Witam.Mam pewien problem a mianowice mam trojana i nie wiem jak sobie z nim poradzic.Po przeskanowaniu systemu avastem avast pokazuje okienko ze znaleziono wirusa konia trojanskiego.Po wlaczeniu programu Trend Micro hijack w notatniku pojawia sie wlasnie takie cos:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 16:37:11, on 2007-01-31

Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe

C:\Program Files\D-Tools\daemon.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Electronic Arts\EADM\Core.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\Freedom\Freedom.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\WINDOWS\system32\svchost.exe

C:\Documents and Settings\Mateusz\Pulpit\HiJackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM…\Run: [nwiz] nwiz.exe /install

O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM…\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar

O4 - HKLM…\Run: [sunJavaUpdateSched] “C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe”

O4 - HKLM…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM…\Run: [DAEMON Tools-1033] “C:\Program Files\D-Tools\daemon.exe” -lang 1033

O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background

O4 - HKCU…\Run: [EA Core] C:\Program Files\Electronic Arts\EADM\Core.exe -silent

O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA LOKALNA’)

O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’)

O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’)

O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’)

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: ShopperReports - Compare travel rates - {C5428486-50A0-4a02-9D20-520B59A9F9B3} - C:\WINDOWS\system32\shdocvw.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra ‘Tools’ menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {3D8700FB-86A4-4CB4-B738-6F0FC016AC7D} (MainControl Class) - http://arcaonline.arcabit.com/ArcaOnline.cab

O17 - HKLM\System\CCS\Services\Tcpip…{5FF97B0E-0613-412A-A44E-F31F6967C018}: NameServer = 217.116.100.65 79.163.127.70

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

–

End of file - 4897 bytes

Bardzo prosze o pomoc z gory dziekuje

Pobierz Combofix http://www.searchengines.pl/index.php?s … ntry395642 uruchom dwuklikiem pokaż log

Podczas pobierania i skanu Combofixem proszę wyłączyć wszelkie zapory i antywirusy

http://wklej.org/id/46874/

skąd takiego starocia wytrzasnąłeś?

Otwórz notatnik i wklej

zapisz jako plik.reg >> wszystkie pliki

powstanie plik o takiej ikonie

w który dwa razy klikniesz potwierdzisz chęć dodania do rejestru potem restart

Pobierz CCleaner http://www.filehippo.com/download_ccleaner/

przeskanuj nim i wyczyść rejestr.

zrób optymalizacje uruchamiania

http://cybertrash.netarteria.pl/cyber/i … 378.0.html

usuń ręcznie folder C: \Qoobox usuń instalkę Combofix z dysku.

Wyłącz I włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

przeskanuj obszar Mój komputer http://www.kaspersky.pl/virusscanner.html gdy będą wirusy pokaż raport

Po przeskanowaniu mojego komputera kasperskym wyskoczyl raport:C:\Documents and Settings\MateuszMoje dokumety\God\god.exe Virus.Win32.D

I co w tym wypadku trzeba zrobic?

Usunąć

Jak cwaniaku i jakim antyvirem

Jak? Ręcznie. Jeżeli będzie odmowa dostępu:

Pobierz The Avenger, zaznacz poniższy tekst

Skopiuj Kliknij na Paste Script from Clipboard Execute Potwierdzasz i zgadzasz się na restart klikając OK.

:!: Po wykonaniu skasuj z dysku C:\Avenger\backup.zip i wklej raport na forum C:\avenger.txt

Instrukcja programu http://helpc.eu/viewtopic.php?f=26&t=20

Do usunięcia podałem dwie lokalizacje pliku, ponieważ wydaje mi się, że ta którą podałeś jest nieprawidłowa.

Po usunieciu folderu god i przeskanowaniu dysku avast znowu wykryl mi trojana w folderze D:\resycled\boot.com o dziwo na dysku d takiego folderu nie ma

Zobaczymy, czy taki plik istnieje, oraz czy infekcja nadal jest w systemie.

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

D:\resycled\boot.com

Z menu notatnika wybierz Plik Zapisz jako CFScript.txt.

Przeciągnij i upuść zapisany plik (CFScript.txt) na ikonę ComboFix.exe.

Rozpocznie się usuwanie, program wygeneruje log, dasz go na forum.

Na czas skanowania Combofixem wyłącz wszystkie antywirusy i firewalle.

ComboFix 08-10-11.04 - Mateusz 2009-01-31 21:51:19.3 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.3.1250.1.1045.18.308 [GMT 1:00]

Uruchomiony z: C:\Documents and Settings\Mateusz\Pulpit\ComboFix.exe

Użyto następujących komend :: C:\Documents and Settings\Mateusz\Pulpit\CFScript.txt

* Utworzono nowy punkt przywracania

UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA

.

• TRYB ZREDUKOWANEJ FUNKCJONALNOŚCI -

FILE ::

D:\resycled\boot.com

.

((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))

.

D:\resycled\boot.com

.

((((((((((((((((((((((((( Pliki utworzone od 2008-12-28 do 2009-01-31 )))))))))))))))))))))))))))))))

.

2008-12-06 21:38 . 2008-09-08 11:41 333,824 -----c— C:\WINDOWS\system32\dllcache\srv.sys

2008-12-06 21:38 . 2008-06-14 18:36 273,024 -----c— C:\WINDOWS\system32\dllcache\bthport.sys

2008-12-06 21:38 . 2008-08-14 11:04 138,496 -----c— C:\WINDOWS\system32\dllcache\afd.sys

2008-12-06 21:36 . 2008-08-14 14:26 2,146,816 -----c— C:\WINDOWS\system32\dllcache\ntkrnlmp.exe

2008-12-06 21:36 . 2008-09-15 16:27 1,846,656 -----c— C:\WINDOWS\system32\dllcache\win32k.sys

2008-12-06 21:35 . 2008-08-14 14:26 2,190,464 -----c— C:\WINDOWS\system32\dllcache\ntoskrnl.exe

2008-12-06 21:35 . 2008-08-14 14:26 2,067,328 -----c— C:\WINDOWS\system32\dllcache\ntkrnlpa.exe

2008-12-06 21:35 . 2008-08-14 14:26 2,025,472 -----c— C:\WINDOWS\system32\dllcache\ntkrpamp.exe

2008-12-06 21:24 . 2008-10-24 12:21 455,296 -----c— C:\WINDOWS\system32\dllcache\mrxsmb.sys

2008-12-06 21:24 . 2008-05-08 15:02 203,136 -----c— C:\WINDOWS\system32\dllcache\rmcast.sys

2008-12-06 21:23 . 2008-04-11 20:06 691,712 -----c— C:\WINDOWS\system32\dllcache\inetcomm.dll

2008-12-06 21:23 . 2008-05-01 15:37 331,776 -----c— C:\WINDOWS\system32\dllcache\msadce.dll

2008-12-06 21:18 . 2008-09-04 18:17 1,106,944 -----c— C:\WINDOWS\system32\dllcache\msxml3.dll

2008-12-06 21:18 . 2008-10-15 17:36 337,408 -----c— C:\WINDOWS\system32\dllcache\netapi32.dll

2008-12-06 21:17 . 2008-12-07 08:58

.

(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-12-06 20:34 --------- d-----w C:\Program Files\Microsoft Games for Windows - LIVE

2008-10-28 16:41 14,303,392 ----a-w C:\WINDOWS\system32\xlive.dll

2008-10-28 16:41 13,643,936 ----a-w C:\WINDOWS\system32\xlivefnt.dll

2008-10-16 13:13 202,776 ----a-w C:\WINDOWS\system32\wuweb.dll

2008-10-16 13:13 1,809,944 ----a-w C:\WINDOWS\system32\wuaueng.dll

2008-10-16 13:12 561,688 ----a-w C:\WINDOWS\system32\wuapi.dll

2008-10-16 13:12 323,608 ----a-w C:\WINDOWS\system32\wucltui.dll

2008-10-16 13:09 92,696 ----a-w C:\WINDOWS\system32\cdm.dll

2008-10-16 13:09 51,224 ----a-w C:\WINDOWS\system32\wuauclt.exe

2008-10-16 13:09 43,544 ----a-w C:\WINDOWS\system32\wups2.dll

2008-10-16 13:08 34,328 ----a-w C:\WINDOWS\system32\wups.dll

2008-10-05 16:50 2,676 ----a-w C:\WINDOWS\system32\ealregsnapshot1.reg

2008-01-04 15:34 66,484 ----a-w C:\Documents and Settings\All Users\Dane aplikacji\firstlsp.reg.dat

.

((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“CTFMON.EXE”=“C:\WINDOWS\system32\ctfmon.exe” [2008-04-14 15360]

“MSMSGS”=“C:\Program Files\Messenger\msmsgs.exe” [2008-04-14 1695232]

“EA Core”=“C:\Program Files\Electronic Arts\EADM\Core.exe” [2008-07-22 2772992]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“NvCplDaemon”=“C:\WINDOWS\system32\NvCpl.dll” [2007-04-19 7700480]

“NvMediaCenter”=“C:\WINDOWS\system32\NvMcTray.dll” [2007-04-19 86016]

“SunJavaUpdateSched”=“C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe” [2008-06-10 144784]

“NeroFilterCheck”=“C:\WINDOWS\system32\NeroCheck.exe” [2001-07-09 155648]

“DAEMON Tools-1033”=“C:\Program Files\D-Tools\daemon.exe” [2004-08-22 81920]

“nwiz”=“nwiz.exe” [2007-04-19 C:\WINDOWS\system32\nwiz.exe]

“AdslTaskBar”=“stmctrl.dll” [2006-06-02 C:\WINDOWS\system32\stmctrl.dll]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

“CTFMON.EXE”=“C:\WINDOWS\system32\CTFMON.EXE” [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

“VIDC.YV12”= yv12vfw.dll

“msacm.ac3filter”= ac3filter.acm

[HKLM~\startupfolder\C:^Documents and Settings^Mateusz^Menu Start^Programy^Autostart^hamachi.lnk]

path=C:\Documents and Settings\Mateusz\Menu Start\Programy\Autostart\hamachi.lnk

backup=C:\WINDOWS\pss\hamachi.lnkStartup

[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

“%windir%\system32\sessmgr.exe”=

“C:\Program Files\Gadu-Gadu\gg.exe”=

“C:\Program Files\SopCast\SopCast.exe”=

“C:\Program Files\SopCast\adv\SopAdver.exe”=

“C:\Program Files\EA SPORTS\FIFA 07\fifa07.exe”=

“C:\Program Files\EA SPORTS\FIFA 08\FIFA08.exe”=

“C:\Program Files\KONAMI\Pro Evolution Soccer 2008\PES2008.exe”=

“C:\Program Files\Electronic Arts\EADM\Core.exe”=

“D:\Program Files\Ea Sports\FIFA 09\FIFA09.exe”=

“D:\Program Files\Hamachi\hamachi.exe”=

“%windir%\Network Diagnostic\xpnetdiag.exe”=

“C:\Program Files\Microsoft Games\Gears of War\Binaries\WarGame-G4WLive.exe”=

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 78416]

R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 20560]

R3 Stmatm;ATM/ADSL miniport;C:\WINDOWS\system32\DRIVERS\stmatm.sys [2003-08-12 60255]

R3 TaurusUsb;ADSL Modem USB Service;C:\WINDOWS\system32\DRIVERS\torususb.sys [2006-07-05 683791]

.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-01-31 21:52:16

Windows 5.1.2600 Dodatek Service Pack 3 NTFS

skanowanie ukrytych procesów …

skanowanie ukrytych wpisów autostartu …

skanowanie ukrytych plików …

skanowanie pomyślnie ukończone

ukryte pliki: 0

**************************************************************************

.

Czas ukończenia: 2009-01-31 21:55:30

ComboFix-quarantined-files.txt 2009-01-31 20:55:27

ComboFix2.txt 2009-01-31 15:58:18

Przed: 15 556 726 784 bajtów wolnych

Po: 15,605,276,672 bajtów wolnych

108 — E O F — 2008-12-07 07:58:08

Amtiii ,

1. Byłeś proszony o zmianę tytułu na konkretniejszy.

2. Zgodnie z TĄ informacją, logi wklejamy na serwisy zewnętrzne a tutaj podajemy tylko link,

Zastosuj się do tych zaleceń bo następnych próśb nie będzie.

A takie teksty:

możesz sobie śmiało darować.

Prosze o sprawdzenie loga

W logu nic nie widzę

usuń ręcznie folder C:\Qoobox , usuń instalkę Combofix z dysku.

Przeczyść system Ccleanerem

Wykonaj optymalizację autostartu

Skorzystaj z Malwarebytes’ Anti-Malware