Pomocy w usunięciu Trojana


(Noska) #1

Niestety jestem amatorką,ale chciałabym spróbować z czyjąś pomocą usunąć tego złośliwca :wink:


(Spandau) #2

Pobierz Combofix (u dołu strony w linku) przeskanuj system i daj log na forum.

Następnie pobierz HijackThis przeskanuj system i daj log na forum

Loga wklej na http://www.wklejto.pl lub http://www.wklej.org/ a w poście daj tylko linka


(Noska) #3

ComboFix 09-03-23.01 - Monia 2009-03-25 19:00:43.1 - NTFSx86

Microsoft Windows XP Home Edition 5.1.2600.1.1250.1.1045.18.502.298 [GMT 1:00]

Uruchomiony z: c:\documents and settings\Monia\Pulpit\ComboFix.exe

* Utworzono nowy punkt przywracania

UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !!

.

((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\documents and settings\Monia\file.exe

c:\windows\system32\crypts.dll

c:\windows\system32\digeste.dll

.

((((((((((((((((((((((((( Pliki utworzone od 2009-02-25 do 2009-03-25 )))))))))))))))))))))))))))))))

.

2009-03-24 22:57 . 2009-03-24 22:57

2009-03-24 20:09 . 2009-03-24 20:09

2009-03-24 20:09 . 2009-03-24 20:08 410,984 --a------ c:\windows\system32\deploytk.dll

2009-03-24 20:09 . 2009-03-24 20:09 73,728 --a------ c:\windows\system32\javacpl.cpl

2009-03-24 20:08 . 2009-03-24 20:08

2009-03-23 22:19 . 2009-03-23 22:19

2009-03-23 22:19 . 2009-03-23 22:19

.

(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-02-24 18:52 --------- d-----w c:\program files\PhotoScape

2009-02-08 16:24 --------- d-----w c:\program files\Real Alternative

2009-02-08 16:22 --------- d-----w c:\program files\ffdshow

2009-02-07 19:58 --------- d-----w c:\documents and settings\Monia\Dane aplikacji\BESTplayer

2009-02-05 06:58 --------- d-----w c:\program files\Rockstar Games

2009-02-05 06:58 --------- d-----w c:\program files\MTA

2009-02-02 17:21 --------- d-----w c:\program files\Google

2009-01-30 18:58 --------- d-----w c:\program files\Pity 2008

2009-01-20 16:34 19,862 ----a-w c:\documents and settings\Monia\Monia.VIR

.

((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\System32\ctfmon.exe" [2002-09-23 13312]

"Gadu-Gadu"="c:\program files\Gadu-Gadu\gg.exe" [2008-03-20 2127296]

"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2002-08-20 1511453]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"IgfxTray"="c:\windows\System32\igfxtray.exe" [2007-03-13 138008]

"HotKeysCmds"="c:\windows\System32\hkcmd.exe" [2007-03-13 154392]

"Persistence"="c:\windows\System32\igfxpers.exe" [2007-03-13 133912]

"TrojanScanner"="c:\program files\Trojan Remover\Trjscan.exe" [2008-05-21 877136]

"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-03-24 148888]

"RTHDCPL"="RTHDCPL.EXE" [2007-03-21 c:\windows\RTHDCPL.exe]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2002-09-23 13312]

c:\documents and settings\All Users\Menu Start\Programy\Autostart\

Program sieciowy dla SAGEM Wi-Fi 11g USB adapter.lnk - c:\program files\SAGEM WiFi manager\WLANUTL.exe [2008-05-24 950272]

R3 SG762_XP;SAGEM 802.11g XG762 1211B Driver;c:\windows\system32\drivers\WlanBZXP.sys [2008-05-24 450560]

S2 ksi32sk;ksi32sk;\??\c:\windows\system32\drivers\ksi32sk.sys -- c:\windows\system32\drivers\ksi32sk.sys [?]

S2 nicsk32;nicsk32;c:\windows\system32\drivers\nicsk32.sys [2002-09-23 30464]

S2 ws2_32sik;ws2_32sik;\??\c:\windows\system32\drivers\ws2_32sik.sys -- c:\windows\system32\drivers\ws2_32sik.sys [?]

S3 ZDCndis5;ZDCndis5 Protocol Driver;\??\c:\windows\System32\ZDCndis5.SYS -- c:\windows\System32\ZDCndis5.SYS [?]

--- Inne Usługi/Sterowniki w Pamięci ---

*NewlyCreated* - ALG

*NewlyCreated* - IPNAT

.

  • USUNIĘTO PUSTE WPISY - - - -

HKCU-Run-Monia - c:\documents and settings\Monia\Monia.exe

.

------- Skan uzupełniający -------

.

uStart Page = hxxp://www.onet.pl/

IE: Eksport do programu Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm

DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab

DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab

.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-03-25 19:10:47

Windows 5.1.2600 Dodatek Service Pack. 1 NTFS

skanowanie ukrytych procesów ...

skanowanie ukrytych wpisów autostartu ...

skanowanie ukrytych plików ...

skanowanie pomyślnie ukończone

ukryte pliki: 0

**************************************************************************

.

--------------------- ZABLOKOWANE KLUCZE REJESTRU ---------------------

[HKEY_USERS\S-1-5-21-725345543-1547161642-839522115-1005\Software\SecuROM\License information*]

"datasecu"=hex:20,b0,4e,89,c4,c2,b1,40,e3,dc,da,32,91,d8,6c,64,be,42,0a,98,d7,

8a,dc,42,7d,6a,c8,ae,d5,0f,1c,c3,1a,bd,8c,6f,ff,f1,4d,03,9a,5d,5c,da,1e,59,\

"rkeysecu"=hex:16,2c,c8,4e,dc,47,74,91,80,4e,c1,c1,ec,58,fb,49

.

--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------

  • 'winlogon.exe'(588)

c:\windows\System32\ODBC32.dll

  • 'lsass.exe'(764)

c:\windows\system32\MSVCRT40.dll

c:\windows\system32\MSVCIRT.dll

c:\windows\System32\dssenh.dll

.

------------------------ Pozostałe uruchomione procesy ------------------------

.

c:\program files\Java\jre6\bin\jqs.exe

c:\windows\system32\wbem\wmiapsrv.exe

.

**************************************************************************

.

Czas ukończenia: 2009-03-25 19:12:08 - komputer został uruchomiony ponownie

ComboFix-quarantined-files.txt 2009-03-25 18:12:02

Przed: 104 768 528 384 bajtów wolnych

Po: 106,727,489,536 bajtów wolnych

110 --- E O F --- 2009-01-22 15:08:27


(Spandau) #4

Wyłącz przywracanie systemu na wszystkich dyskach. Instrukcja

wklej do notatnika ten tekst:

Zapisz plik jako CFScript.txt najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe

Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum.

Loga wklej na www.wklejto.pl lub http://www.wklej.org/ a w poście daj linka


(Noska) #5

http://www.wklejto.pl/29761

dziękuję Ci bardzo za pomoc, nie wiem czy udało mi sie dobrze to utworzyć

-- Dodane 25.03.2009 (Śr) 19:55 --

a z tego Hijacka też wkleić loga ?

-- Dodane 25.03.2009 (Śr) 20:20 --

http://www.wklejto.pl/29762

-- Dodane 25.03.2009 (Śr) 20:36 --

hym, imój prowadzący ucichł :frowning:

-- Dodane 25.03.2009 (Śr) 21:12 --

czy mógłby mi ktoś pomóc, bo nie wiem co dalej ??? :frowning:


(13 Alek) #6

Daj logi z ukośnikami

Twoje wyglądają tak:

A powinny tak:


(Noska) #7

hym, tylko nie wiem jak to zrobić

-- Dodane 25.03.2009 (Śr) 23:16 --

http://www.wklejto.pl/29783

http://www.wklejto.pl/29784

chyba teraz ok. ?


(huber2t) #8

W logach nic nie widzę

usuń ręcznie folder C:\Qoobox oraz Combofix , usuń instalkę Combofix z dysku.

Przeczyść system Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar całego komputera http://www.kaspersky.pl/virusscanner.html Daj raport z niego na forum


(Noska) #9

http://www.wklejto.pl/29862


(huber2t) #10

Pobierz The Avenger

wklej do niego ten tekst:

Files to delete:

C:\WINDOWS\system32\drivers\nicsk32.sys

kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt


(Noska) #11

proszę

Logfile of The Avenger Version 2.0, © by Swandog46

http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.

Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

No rootkits found!

File "C:\WINDOWS\system32\drivers\nicsk32.sys" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

-- Dodane 26.03.2009 (Cz) 20:23 --

Rootkit scan active.

No rootkits found!

czyli rozumiem że to już wszystko ?


(huber2t) #12

Tak, powinno być oki :slight_smile:


(Noska) #13

bardzo dziękuję za pomoc :smiley: