Вирус ли е това ?

[KamiEl]

От известно време при стартиране на играта " World Of Warcraft " ми се появява съобщение за открит вирус 090226-Rootkit.Win32.TDSS.gwh. Не съм забелязал проблеми в РС-то, NOD32 не показва нищо.Трябва ли това съобщение да ме стряска ?

AutoRuns.txt

Имам и hijackthis.txt файл,но системата ,не знам защо,не ми позволява да го прикача като .txt файл,затова го качвам като .rar

hijackthis.rar

[Night_Raven]

Изтегли GMER. Разархивирай и стартирай програмата. Тя ще направи начално сканиране за секунди. След като то приключи НЕ кликай бутон Scan, а кликни бутон Copy и после пейстни съдържанието тук (Ctrl+V). Ако програмата предложи да направи пълно сканиране, откажи.

[KamiEl]

GMER 1.0.15.14878 - http://www.gmer.net

Rootkit scan 2009-03-11 19:20:23

Windows 5.1.2600 Service Pack 2

 

 

---- System - GMER 1.0.15 ----

 

Code 8618E858 ZwEnumerateKey

Code 86199858 ZwFlushInstructionCache

Code 8625EEF6 IofCallDriver

Code 861FE636 IofCompleteRequest

 

---- Devices - GMER 1.0.15 ----

 

Device \FileSystem\Ntfs \Ntfs 8676B1F8

 

AttachedDevice \FileSystem\Ntfs \Ntfs eamon.sys (Amon monitor/ESET)

 

Device \FileSystem\Fastfat \Fat 859FA500

Device \FileSystem\Fastfat \Fat 85F92638

 

AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

AttachedDevice \FileSystem\Fastfat \Fat eamon.sys (Amon monitor/ESET)

AttachedDevice \Driver\Tcpip \Device\Tcp epfwtdir.sys

 

---- Modules - GMER 1.0.15 ----

 

Module _________ F7300000-F7318000 (98304 bytes)

 

---- Services - GMER 1.0.15 ----

 

Service C:\WINDOWS\system32\drivers\UACdltpqoqb.sys (*** hidden *** ) [sYSTEM] UACd.sys <-- ROOTKIT !!!

 

---- EOF - GMER 1.0.15 ----

[Night_Raven]

Сканирай със SUPERAntiSpyware Free и Malwarebytes' Anti-Malware

 

За SUPERAntiSpyware:

- стартирай програмата от Start -> All Programs -> SUPERAntiSpyware -> SUPERAntiSpyware Alternate Start;

- кликни бутон Scan your Computer;

- вляво избери само дял C:, а вдясно избери Perform Complete Scan;

- кликни Next и изчакай да сканира;

- кликни Next, за да се премахнат гадинките и накрая Finish;

- кликни бутон Preferences... и иди на подпрозорец Statistics/Logs, маркирай последния лог и кликни бутон View Log...;

- копирай съдържанието му тук.

 

За Malwarebytes' Anti-Malware:

- отвори C:\Program Files\Malwarebytes' Anti-Malware и преименувай mbam.exe на нещо друго, например tralala.exe;

- стартирай програмата;

- избери Perform quick scan и кликни бутон Scan;

- като приключи сканирането кликни бутон Remove Selected;

- ще се появи текстов файл (лог), копирай съдържанието му тук.

 

Ако е нужен рестарт при някое от сканиранията, се съгласи и рестартирай веднага.

[KamiEl]

Не мога да инсталирам нито една от двете програми - изтеглих ги и от линковете и от нета,теглих ги с три браузера - във всички случаи излиза прозореца с предложението да изпратя съобщение за проблема до Microsoft.За проба инсталирах произволна програма от моя архив - инстална се без проблеми,само дето не я пробвах дали работи,но мисля,че не би трябвало да има проблем.Ако трябва,и това ще пробвам!

[Night_Raven]

Опитай да им преименуваш имената на инсталациите.

[KamiEl]

И с преименуване не става-отново майкрософтския прозорец.

[Night_Raven]

Start -> Run -> пишеш devmgmt.msc -> OK. От меню View избери Show hidden devices. В новопоявилия се списък Non-Plug and Play drivers намери SSDT..., двоен клик върху него -> Driver. От падащото меню избери Disabled. Потвърди с OK на всички прозорци и рестартирай системата. Опитай отново да инсталираш програмите.

[KamiEl]

SUPERAntiSpyware Scan Log

http://www.superantispyware.com

 

Generated 03/11/2009 at 09:33 PM

 

Application Version : 4.25.1014

 

Core Rules Database Version : 3791

Trace Rules Database Version: 1747

 

Scan type : Quick Scan

Total Scan Time : 00:05:58

 

Memory items scanned : 397

Memory threats detected : 0

Registry items scanned : 400

Registry threats detected : 4

File items scanned : 5544

File threats detected : 7

 

Rootkit.Agent/Gen-UACFake

HKLM\system\controlset001\services\UACd.sys

C:\WINDOWS\SYSTEM32\DRIVERS\UACDLTPQOQB.SYS

HKLM\system\controlset002\services\UACd.sys

 

Adware.MyWebSearch/FunWebProducts

HKCR\CLSID\{9AFB8248-617F-460d-9366-D71CDEDA3179}

HKCR\CLSID\{9AFB8248-617F-460d-9366-D71CDEDA3179}\TreatAs

 

Trojan.SVCHost/Fake

C:\DOCUMENTS AND SETTINGS\MINCHO\APPLICATION DATA\THINSTALL\CLONEDVD 4.2.5.0\1000000600002I\SVCHOST.EXE

C:\DOCUMENTS AND SETTINGS\MINCHO\APPLICATION DATA\THINSTALL\INSTALLSHIELD UNINSTALL INFORMATION\1000000600002I\SVCHOST.EXE

C:\DOCUMENTS AND SETTINGS\MINCHO\APPLICATION DATA\THINSTALL\SONY NOISE REDUCTION PLUG-IN 2.0H\1000000600002I\SVCHOST.EXE

C:\DOCUMENTS AND SETTINGS\MINCHO\APPLICATION DATA\THINSTALL\SOUND FORGE AUDIO STUDIO 9\1000000600002I\SVCHOST.EXE

 

Trojan.Unclassified/Loader-Suspicious

F:\PROGRAMS\1.-PROGRAMS\1_INSTALATION CD\2.PORTABLE SOFTWARE\MOVAVI VIDEO CONVERTER 6 (NTSC TO PAL CONVERS)\LOADER.EXE

C:\DOCUMENTS AND SETTINGS\MINCHO\DESKTOP\LOADER.LNK

[Night_Raven]

А Malwarebytes' Anti-Malware?

[KamiEl]

Malwarebytes' Anti-Malware 1.34

Версия на базата от данни: 1836

Windows 5.1.2600 Service Pack 2

 

11.3.2009 г. 22:16:19

mbam-log-2009-03-11 (22-16-19).txt

 

Тип сканиране: Бързо сканиране

Сканирани обекти: 64282

Изминало време: 2 minute(s), 36 second(s)

 

Заразени процеси в паметта: 0

Заразени модули в паметта: 0

Заразени ключове в регистратурата: 1

Заразени стойности в регистратурата: 0

Заразени информационни обекти в регистратурата: 0

Заразени папки: 0

Заразени файлове: 6

 

Заразени процеси в паметта:

(Не бяха открити заплахи)

 

Заразени модули в паметта:

(Не бяха открити заплахи)

 

Заразени ключове в регистратурата:

HKEY_LOCAL_MACHINE\SOFTWARE\UAC (Rootkit.Trace) -> Quarantined and deleted successfully.

 

Заразени стойности в регистратурата:

(Не бяха открити заплахи)

 

Заразени информационни обекти в регистратурата:

(Не бяха открити заплахи)

 

Заразени папки:

(Не бяха открити заплахи)

 

Заразени файлове:

C:\WINDOWS\system32\UACorobqjiw.dll (Trojan.TDSS) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\UACwmrxfyat.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.

C:\Documents and Settings\Mincho\Local Settings\Temp\UACb298.tmp (Rootkit.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\uacinit.dll (Trojan.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\UACakrwfnyy.log (Trojan.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\UACqgkxgrdv.dat (Trojan.Agent) -> Quarantined and deleted successfully.

[Night_Raven]

Това в общи линии би трябвало да е елиминирало гадинката, но ако искаш и ти се занимава, можеш да удариш един рестарт, да провериш отново в Device Manager дали ще има TDSS обекта и да пуснеш по още едно сканиране с програмите, ако не те бърка. Също не би било лоша идея да пуснеш и едно пълно сканиране с антивирусната. Ей така, профилактично.

 

Ако ползваш Javа, се увери, че последната версия.

[KamiEl]

SUPERAntiSpyware Scan Log

http://www.superantispyware.com

 

Generated 03/11/2009 at 11:03 PM

 

Application Version : 4.25.1014

 

Core Rules Database Version : 3791

Trace Rules Database Version: 1747

 

Scan type : Complete Scan

Total Scan Time : 00:18:25

 

Memory items scanned : 390

Memory threats detected : 0

Registry items scanned : 4880

Registry threats detected : 2

File items scanned : 14269

File threats detected : 5

 

Adware.MyWebSearch/FunWebProducts

HKCR\CLSID\{9AFB8248-617F-460d-9366-D71CDEDA3179}

HKCR\CLSID\{9AFB8248-617F-460d-9366-D71CDEDA3179}\TreatAs

 

Trojan.Unclassified/Loader-Suspicious

F:\PROGRAMS\1.-PROGRAMS\1_INSTALATION CD\2.PORTABLE SOFTWARE\MOVAVI VIDEO CONVERTER 6 (NTSC TO PAL CONVERS)\LOADER.EXE

C:\DOCUMENTS AND SETTINGS\MINCHO\DESKTOP\LOADER.LNK

C:\SYSTEM VOLUME INFORMATION\_RESTORE{F6227D73-3EC3-42B5-94E4-65AFCB795149}\RP284\A0070947.LNK

C:\SYSTEM VOLUME INFORMATION\_RESTORE{F6227D73-3EC3-42B5-94E4-65AFCB795149}\RP284\A0070948.LNK

 

Spyware.RelevantKnowledge

C:\SYSTEM VOLUME INFORMATION\_RESTORE{F6227D73-3EC3-42B5-94E4-65AFCB795149}\RP296\A0073111.EXE

 

NOD32 и Malwarebytes' Anti-Malware не откриха заплахи.

[Night_Raven]

Бих предложил да изтриеш всички точки на възстановяване.

[KamiEl]

Изтрих ги ,но отново ги показа.За проба изтрих ключовете от лог-файла от регистрите и папките и отново сканирах. Този път всичко бе чисто.

Между другото,ще има ли на практика разлика в работата на SUPERAntiSpyware Free и Pro Edition,защото на теория платените винаги са най...!