Mtvdemd.exe

[Kainmaze]

Witam. Postanowiłem zrobić sobie kontrolny skan programem hijack this i wynalazłem plik 'mtvdemd.exe' oznaczony jako neutral. Pogooglowałem i dowiedziałem się, że to jakiś rodzaj robaka, więc zwracam się z prośbą o pomoc w jego usunięciu Jeżeli znajdziecie coś jeszcze, to również prosiłbym o pomoc.

 

 

Plik po zabiciu jego procesu odnawia się, więc potraktowałem go hijackiem - nadal widnieje w procesach.

 

OTL: http://wklej.org/id/714881/

Extras: http://wklej.org/id/714883/

 

Próbowałem również odpalić GMER, ale komputer zawieszał wszystkie procesy (przeglądarka nie mogła przełączyć karty, nie można odświeżyć pulpitu, ale da się np. minimalizować okna folderów czy przeglądarki). Jeżeli jest to te słynne rozpoczęcie skanowania to po prostu dajcie znać, przeczekam te kilkanaście-kilkadziesiąt minut.

 

Log OTL po wykorzystaniu hijacka i malwarebytesa: http://wklej.org/id/714911/

[Landuss]

Rzeczywiście ten plik wygląda podejrzanie i w dodatku startuje z Tempów wraz z drugim plikiem do pary:

 

PRC - [2012-03-03 21:43:39 | 000,041,984 | ---- | M] (Microsoft Corporation) -- C:\Documents and Settings\User\Ustawienia lokalne\Temp\System\mtvdemd.exe

PRC - [2012-02-27 17:03:43 | 000,165,888 | ---- | M] () -- C:\Documents and Settings\User\Ustawienia lokalne\Temp\System\hpwebregUI.exe

 

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:Files
C:\Documents and Settings\User\Ustawienia lokalne\Temp\System
 
:Services
MBAMSwissArmy
 
:Reg
[HKEY_USERS\S-1-5-21-839522115-2000478354-1801674531-1001\Software\Microsoft\Windows\CurrentVersion\Run]
"© Microsoft Real Time Media Stack"=-
 
:Commands
[emptytemp]

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

[Kainmaze]

Po wklejeniu i uaktywnieniu skryptu pojawia się komunikat 'killing process'. Wydaje się, że OTL pracuje, znika explorer.exe i wtedy pojawia się podobna sytuacja co w przypadku gmera - wszystkie procesy się zawieszają, można je tylko minimalizować, a wszystko trwa dość długo i nie widać postępu. Nie było tak nawet w przypadku o wiele poważniejszej infekcji (zero access). Wydaje mi się, że OTL kasuje proces, a ten odtwarza się na nowo (jak w wypadku zatrzymywania ręcznego) i powstaje błędne koło.

 

Podczas skanowania OTL zaprzestał pracy i wyskoczył komunikat malwarebytes:

http://i40.tinypic.com/2lcrx2e.jpg

 

Po wrzuceniu go do kwarantanny OTL ruszył dalej, ale po chwili znów przestał odpowiadać, a menadżer zadań wskazuje na 100% użycia procesora. Zabiłem proces mtvdemd i o dziwo nie odtworzył się, użycie procesora spadło do 70%, ale w ciągu 10 sekund stopniowo podskoczyło do 100%. Proces hpwebregUI nie pokazuje się.

 

Dłuższą chwilę po zabiciu procesu mtvdemd OTL ruszył jakby z podwójną mocą, a użycie procesora waha się pomiędzy 4-10%. Wrzucam log:

 

http://wklej.org/id/715119/

[Landuss]

Infekcja nie jest usunięta. Wklej do OTL nieco zmieniony skrypt:

 

:Processes
killallprocesses
 
:Files
C:\Documents and Settings\User\Ustawienia lokalne\Temp\System
 
:Reg
[HKEY_USERS\S-1-5-21-839522115-2000478354-1801674531-1001\Software\Microsoft\Windows\CurrentVersion\Run]
"© Microsoft Real Time Media Stack"=-
 
:Commands
[emptytemp]

 

Nowy log z OTL do wglądu. Jeśli będzie problem wykonaj to wszystko w trybie awaryjnym.

[Kainmaze]

Log z usuwania: http://wklej.org/id/715296/

OTL: http://wklej.org/id/715297/

[Landuss]

Tym razem usunięte jak należy. na koniec do wykonania:

 

1. Użyj opcji Sprzątanie z OTL.

 

2. Opróżnij folder przywracania systemu: KLIK

 

3. Zaktualizuj wymienione oprogramowania do najnowszych wersji:

 

Internet Explorer (Version = 7.0.5730.11)

"{26A24AE4-039D-4CA4-87B4-2F83216030FF}" = Java 6 Update 30

"Adobe Acrobat 5.0" = Adobe Acrobat 5.0

"Mozilla Firefox (3.6.28)" = Mozilla Firefox (3.6.28)

 

Szczegóły aktualizacyjne: KLIK

 

BTW: odinstaluj zbędny NCH Toolbar.

[Kainmaze]

Zrobione.