Hello4 + Blank Window 2

[Ranym]

Witam. Dzisiaj włączyłem komputer i ku mojemu zdziwieniu, pojawiły się 2 okienka o nazwach Hello4 i Blank Window2. Komputer pracuje jakby wolniej, a hello4 uniemożliwia mi wyłączenie komputera (wyskakuje okienko z napisem "zakończ teraz" które pojawia się ponownie po kliknięciu.

Edit: Zapomniałem napisać, że od kiedy pojawiło się te okienko, przycinają mi się filmy, zarówno te na youtube jak i te z dysku twardego.

Btw. Usunąłem daemon tools lite przez panel sterowania, a sptdinst nie wykrył sterowników.

 

Obowiązkowe skany w załącznikach. Nowy dokument tekstowy - GMER.

OTL.Txt

Extras.Txt

Nowy Dokument tekstowy.txt

[Landuss]

"Hello4" oraz "Blank Window2" to oznaki rootkita w MBR co potwierdza też Gmer. Pierwsze co wykonaj to skan narzędziem Kaspersky TDSSKiller. Kiedy wykryje rootkita TDL kliknij w opcję Cure. Wklej z niego wynikowy raport oraz nowy log z Gmer.

[Ranym]

Raport z TDSSKillera

 

\Device\Harddisk0\DR0 (Rootkit.Win32.TDSS.tdl4) - will be cured after reboot

\Device\Harddisk0\DR0 - ok

 

Tylko, że jak resetuję komputer w kolejnym skanie jest to samo.

[Landuss]

W takim razie pozostaje ręczne nadpisanie MBR - start do Konsoli Odzyskiwania i użyć polecenia FIXMBR

 

Potem skan dla pewności Kasperskym i Gmerem + wklejenie raportów.

[Ranym]

Przepraszam - pomyliłem się. Za drugim razem po kliknięciu reboot now w TDSSKillerze po resecie już nic on nie wykrywa.

 

Skan z GMER'a zaraz wkleję

 

Edit: Kaspersky nic nie wykrywa, a jedyne co pojawiło się w GMERZE to:

 

GMER 1.0.15.15641 - http://www.gmer.net

Rootkit scan 2011-09-21 21:44:55

Windows 5.1.2600 Dodatek Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 WDC_WD4000AAJB-00YRA0 rev.12.01C02

Running: cbw1hg2f.exe; Driver: C:\DOCUME~1\Mynar\USTAWI~1\Temp\kgxirkob.sys

 

 

---- Kernel code sections - GMER 1.0.15 ----

 

.text C:\WINDOWS\system32\DRIVERS\ati2mtag.sys section is writeable [0xF69EF000, 0x2AAE02, 0xE8000020]

 

---- EOF - GMER 1.0.15 ----

 

 

Ale wirus wciąż jest aktywny, bo gdy rebootowałem komputer po kaspersky'm to pojawiły się na chwile te okienka i przez hello4.exe nie mogę wyłączyć komputera.

[Landuss]

W porządku, teraz można się brać za inne trojany obecne w systemie.

 

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:Files
C:\WINDOWS\tasks\At*.job
C:\WINDOWS\Fonts\rkR65QFA.com
C:\Documents and Settings\Mynar\Dane aplikacji\update.exe
C:\Documents and Settings\All Users\Dane aplikacji\8B05jvDKD.dat
 
:OTL
O4 - HKU\S-1-5-21-606747145-287218729-725345543-1003..\Run: [daemon] C:\Documents and Settings\Mynar\Dane aplikacji\Microsoft\Helper\daemon.exe ()
O9 - Extra Button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe File not found
O9 - Extra 'Tools' menuitem : Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe File not found
O20 - Winlogon\Notify\jamirte: DllName - (C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\jamirte.dll) - C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\jamirte.dll ()
 
:Commands
[emptyflash]
[emptytemp]

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z opcji Scan.

 

[Ranym]

Skan z AD-Removera, reszta w załącznikach.

 

======= REPORT FROM AD-REMOVER 2.0.0.2,G | ONLY XP/VISTA/7 =======

 

Updated by TeamXscript on 12/04/11

Contact: AdRemover[DOT]contact[AT]gmail[DOT]com

website: http://www.teamxscript.org

 

C:\Program Files\Ad-Remover\main.exe (SCAN [2]) -> Launched at 21:58:14 on 21/09/2011, Normal boot

 

Microsoft Windows XP Professional Dodatek Service Pack 3 (X86)

Mynar@DOM-9E54197A8A2 ( )

 

============== SEARCH ==============

 

 

 

 

 

============== ADDITIONNAL SCAN ==============

 

-- C:\Documents and Settings\Mynar\Dane aplikacji\Mozilla\FireFox\Profiles\ub2na79f.default --

Extensions\battlefieldheroespatcher@ea.com (Battlefield Heroes Updater)

Searchplugins\google-pl.xml (?)

Prefs.js - browser.download.lastDir, C:\\Documents and Settings\\Mynar\\Moje dokumenty\\Pobieranie

Prefs.js - browser.search.selectedEngine, Google PL

Prefs.js - browser.startup.homepage_override.buildID, 20110615151330

Prefs.js - browser.startup.homepage_override.mstone, rv:5.0

 

========================================

 

**** Google Chrome Version [14.0.835.163] ****

 

 

-- C:\Documents and Settings\Mynar\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default --

Preferences - default_search_provider: "Google" (Enabled: true) (?)

Preferences - homepage: hxxp://www.google.com

Preferences - homepage_is_newtabpage: false

 

========================================

 

**** Internet Explorer Version [8.0.6001.18702] ****

 

HKCU_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

HKCU_Main|Start Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=69157

HKLM_Main|Default_Search_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896

HKLM_Main|Search Page - hxxp://go.microsoft.com/fwlink/?LinkId=54896

HKLM_Main|Start Page - hxxp://go.microsoft.com/fwlink/?LinkId=69157

HKLM_ElevationPolicy\{76E2369A-75BA-41F9-8B9E-16059E5CF9A6} - C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe (JillIlonaArturoJessicaPershing Spirogyra LancasterVasquezPhilDoreen)

HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)

 

========================================

 

C:\Program Files\Ad-Remover\Quarantine: 0 File(s)

C:\Program Files\Ad-Remover\Backup: 1 File(s)

 

C:\Ad-Report-SCAN[1].txt - 21/09/2011 21:54:46 (436 Byte(s))

C:\Ad-Report-SCAN[2].txt - 21/09/2011 21:58:17 (436 Byte(s))

 

End at: 22:01:32, 21/09/2011

 

============== E.O.F ==============

Extras.Txt

OTL.Txt

[Landuss]

Wszystko ładnie zeszło i problem powinien zostać zażegnany, tylko potwierdź to. Do wykonania czynności końcowe:

 

1. Zmień sobie hasła logowania. Rootkity w MBR lubią zbierać te dane.

 

2. Użyj opcję Sprzątanie w OTL oraz odinstaluj Ad-Remover.

 

3. System nie ma pliku hosts:

 

Hosts file not found

 

Otwórz systemowy Notatnik i wklej do niego:

 

127.0.0.1 localhost

 

Plik zapisz jako hosts (bez żadnego rozszerzenia) np. na pulpit a następnie przenieś do lokalizacji C:\Windows\system32\drivers\etc

 

4. Wykonaj aktualizacje oprogramowania:

 

"{26A24AE4-039D-4CA4-87B4-2F83216027FF}" = Java 6 Update 27

"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.0 - Polish

"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin

 

Szczegóły aktualizacyjne w tym wątku: KLIK.

 

5. Opróżnij folder Przywracania systemu: KLIK.

 

 

.

[Ranym]

No nie za bardzo się udało - wciąż przy próbie wyłączenia komputera wyskakuje hello4.exe z "zakończ teraz", a gdy włączam komputer włącza się okno Black Window2.

[Landuss]

W takim razie użyj zgodnie z wytycznymi ComboFix i wklej wynikowy log. Zaprezentuj tez nowy log z Gmer.

[Ranym]

Okej, jutro to zrobię. Dziś już nie dam rady.

 

Ale mam jedno pytanie: Czy format dysku C w jakiś sposób pomoże? Bo i tak niedługo zamierzam zrobić format i zmienić system na Windows 7.

[Landuss]

Format zawsze pomaga, ale nie jest to tutaj wcale potrzebne. Bez formatu da się to załatwić. Oczywiście przejście na Windows 7 jest jak najbardziej słusznym krokiem. Od XP należy już powoli uciekać.

[Ranym]

Ale format zamierzam zrobić tak czy tak. Nie wiem jeszcze kiedy, więc i tak spróbuję jutro zrobić to z Combofixem.

Edytowane 30 Października 2011 przez picasso
30.10.2011 - Upłynął miesiąc, konkretów brak, zamykam. //picasso