Win32/Olmarik.TDL4.trojan - prosim pomoc o odstranenie SURNE

[vyosek]

Neskrylo, TDSKiller toho smejda polecil...Az budes u PC tak napis a popatrame po dalsi haveti a jeste i tuhle mrchu proverime...

[Vulgi]

No uz som tu tak co treba urobit dalej?

[vyosek]

Stahnete SPTD http://www.duplexsecure.com/en/downloads

• Vyberte z uvedene stranky verzi dle sveho operacniho systemu (32(x86)bit ci 64(x64)bit)
• Ulozte na plochu a spustte
• Zvolte moznost Uninstall a restartujte PC - pokud nepujde kliknout (tlacitko bude sede), krok preskocte

Stahnete Defogger http://www.jpshortstuff.247fixes.com/Defogger.exe

• Ulozte na plochu a spustte
• Kliknete na Disable a restartujte PC - pokud nepujde kliknout (tlacitko bude sede), krok preskocte

Stahnete MBR na plochu http://www2.gmer.net/mbr/mbr.exe ale nespoustejte

Kliknete na Start a pote Spustit, pripadne pouzijte klavesou zkratku Win+R

• Vyskoci na Vas okenko, do ktereho zkopirujte text nize

• Kód: Vybrat vše

  "%userprofile%\desktop\mbr" -t -s

• Kliknete na OK
• Na plose se Vam vytvori log s nazvem mbr.txt, jeho obsah mi sem vlozte

Stahnete aswMBR http://public.avast.com/%7Egmerek/aswMBR.exe a ulozte jej na plochu.

• Utilitu spustte a prikazte ji, at skenuje - klik na Scan
• Kliknutim na Save log ulozte log aswMBR na plochu
• Obsah logu aswMBR mi sem vlozte

[Vulgi]

Nazdar no tak uz som tu len sa chcem spytat ako to vyzera s tym virusom co si vycital z tych LOG-ov? Mozem urobit este nasledovne kroky co si popisal este teraz alebo mam najprv zalohovat si vsetky veci?

[vyosek]

Ahoj,

na fakulte blba wi-fi takze jsem se sem nedostal...

Jak jsem psal, zaloha je na Tobe - ja ti ji nemuzu naridit, jen doporucit...

Cekam az sem das ty dalsi logy co jsem psal a pak uvidime co dale...

[Vulgi]

no jasne chapem ja som sa len to pytal ze ci tie dalsie kroky su len o nejakych logoch alebo uz budeme aj nieco liecit alebo popripade mazat.... cize tento krok este mozem spravit a potom dufam ze mi pozica ten hdd a spravil by som si zalohu.... len dpc sa bojim a dufam a verim v to ze mi nic nevymazal ten hajzel olmarik
idem na to poslem ti sem zachvilu tie log-y

[vyosek]

OK, ja sem budu postupne v prubehu dne nakukovat...Olmarik uz je davno zrejme v trapu, ale proverime to, pac tohle je docela silna havet

[Vulgi]

spravil som to s tym SPTD a jak som restartol pc tak mi pise ze Tento program pozaduje najmenej win 2000 a SPTD 1.60 alebo vyssiu. Ladenie jadra musi byt vypnuto

[vyosek]

Zatim to nech tak, pak dame SPTD zpatky, ale pred skenem mbr sektoru pomoci mbr.exe a aswMBR musi byt vypnuty

[Vulgi]

ok uz som urobil vsetko len cakam na aswMBR stahuje este nejake aktualizacie a potom ho pustim

tu je defogger


defogger_disable by jpshortstuff (23.02.10.1)
Log created at 13:57 on 11/11/2011 (Vulgi)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.
HKCU:DAEMON Tools Lite -> Removed

Checking for services/drivers...
SPTD -> Already disabled


-=E.O.F=-





tu je MBR

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 6.1.7601

device: opened successfully
user: error reading MBR

Disk trace:
error: Read Popisovač nie je platný.
kernel: error reading MBR






aswMBR je tu




aswMBR version 0.9.8.986 Copyright(c) 2011 AVAST Software
Run date: 2011-11-11 14:27:57
-----------------------------
14:27:57.283 OS Version: Windows x64 6.1.7601 Service Pack 1
14:27:57.283 Number of processors: 4 586 0x503
14:27:57.285 ComputerName: VULGI UserName:
14:27:58.583 Initialize success
14:28:03.449 AVAST engine defs: 11111100
14:28:06.467 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\00000060
14:28:06.469 Disk 0 Vendor: WDC_WD10 80.0 Size: 953869MB BusType: 11
14:28:08.491 Disk 0 MBR read successfully
14:28:08.492 Disk 0 MBR scan
14:28:08.497 Disk 0 Windows 7 default MBR code
14:28:08.499 Service scanning
14:28:15.959 Modules scanning
14:28:15.961 Disk 0 trace - called modules:
14:28:15.969 ntoskrnl.exe CLASSPNP.SYS disk.sys PCTCore64.sys amdxata.sys storport.sys hal.dll amdsata.sys
14:28:15.971 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa800499e790]
14:28:15.974 3 CLASSPNP.SYS[fffff8800180143f] -> nt!IofCallDriver -> [0xfffffa800490fb30]
14:28:15.976 5 PCTCore64.sys[fffff88001179094] -> nt!IofCallDriver -> [0xfffffa80048dbb80]
14:28:15.979 7 amdxata.sys[fffff880011497a8] -> nt!IofCallDriver -> \Device\00000060[0xfffffa80048d59c0]
14:28:16.851 AVAST engine scan C:\Windows
14:28:19.219 AVAST engine scan C:\Windows\system32
14:30:00.044 AVAST engine scan C:\Windows\system32\drivers
14:30:12.253 AVAST engine scan C:\Users\Vulgi
14:44:40.968 AVAST engine scan C:\ProgramData
14:48:53.728 Scan finished successfully
14:49:38.683 Disk 0 MBR has been saved successfully to "C:\Users\Vulgi\Documents\MBR.dat"
14:49:38.688 The log file has been saved successfully to "C:\Users\Vulgi\Documents\aswMBR.txt"

[vyosek]

Nasledujici soubory otestujte na VirusTotalu (viz muj podpis)

• C:\Users\Vulgi\Documents\MBR.dat
• Kliknete na Prochazet
• Soubor nehledejte, jen vlozte cestu souboru, ktery chci otestovat
• Kliknete na Send File
• Pokud na Vas vyskoci obrazovka jako je nize, tak kliknete na ReAnalyse
  
• Vysledek analyzy sem vlozte (jako odkaz)

[Vulgi]

mal som odfajknut aj Send it over SSL ?


http://www.virustotal.com/file-scan/rep ... 1321205468#

neodfajkol som to SSL urobil som zle?

[vyosek]

Tohle vypada OK

Jeste poprosim o logy z gmeru - viz muj podpis

[Vulgi]

pocuj ked som to otvoril tak zacalo to nieco scanovat ale ten prvy scan mi nic nevypisalo a ked som dal aj ulozit log tak bol prazdny....
tie ostatne ti sem zachvilu dam
ale nejdu mi pozafajkovat vsetky veci v tom pravom stlpci mam ich sede

[vyosek]

OK, nech zafajfknute co bylo a nech jej skenovat