Prosím pomoc - virus

[Davian]

Dobrý den,

rád bych požádal o pomoc s obvzláštním hnusem. Předem podotýkám že jsem celkem laik. Dnes jsem chtěl stáhnout novou verzi realplayer plugin pro svůj Firefox na systému Windows XP. Počítač začal při stahování z webu ovšem "chroustat" jak divý a asi minutu se nic nedělo. Poté se naráz stalo najednou několik věcí: pozadí plochy zmizelo a nahradil ho velký červený text WARNING na modrém poli. Zároveň se deaktivovaly všechny programy včetně firewallu Kerio, nově aktualizované verze AVG a messengeru MSN a spustil se jakýsi program jménem System Tool, který začal "scanovat" obsah disku a hlásit, že každý soubor je virus a že pokud si za 16 USD nekoupím aktualizaci tohoto "programu", nevypne se.
Žádný jiný program nejde spustit (okamžitě se vypne), žádný systémový soubor nelze spustit (totéž - čili obnovit disk z Windows nejde), nelze ani při startu Windows skočit do DOS modu a obnovit systém manuálně (nereaguje). Co s tím?

Edit: bohužel žádný log nemůžu vytvořit, všechno se vypne dřív, než můžu cokoliv udělat

[cernohous13]

Zdravím,
Restartuj do nouzového režimu s prací v síti. (po restartu klikej F8)

Stáhni Rkill z jednoho z odkazů, pokud by ho vir blokoval, zkus stáhnout jiný

Rkill EXE:
http://download.bleepingcomputer.com/grinler/rkill.exe

Rkill COM:
http://download.bleepingcomputer.com/grinler/rkill.com

Rkill SCR:
http://download.bleepingcomputer.com/grinler/rkill.scr

Rkill PIF:
http://download.bleepingcomputer.com/grinler/rkill.pif

-spusť a nechej ho pracovat. Sám se ukončí.

- Teď nesmíš restartovat počítač!

Spusť

Stáhni a nainstaluj MBAM zde http://www.download.com/Malwarebytes-An ... tag=button
Spustit > na 3.záložce "Aktualizace" > Kontrola aktualizací
následně na 1.záložce "Kontrolor" -> Rychlá kontrola -> Prohledat
po dokončení scanu vyskočí okno Notepad s výsledkem - obsah zkopíruj do své odpovědi
zatím nic nemazat - počkej na posouzení

[Davian]

Zdravím a díky za odpověď. Bohužel nemůžu restartovat, zkratka F8 nefunguje, systém na ní nereaguje.

[cernohous13]

Klávesnice je USB?

pokud ano, musíš si vypůjčit PS/2

[Davian]

Klávesnice je USB?

pokud ano, musíš si vypůjčit PS/2

Ne, je to PS2 klávesnice. Když zmáčknu F8, tak to modře blikne a místo toho klasického černobílého menu se objeví modrá obrazovka s nějakými kecami o zabezpečení počítače (asi souvisí s tím virem?)

[cernohous13]

To by byl průšvih

můžeš sem napsat obsah zprávy nebo ofotit?

[Davian]

To by byl průšvih

můžeš sem napsat obsah zprávy nebo ofotit?

http://img850.imageshack.us/g/obraz000.jpg/

Tady: první obrázek se objeví ihned po startu počítače. Druhý obrázek ukazuje co se objeví, zmáčknu-li F8 kdykoliv předtím, než se objeví logo Windows. Zmáčknu-li F8 až poté, co se objeví logo Windows, nestane se nic.

Jinak program RKILL jsem stáhnul v "běžném režimu" - všechny 4 odkazy (kupodivu IE funguje, ale Firefox se při pokusu spustit vždy zasekne). Po spuštění každého se na zlomek sekundy objevily přesýpací hodiny a potom nic. Má smysl pokračovat dalším krokem?

[cernohous13]

Podle obrázku č.2 sjeď šipkou na třetí možnost - HDD -> Enter a hned zas vytrvale klikej F8
dokud nevyskočí nabídka pro výběr spuštění -> nouzový režim s prací v síti (safeboot with network) -> Enter

RKILL je v pořádku - zastaví všechno nepotřebné (tedy i šmejdy) a připraví tak systém pro další čistící programy
jen nesmíš restartovat - tím bys jeho účinek zrušil, pokračuj podle předchozího návodu s MBAM

[Davian]

Podle obrázku č.2 sjeď šipkou na třetí možnost - HDD -> Enter a hned zas vytrvale klikej F8
dokud nevyskočí nabídka pro výběr spuštění -> nouzový režim s prací v síti (safeboot with network) -> Enter

RKILL je v pořádku - zastaví všechno nepotřebné (tedy i šmejdy) a připraví tak systém pro další čistící programy
jen nesmíš restartovat - tím bys jeho účinek zrušil, pokračuj podle předchozího návodu s MBAM

Pomohlo, díky za vaši trpělivost, připadám si jako blbec (měl jsem strach že to modré okno, které jsem předtím neviděl, je další zákeřný projev viru). Vše proběhlo dle Vašeho návodu, posílám log

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Verze databáze: 6116

Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 6.0.2900.5512

21.3.2011 9:06:27
mbam-log-2011-03-21 (09-06-18).txt

Typ kontroly: Rychlý test
Testované objekty: 140433
Uplynulý èas: 2 minut, 54 sekund

Infikované procesy v pamìti: 0
Infikované moduly v pamìti: 0
Infikované klíèe v registru: 6
Infikované hodnoty v registru: 2
Infikované datové položky v registru: 0
Infikované složky: 0
Infikované soubory: 17

Infikované procesy v pamìti:
(Žádné škodlivé položky nebyly zjištìny)

Infikované moduly v pamìti:
(Žádné škodlivé položky nebyly zjištìny)

Infikované klíèe v registru:
HKEY_CURRENT_USER\SOFTWARE\A9YA3MI1CF (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\VXEG3ZNNE5 (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\Software\VB and VBA Program Settings\SrvID (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DataDisp32 (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SSHNAS (Trojan.Renos) -> No action taken.

Infikované hodnoty v registru:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\A9YA3MI1CF (Trojan.Downloader) -> Value: A9YA3MI1CF -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\oFaMbDd11002 (Trojan.FakeAlert) -> Value: oFaMbDd11002 -> No action taken.

Infikované datové položky v registru:
(Žádné škodlivé položky nebyly zjištìny)

Infikované složky:
(Žádné škodlivé položky nebyly zjištìny)

Infikované soubory:
c:\documents and settings\Fanda\local settings\Temp\Kvt.exe (Trojan.Downloader) -> No action taken.
c:\documents and settings\all users\application data\ofambdd11002\ofambdd11002.exe (Trojan.FakeAlert) -> No action taken.
c:\WINDOWS\system32\sshnas21.dll (Trojan.Downloader) -> No action taken.
c:\documents and settings\Fanda\local settings\Temp\0.30268286435256075.exe (Trojan.Downloader) -> No action taken.
c:\documents and settings\Fanda\local settings\Temp\jar_cache1310932358311900380.tmp (Trojan.FakeAlert) -> No action taken.
c:\documents and settings\Fanda\local settings\Temp\Kvp.exe (Trojan.Downloader) -> No action taken.
c:\documents and settings\Fanda\local settings\Temp\Kvq.exe (Trojan.Downloader) -> No action taken.
c:\documents and settings\Fanda\local settings\Temp\Kvr.exe (Trojan.Downloader) -> No action taken.
c:\documents and settings\Fanda\local settings\Temp\Kvs.exe (Trojan.Downloader) -> No action taken.
c:\documents and settings\Fanda\local settings\Temp\Kvu.exe (Trojan.Downloader) -> No action taken.
c:\documents and settings\Fanda\local settings\Temp\sshnas21.dll (Trojan.Downloader) -> No action taken.
c:\WINDOWS\Knohya.exe (Trojan.Downloader) -> No action taken.
c:\documents and settings\Fanda\application data\data.dat (Stolen.Data) -> No action taken.
c:\WINDOWS\system32\tdssinit.dll (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\tdssservers.dat (Trojan.Agent) -> No action taken.
c:\WINDOWS\Tasks\{22116563-108c-42c0-a7ce-60161b75e508}.job (Trojan.Downloader) -> No action taken.
c:\WINDOWS\Tasks\{35dc3473-a719-4d14-b7c1-fd326ca84a0c}.job (Trojan.Downloader) -> No action taken.

[cernohous13]

Tak už jsi se naučil zas něco nového

MBAM spustit znovu - dát Úplná kontrola
po ukončení -> Zobrazit výsledky -> zkontrolovat zda je vše označeno -> Odstranit označené
vyběhne log, ve kterém budou záznamy tohoto typu:
Infikované hodnoty v registru:
HKEY_CURRENT_USER\xxxxxx -> Quarantined and deleted successfully.
ten bych taky rád viděl

Pokud jsi mezitím restartoval, tak znovu RKILL a pak MBAM
může být i v Nouzovém režimu

neboj se, spolu to zvládneme

[Davian]

Tak už jsi se naučil zas něco nového

MBAM spustit znovu - dát Úplná kontrola
po ukončení -> Zobrazit výsledky -> zkontrolovat zda je vše označeno -> Odstranit označené
vyběhne log, ve kterém budou záznamy tohoto typu:
Infikované hodnoty v registru:
HKEY_CURRENT_USER\xxxxxx -> Quarantined and deleted successfully.
ten bych taky rád viděl

Pokud jsi mezitím restartoval, tak znovu RKILL a pak MBAM
může být i v Nouzovém režimu

neboj se, spolu to zvládneme

Hotovo - zde je výsledný log

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Verze databáze: 6116

Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 6.0.2900.5512

21.3.2011 11:39:46
mbam-log-2011-03-21 (11-39-46).txt

Typ kontroly: Úplný test (C:\|)
Testované objekty: 197868
Uplynulý èas: 15 minut, 50 sekund

Infikované procesy v pamìti: 0
Infikované moduly v pamìti: 0
Infikované klíèe v registru: 6
Infikované hodnoty v registru: 2
Infikované datové položky v registru: 0
Infikované složky: 0
Infikované soubory: 18

Infikované procesy v pamìti:
(Žádné škodlivé položky nebyly zjištìny)

Infikované moduly v pamìti:
(Žádné škodlivé položky nebyly zjištìny)

Infikované klíèe v registru:
HKEY_CURRENT_USER\SOFTWARE\A9YA3MI1CF (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\VXEG3ZNNE5 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\VB and VBA Program Settings\SrvID (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DataDisp32 (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SSHNAS (Trojan.Renos) -> Quarantined and deleted successfully.

Infikované hodnoty v registru:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\A9YA3MI1CF (Trojan.Downloader) -> Value: A9YA3MI1CF -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\oFaMbDd11002 (Trojan.FakeAlert) -> Value: oFaMbDd11002 -> Quarantined and deleted successfully.

Infikované datové položky v registru:
(Žádné škodlivé položky nebyly zjištìny)

Infikované složky:
(Žádné škodlivé položky nebyly zjištìny)

Infikované soubory:
c:\documents and settings\Fanda\local settings\Temp\Kvt.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\documents and settings\all users\application data\ofambdd11002\ofambdd11002.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\sshnas21.dll (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\documents and settings\Fanda\local settings\Temp\0.30268286435256075.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\documents and settings\Fanda\local settings\Temp\jar_cache1310932358311900380.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\documents and settings\Fanda\local settings\Temp\Kvp.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\documents and settings\Fanda\local settings\Temp\Kvq.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\documents and settings\Fanda\local settings\Temp\Kvr.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\documents and settings\Fanda\local settings\Temp\Kvs.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\documents and settings\Fanda\local settings\Temp\Kvu.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\documents and settings\Fanda\local settings\Temp\sshnas21.dll (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\system volume information\_restore{3f2230c5-9e8d-49de-9664-308ace7bb8ca}\RP1062\A0184867.exe (Trojan.Backdoor) -> Quarantined and deleted successfully.
c:\WINDOWS\Knohya.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\documents and settings\Fanda\application data\data.dat (Stolen.Data) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\tdssinit.dll (Trojan.Agent) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\tdssservers.dat (Trojan.Agent) -> Quarantined and deleted successfully.
c:\WINDOWS\Tasks\{22116563-108c-42c0-a7ce-60161b75e508}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\WINDOWS\Tasks\{35dc3473-a719-4d14-b7c1-fd326ca84a0c}.job (Trojan.Downloader) -> Quarantined and deleted successfully.

[JaRon]

pokial sa objavi kolega pouzi TDSSKiller vid navod Rudy http://www.viry.cz/forum/viewtopic.php? ... er#p969578

[Davian]

pokial sa objavi kolega pouzi TDSSKiller vid navod Rudy http://www.viry.cz/forum/viewtopic.php? ... er#p969578

Díky, nic to nenašlo - zde je log

2011/03/21 13:42:21.0015 0540 TDSS rootkit removing tool 2.4.21.0 Mar 10 2011 12:26:28
2011/03/21 13:42:21.0593 0540 ================================================================================
2011/03/21 13:42:21.0593 0540 SystemInfo:
2011/03/21 13:42:21.0593 0540
2011/03/21 13:42:21.0593 0540 OS Version: 5.1.2600 ServicePack: 3.0
2011/03/21 13:42:21.0593 0540 Product type: Workstation
2011/03/21 13:42:21.0593 0540 ComputerName: OMGWTF-99IMRQTG
2011/03/21 13:42:21.0593 0540 UserName: Fanda
2011/03/21 13:42:21.0593 0540 Windows directory: C:\WINDOWS
2011/03/21 13:42:21.0593 0540 System windows directory: C:\WINDOWS
2011/03/21 13:42:21.0593 0540 Processor architecture: Intel x86
2011/03/21 13:42:21.0593 0540 Number of processors: 2
2011/03/21 13:42:21.0593 0540 Page size: 0x1000
2011/03/21 13:42:21.0593 0540 Boot type: Safe boot with network
2011/03/21 13:42:21.0593 0540 ================================================================================
2011/03/21 13:42:21.0765 0540 Initialize success
2011/03/21 13:42:30.0859 1580 ================================================================================
2011/03/21 13:42:30.0859 1580 Scan started
2011/03/21 13:42:30.0859 1580 Mode: Manual;
2011/03/21 13:42:30.0859 1580 ================================================================================
2011/03/21 13:42:38.0500 1580 ================================================================================
2011/03/21 13:42:38.0500 1580 Scan finished
2011/03/21 13:42:38.0500 1580 ================================================================================

[JaRon]

to je fajn, lebo s tymto rootkitom nie su zarty, no zda sa, ze MBAM ho dokonale vyprasil
zaverecne slovo ponecham na kolegu, ja len aby si nebol len tak volnepohodeny

[Davian]

to je fajn, lebo s tymto rootkitom nie su zarty, no zda sa, ze MBAM ho dokonale vyprasil
zaverecne slovo ponecham na kolegu, ja len aby si nebol len tak volnepohodeny

Díky moc vám oběma, cením si toho. Počítač v normal režimu teď pracuje normálně po kolegově kůře zdá se.