Jak usunąć TR/Crypt.XPACK.Gen? LOG

Dla specjalistów Bezpieczeństwo
#1

Witam! A więc nie mogę usunąć tego wirusa.Mam go na każdej z partycji ( a mam 3 partycje i 2 dyski w komp) Informacja o wirusie pojawia się za każdym razem po uruchomieniu kompa . Po skanowaniu nie można go usunąć (pisze że plik nie może być przeniesiony) Używam Ashampoo AntiVirus 1.61 . Proszę z sprawdzenie loga z Hijackthis:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 09:32:21, on 2009-05-01

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\system32\winlogon.exe

D:\WINDOWS\system32\services.exe

D:\WINDOWS\system32\lsass.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\Explorer.EXE

D:\WINDOWS\system32\spoolsv.exe

D:\Program Files\Ashampoo\Ashampoo AntiVirus\ashAvSrv.exe

D:\WINDOWS\system32\nvsvc32.exe

D:\Program Files\D-Link\AirPlus G\AirGCFG.exe

D:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe

D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis3a.exe

D:\WINDOWS\system32\ctfmon.exe

D:\Program Files\Ashampoo\Ashampoo AntiVirus\GuardGui.exe

D:\WINDOWS\system32\wscntfy.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\system32\wpabaln.exe

D:\PROGRA~1\FREEWI~1\Regpair.exe

D:\Program Files\Internet Explorer\iexplore.exe

D:\Program Files\Internet Explorer\iexplore.exe

D:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.comodo.com/search/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=10.0.4.1:3128

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - URLSearchHook: (no name) - {0579B4B6-0293-4d73-B02D-5EBB0BA0F0A2} - D:\Program Files\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL

O2 - BHO: Ask Search Assistant BHO - {0579B4B1-0293-4d73-B02D-5EBB0BA0F0A2} - D:\Program Files\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Ask Toolbar BHO - {F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA} - D:\Program Files\AskSBar\bar\1.bin\ASKSBAR.DLL

O3 - Toolbar: Ask Toolbar - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - D:\Program Files\AskSBar\bar\1.bin\ASKSBAR.DLL

O4 - HKLM…\Run: [soltek] D:\WINDOWS\system32\autorun.exe

O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

O4 - HKLM…\Run: [nwiz] nwiz.exe /install

O4 - HKLM…\Run: [D-Link AirPlus G] D:\Program Files\D-Link\AirPlus G\AirGCFG.exe

O4 - HKLM…\Run: [ANIWZCS2Service] D:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe

O4 - HKLM…\Run: [pdfFactory Pro Dyspozytor v3] “D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis3a.exe” /source=HKLM

O4 - HKLM…\Run: [COMODO SafeSurf] “D:\Program Files\COMODO\SafeSurf\cssurf.exe” -s

O4 - HKLM…\Run: [COMODO Firewall Pro] “D:\Program Files\COMODO\Firewall\cfp.exe” -h

O4 - HKLM…\RunOnce: [COMODO Firewall Pro] “D:\Program Files\COMODO\Firewall\cfpconfg.exe” -z -o

O4 - HKCU…\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe

O4 - HKCU…\Run: [cdoosoft] D:\WINDOWS\system32\olhrwef.exe

O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA LOKALNA’)

O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’)

O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’)

O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’)

O4 - Global Startup: Adobe Reader Speed Launch.lnk = D:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe

O4 - Global Startup: Adobe Reader Synchronizer.lnk = D:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe

O4 - Global Startup: GuardGui.lnk = D:\Program Files\Ashampoo\Ashampoo AntiVirus\GuardGui.exe

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe

O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip…{4777E0F7-605E-4D81-91D1-F4560265A6E7}: NameServer = 10.0.4.1,213.199.204.65

O20 - AppInit_DLLs: D:\WINDOWS\system32\guard32.dll D:\WINDOWS\system32\cssdll32.dll

O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - D:\Program Files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe

O23 - Service: avGuard Service (avGuard) - Unknown owner - D:\Program Files\Ashampoo\Ashampoo AntiVirus\ashAvSrv.exe

O23 - Service: COMODO Firewall Pro Helper Service (cmdAgent) - Unknown owner - D:\Program Files\COMODO\Firewall\cmdagent.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe

End of file - 4786 bytes

#2

Zmiana zasad wklejania logów na forum - viewtopic.php?f=16&t=253052

Daj log z ComboFix

R3 - URLSearchHook: (no name) - {0579B4B6-0293-4d73-B02D-5EBB0BA0F0A2} - D:\Program Files\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL

O2 - BHO: Ask Search Assistant BHO - {0579B4B1-0293-4d73-B02D-5EBB0BA0F0A2} - D:\Program Files\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL	

O2 - BHO: Ask Toolbar BHO - {F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA} - D:\Program Files\AskSBar\bar\1.bin\ASKSBAR.DLL	

O3 - Toolbar: Ask Toolbar - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - D:\Program Files\AskSBar\bar\1.bin\ASKSBAR.DLL

O4 - HKCU\..\Run: [cdoosoft] D:\WINDOWS\system32\olhrwef.exe

Użyj - http://www.bezpieczenstwosystemow.pl/in … pic=1647.0

- Flash Disinfector

- BitDefender Pica Removal Tool

- PRT (Perlovga Removal Tool)
#3

Oto log z ComboFix:

http://www.wklej.org/id/85047/

#4

Wklej do Notatnika:

File::

D:\e2.cmd

D:\0xuc.com


Folder::

d:\program files\AskSBar


Registry::

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0579B4B1-0293-4d73-B02D-5EBB0BA0F0A2}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe ) Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe ) – podobnie jak na tym obrazku –>cfscript10uc2.gif

#5

Hej oto mój nowy log po tym co kazałeś mi zrobić :slight_smile: http://www.wklej.org/id/85162/

mam pytanie co z moim pendrivem ?? bo myśle że to od niego te wirusy bo pojawiły się wczoraj jak chciałam coś zgrać, co mam z nim zrobić?? mam na nim kopie swojej pracy licencjackiej, którą pisze …

Dodane 01.05.2009 (Pt) 16:56

Jeszcze dodaje nowy log z comboFix: http://www.wklej.org/id/85169/ proszę o sprawdzenie :slight_smile:

#6

Log Ok z Combo, co do pendriva to dałem wyżej temat.

#7

Ok to dzięki :slight_smile: :slight_smile: zobacze tego pendriva jak coś to będe pisać pozdrawiam