania'

.

2010-11-03 c:\windows\Tasks\Install.job

- c:\windows\system32\Macromed\Shockwave 10\nssstub.exe [2010-08-06 11:37]

.

2012-02-16 c:\windows\Tasks\User_Feed_Synchronization-{F403586A-11F2-4ABA-9F47-07A545AE44D2}.job

- c:\windows\system32\msfeedssync.exe [2001-07-22 00:17]

.

.

------- Skan uzupełniający -------

.

uStart Page = hxxp://www.google.com/

IE: E&ksportuj do programu Microsoft Excel - c:\progra~1\MICROS~1\Office12\EXCEL.EXE/3000

TCP: Interfaces\{76BD8E63-2F88-4202-846E-547D184E2D93}: NameServer = 62.233.233.233 87.204.204.204

FF - ProfilePath - c:\documents and settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\hlm5gszg.default\

FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}

FF - Ext: Java Quick Starter: jqs@sun.com - c:\program files\Java\jre6\lib\deploy\jqs\ff

FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2012-02-16 20:14

Windows 5.1.2600 Dodatek Service Pack 3 NTFS

.

skanowanie ukrytych procesów ...  

.

skanowanie ukrytych wpisów autostartu ... 

.

skanowanie ukrytych plików ...  

.

skanowanie pomyślnie ukończone

ukryte pliki: 0

.

**************************************************************************

.

[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\pzysapm]

"ServiceDll"="c:\windows\system32\yuzclt.dll"

.

--------------------- ZABLOKOWANE KLUCZE REJESTRU ---------------------

.

[HKEY_USERS\S-1-5-21-2000478354-1844823847-1177238915-500\Software\Microsoft\Internet Explorer\User Preferences]

@Denied: (2) (Administrator)

"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,

   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,c6,5a,9f,73,6d,36,fd,44,a2,3f,6e,\

"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,

   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,c6,5a,9f,73,6d,36,fd,44,a2,3f,6e,\

.

--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------

.

- - - - - - - > 'winlogon.exe'(644)

c:\windows\system32\MSGINA.dll

.

- - - - - - - > 'lsass.exe'(708)

c:\windows\system32\scecli.dll

.

- - - - - - - > 'explorer.exe'(2852)

c:\windows\system32\SHDOCVW.dll

c:\windows\system32\ntshrui.dll

c:\windows\system32\shimgvw.dll

c:\windows\system32\webcheck.dll

c:\windows\system32\msi.dll

c:\windows\system32\msls31.dll

c:\windows\system32\netshell.dll

c:\windows\system32\credui.dll

c:\windows\system32\MSVCP60.dll

c:\windows\system32\WZCSvc.DLL

c:\windows\system32\DHCPCSVC.DLL

c:\windows\system32\wpdshserviceobj.dll

c:\windows\system32\portabledevicetypes.dll

c:\windows\system32\portabledeviceapi.dll

c:\windows\system32\stobject.dll

.

Czas ukończenia: 2012-02-16 20:17:05

ComboFix-quarantined-files.txt 2012-02-16 19:17

ComboFix2.txt 2012-02-16 19:06

.

Przed: 29 504 126 976 bajtów wolnych

Po: 29 494 034 432 bajtów wolnych

.

- - End Of File - - 6E9B789D9F17D11E2B126EF5F5966F59

Dodatkowo blokowałem porty programem Windows Worms Doors Cleaner oraz czyściłem rejestr programem Ccleaner

Czy ktoś kto się na tym zna mógłby poradzić co dalej?

#2

Przeskanuj za pomocą Malwarebytes Anti-Malware 1.60.1.1000 i Dr.WEB CureIt! 6.00.15.11170.

#3

Postaram się. Generalnie nie wiem czy się to uda, ponieważ nie mogę w ogóle odpalić żadnej stronki z antywirem, nie wiem też czy instalka ruszy przy tym bałaganie (Problem jest taki, że to nie mój komputer tylko kolegi i nie mam możliwości od razu tego wszystkiego sprawdzać).

#4

Pokaż logi z OTL otl-gmer-rsit-dss-inne-instrukcje-t370405.html

#5

Kto pisał ten skrypt do Combofixa?

wklej do notatnika:

Zapisz plik jako CFScript najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe

Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum.