Jak usunąć Win32 trojan gen

qharzfox · 10 Grudzień 2008 11:00

Witam ! ostatnio bardzo spowolniło mi kompa. Używałem avasta i niby nic się nie działo. Ale spowolnienie komputera i internetu oraz problemy z aplikacjami (często sie wieszał) skłoniły mnie do przeskanowania kompa. Avast wykrył mi Win32 trojian gen. Kilka prób usuwania i nic. Zakupiłem Kaspersky internet security 2009 i to samo wykrył mi tego “badziewia” mnóstwo. Nie może sobie z tym poradzić. Troszkę poczytałem o tym pasożycie ale chyba sam sobie nie poradzęe z usunięciem tego ustrojstwa. Bardzo wdzięczny będę za pomoc.

Oto log z Hijakthis:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 08:08:31, on 2008-12-09

Platform: Windows Vista SP1 (WinNT 6.00.1905)

MSIE: Internet Explorer v7.00 (7.00.6001.18000)

Boot mode: Normal

Running processes:

C:\Program Files\DigitalPersona\Bin\DpAgent.exe

C:\Windows\system32\taskeng.exe

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe

C:\Windows\system32\wbem\unsecapp.exe

C:\Windows\System32\mobsync.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

C:\Windows\system32\SearchFilterHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE= … &pf=laptop

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE= … &pf=laptop

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O1 - Hosts: ::1 localhost

O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll

O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - (no file)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - (no file)

O4 - HKLM…\Run: [MSConfig] “C:\Windows\System32\msconfig.exe” /auto

O4 - HKLM…\Run: [AVP] “C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe”

O4 - HKCU…\Run: [MSServer] rundll32.exe C:\Users\qharzfox\AppData\Local\Temp\awtRKCRk.dll,#1

O4 - HKUS\S-1-5-19…\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User ‘USŁUGA LOKALNA’)

O4 - HKUS\S-1-5-19…\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User ‘USŁUGA LOKALNA’)

O4 - HKUS\S-1-5-20…\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User ‘USŁUGA SIECIOWA’)

O8 - Extra context menu item: Dodaj do listy blokowanych banerów - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm

O8 - Extra context menu item: Wyślij obraz do urządzenia &Bluetooth… - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm

O8 - Extra context menu item: Wyślij stronę do urządzenia &Bluetooth… - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: Statystyki ochrony WWW - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O9 - Extra ‘Tools’ menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O13 - Gopher Prefix:

O15 - Trusted Zone: http://www.mks.com.pl

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s … wflash.cab

O17 - HKLM\System\CCS\Services\Tcpip…{8BE68259-1EC8-4024-9A66-5E74198C133E}: NameServer = 78.41.24.1,78.41.24.2

O17 - HKLM\System\CCS\Services\Tcpip…{B4952BB7-2574-4BB1-956E-61530C3D7041}: NameServer = 88.202.112.53,212.31.224.2

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll

O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe

O23 - Service: Com4Qlb - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4Qlb.exe

O23 - Service: Biometric Authentication Service (DpHost) - DigitalPersona, Inc. - C:\Program Files\DigitalPersona\Bin\DpHostW.exe

O23 - Service: HP Health Check Service - Hewlett-Packard - c:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe

O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe

O23 - Service: Intel® Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe

O23 - Service: QuickPlay Background Capture Service (QBCS) (QPCapSvc) - Unknown owner - C:\Program Files\HP\QuickPlay\Kernel\TV\QPCapSvc.exe

O23 - Service: QuickPlay Task Scheduler (QTS) (QPSched) - Unknown owner - C:\Program Files\HP\QuickPlay\Kernel\TV\QPSched.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe

–

End of file - 6159 bytes

spandaupol · 10 Grudzień 2008 11:05

Usuń te wpisy w HJT

Uruchom HijackThis - Do a system scan only - w oknie programu pokaże się log - zaznacz kratki przy podanych wpisach - klikasz Fix checked

Pobierz Combofix przeskanuj system i daj log na forum.

Loga wklej na www.wklejto.pl lub http://www.wklej.org/ a w poście daj tylko linka

qharzfox · 10 Grudzień 2008 11:06

Oczywiście antywirus wykrywa po każdym skanowaniu systemu zaatakowane pliki temp w katalogu c:/ussers/qharzfox/appdata/local oraz zarażone pliki z rozszerzeniem dll. za każdym razem o innej nazwie. przenosi je niby do kwarantanny i nic ciągle to samo

spandaupol · 10 Grudzień 2008 11:07

Zrób to o co prosiłem i daj log z Combofixa na forum

qharzfox · 10 Grudzień 2008 11:08

Ok już działam

Po odpaleniu hijakthis znalazłem tylko te 3 pierwsze wpisy; 4 brak

edit

Proszę nie pisać posta pod postem. Korzystaj z funkcji “edytuj”

(adpawl)

spandaupol · 10 Grudzień 2008 11:18

Uruchom Combofixa

qharzfox · 10 Grudzień 2008 11:51

oto wynik z combofix

http://www.wklejto.pl/18096

spandaupol · 10 Grudzień 2008 12:23

Wstaw log z ukośnikami

qharzfox · 10 Grudzień 2008 14:52

moge poprosic o wyjasnienie tych “ukośników”. Bo nie czaje

spandaupol · 10 Grudzień 2008 15:18

W logu jest

c:program filesCCleaner

powinno być

c:** \ program files \ **CCleaner te na czerwono to ukośniki

qharzfox · 10 Grudzień 2008 15:24

aha czyli daje to:

http://www.wklejto.pl/18105

spandaupol · 10 Grudzień 2008 15:28

Wylecz pendriva lub kartę pamięci http://www.softpedia.com/get/Security/S … Tool.shtml

Flash Disinfector http://www.searchengines.pl/index.php?s … ntry369724

lub format

wklej do notatnika:

Zapisz plik jako CFScript.txt najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe

Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum.

Loga wklej na www.wklejto.pl lub http://www.wklej.org/ a w poście daj linka

qharzfox · 10 Grudzień 2008 16:20

Wykonałem wszystko według zaleceń ale nie mogę na dysku c znależć loga?

spandaupol · 10 Grudzień 2008 16:22

Czasem się zdarza w takim razie zrób to

usuń ręcznie folder C: \Qoobox oraz instalkę Combofix z dysku.

Przeczyść system oraz rejestr CCleaner

Wykonaj optymalizacje Autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar Mój komputer Kaspersky Online Scanner Przeskanuj system daj raport na forum

lub Dr.WEB CureIt!

qharzfox · 10 Grudzień 2008 16:25

daje loga znalazłem

http://www.wklejto.pl/18111

spandaupol · 10 Grudzień 2008 16:27

Nie do końca to jest Twój pierwszy log ComboFix 08-12-09.02 - qharzfox 2008-12-10 12:18:05 zobacz godzinę

Zrób to co zaleciłem w poście powyżej

qharzfox · 10 Grudzień 2008 16:44

ok już działam co mi zaleciłeś ale muszę dopompować baterię

qharzfox · 11 Grudzień 2008 06:04

wykonałem pełen test kaspersky internet security 2009

wynik: 1 plik w kwarantannie: riskware c:\combofix\catchme.cfexe

wykonałem test dr.web antivirus

wynik: 0

huber2t · 11 Grudzień 2008 06:08

Usuń ten plik

qharzfox · 11 Grudzień 2008 14:44

ok! chyba komputer ożył a ja z nim ufffff WIELKIE DZIĘKI!