Rexaar
(Radek091)
18 Maj 2010 14:11
#1
Witam!
Dzisiaj Kaspersky wykrył konia trojańskiego Trojan-GameThief.Win32.Magania.dgko. Chciałem to usunąć, ale się nie da. Do tego jeszcze doszło to, że przy uruchomieniu ważniejszych aplikacji/programów pojawia się komunikat “Aplikacja lub biblioteka (…) dsoqq0.dll nie jest poprawnym obrazem systemu Windows NT. Sprawdź to z dyskietką instalacyjną.” Nie wiem co robić. Z jakiego programu dać logi? (uruchamia się na pewno HiJackThis). Pomocy.
deFco247
(deFco247)
18 Maj 2010 14:46
#2
Niestety ale masz przestarzałe informacje.
Pokaż logi z narzędzi OTL
Klikasz Run Scan .
Pokazujesz dwa wynikowe logi OTL.txt + Extras.txt
Oprócz tego przy podłączonych wszystkich posiadanych pendrive zastosuj USBFix z opcji piątej .
Zawartość logów wklejasz na wklej.org lub wklej.to , a w poście dajesz link.
Rexaar
(Radek091)
18 Maj 2010 15:00
#3
Kaspersky chyba się już z tym wirusem rozprawił, ale proszę o sprawdzenie logów.
OTL: http://wklej.org/id/336065/
Extras: http://wklej.org/id/336066/
deFco247
(deFco247)
18 Maj 2010 15:23
#4
No a gdzie raport z USBFix? Bez niego nie przeprowadzę usunięcia wszystkich plików infekcji.
Rexaar
(Radek091)
18 Maj 2010 16:25
#5
deFco247
(deFco247)
18 Maj 2010 17:15
#6
W białe dolne okno Custom Scans/Fixes w OTL wklej:
:OTL MOD - [2010-05-18 16:30:01 | 000,072,704 | RHS- | M] () – C:\Documents and Settings\Magda\Ustawienia lokalne\Temp\dsoqq0.dll SRV - File not found [Auto | Stopped] – -- (Norton Internet Security) IE - HKLM…\URLSearchHook: {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Program Files\Winamp Toolbar\winamptb.dll (AOL LLC.) IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource= … =CT1708250 IE - HKCU…\URLSearchHook: {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Program Files\Winamp Toolbar\winamptb.dll (AOL LLC.) IE - HKCU…\URLSearchHook: {57cc715d-37ca-44e4-9ec2-8c2cbddb25ec} - C:\Program Files\Free_Lunch_Design\tbFree.dll (Conduit Ltd.) FF - prefs.js…browser.search.defaultthis.engineName: “Free Lunch Design Customized Web Search” FF - prefs.js…browser.search.defaulturl: “http://search.conduit.com/ResultsExt.aspx?ctid=CT1708250&SearchSource=3&q={searchTerms} ” FF - prefs.js…browser.search.selectedEngine: “Free Lunch Design Customized Web Search” FF - prefs.js…extensions.enabledItems: DTToolbar@toolbarnet.com:1.1.1.0014 FF - prefs.js…extensions.enabledItems: {0b38152b-1b20-484d-a11f-5e04a9b0661f}:5.6.10.1 FF - prefs.js…extensions.enabledItems: {57cc715d-37ca-44e4-9ec2-8c2cbddb25ec}:2.5.6.0 FF - prefs.js…keyword.URL: “http://search.conduit.com/ResultsExt.aspx?ctid=CT1708250&q= ” [2005-02-25 17:22:18 | 000,000,000 | —D | M] (Winamp Toolbar) – C:\Documents and Settings\Magda\Dane aplikacji\Mozilla\Firefox\Profiles\jqs9k9gg.default\extensions{0b38152b-1b20-484d-a11f-5e04a9b0661f} [2010-04-15 00:10:33 | 000,000,000 | —D | M] (Free Lunch Design Toolbar) – C:\Documents and Settings\Magda\Dane aplikacji\Mozilla\Firefox\Profiles\jqs9k9gg.default\extensions{57cc715d-37ca-44e4-9ec2-8c2cbddb25ec} [2005-02-25 11:57:42 | 000,000,000 | —D | M] – C:\Documents and Settings\Magda\Dane aplikacji\Mozilla\Firefox\Profiles\jqs9k9gg.default\extensions\DTToolbar@toolbarnet.com [2010-01-20 12:14:04 | 000,000,937 | ---- | M] () – C:\Documents and Settings\Magda\Dane aplikacji\Mozilla\Firefox\Profiles\jqs9k9gg.default\searchplugins\conduit.xml [2005-02-25 11:57:40 | 000,002,055 | ---- | M] () – C:\Documents and Settings\Magda\Dane aplikacji\Mozilla\Firefox\Profiles\jqs9k9gg.default\searchplugins\daemon-search.xml O2 - BHO: (Winamp Toolbar Loader) - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll (AOL LLC.) O2 - BHO: (Free Lunch Design Toolbar) - {57cc715d-37ca-44e4-9ec2-8c2cbddb25ec} - C:\Program Files\Free_Lunch_Design\tbFree.dll (Conduit Ltd.) O3 - HKLM…\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll () O3 - HKLM…\Toolbar: (Free Lunch Design Toolbar) - {57cc715d-37ca-44e4-9ec2-8c2cbddb25ec} - C:\Program Files\Free_Lunch_Design\tbFree.dll (Conduit Ltd.) O3 - HKLM…\Toolbar: (Winamp Toolbar) - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll (AOL LLC.) O3 - HKCU…\Toolbar\WebBrowser: (Winamp Toolbar) - {EBF2BA02-9094-4C5A-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll (AOL LLC.) O4 - HKCU…\Run: [dso32] C:\Documents and Settings\Magda\Ustawienia lokalne\Temp\dsoqq.exe () O4 - HKCU…\Run: [wsctf.exe] File not found O8 - Extra context menu item: &Winamp Search - C:\Documents and Settings\All Users\Dane aplikacji\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html () MsConfig - StartUpReg: Gadu-Gadu 10 - hkey= - key= - C:\Program Files\Gadu-Gadu 10\gg.exe File not found :Files C:\autorun.inf C:\p6xebrnt.exe C:\rhwhin.exe C:\RECYCLER D:\p6xebrnt.exe D:\rhwhin.exe D:\RECYCLER E:\p6xebrnt.exe E:\rhwhin.exe E:\RECYCLER F:\autorun.inf F:\p6xebrnt.exe F:\rhwhin.exe F:\RECYCLER J:\rhwhin.exe J:\autorun.inf J:\host.exe J:\UFO.exe J:\copy.exe J:\FOUND.000 :Commands [emptytemp] [clearallrestorepoints] [start explorer] [Reboot]
Run Fix . Restart, jeśli będzie potrzebny.
Potem log z usuwania (raport, który wyskoczy po usuwaniu OTL-em) oraz nowy log robiony opcją Run Scan .
Rexaar
(Radek091)
18 Maj 2010 18:20
#7
Po usuwaniu został mi tylko ten log (chyba o ten chodzi):
http://wklej.org/id/336230/
Log zrobiony po usuwaniu:
http://wklej.org/id/336240/
deFco247
(deFco247)
18 Maj 2010 18:34
#8
Log z usuwania wskazuje, że nie był podłączony pendrive J: , a to właśnie na nim znajdował się najgorszy syf…
Na koniec zastosuj z podłączonymi pendrive Panda USB Vaccine .
W OTL kliknij CleanUp .
Wyłącz i włącz Przywracanie Systemu na wszystkich dyskach. Instrukcja XP /Vista /Windows 7 .
Wykonaj pełny skan Malwarebytes’ Anti-Malware - znalezione obiekty usuń.
Gdy będą wirusy pokaż raport po usuwaniu.
Wyczyść rejestr i dysk CCleaner oraz wyłącz nim zbędniki z autostartu (Narzędzia -> Autostart).
Zaktualizuj:
Java 6 Update 20 + Adobe Reader 9.3.2
Odinstaluj zbędny DAEMON Tools Toolbar .