Problem zainfekowany komp

Dla specjalistów Bezpieczeństwo
#1

Witam wczoraj moja mądra siostrzyczka ściągnęła jakieś tałatajstwo , i teraz avast wynajduje mi co chwile jakiegoś trojana.

Pojawila sie ikona skanera poczty avasta ( takie dwa lisciki i niebieski dzwonek) , co to jest i jak to usunąć

log do sprawdzenia:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 10:13:52, on 2009-08-14

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\a-squared Free\a2service.exe

C:\Program Files\Canon\IJPLM\IJPLMSVC.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\PnkBstrA.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\braviax.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O1 - Hosts: 67.15.126.34 www.japsclan.com

O1 - Hosts: 67.15.126.34 www.japsclan.info

O1 - Hosts: 67.15.126.34 japsclan.info

O1 - Hosts: 67.15.126.34 japsclan.com

O1 - Hosts: 67.15.126.34 irc.japsclan.com

O1 - Hosts: 67.15.126.34 www.japsclan.us

O1 - Hosts: 67.15.126.34 japsclan.us

O1 - Hosts: 67.15.126.34 www.japsclan.org

O1 - Hosts: 67.15.126.34 japsclan.org

O1 - Hosts: 67.15.126.34 rxp-clan.us

O1 - Hosts: 67.15.126.34 www.rxp-clan.us

O4 - HKLM…\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM…\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe

O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘USŁUGA LOKALNA’)

O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’)

O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘SYSTEM’)

O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘Default user’)

O4 - Startup: ikowin32.exe

O8 - Extra context menu item: &Winamp Search - C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Inkjet Printer/Scanner Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Program Files\Canon\IJPLM\IJPLMSVC.EXE

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

End of file - 4089 bytes

#2

Nie wiem czy tutaj nie będzie jakiejś większej rzeczy, w tym infekcji sterowników systemowych. Na początek wklej log z OTL i GMER

Logi wklej na wklej.org lub wklej.to a tutaj tylko link do wklejki.

#3

po skanowaniu w OTL wyskoczyly mi 2 pliki txt jeden o nazwie OTL a drugi EXTRAS ktory skopiowac ?? i czy cały wkleic bo tego tam jest dosc sporo.

a ok nie doczytałem posta do konca twojego ;p

OTL - http://www.wklej.org/id/134812/

#4

Na przyszłość - nie przycinaj logów. Całe mają być.

Nie jest dobrze. Użyj ComboFix

Podczas pobierania i skanu ComboFix’em wyłącz antywirusa i zapory.

Logi wklej na wklej.org lub wklej.to a tutaj tylko link do wklejki.

Przygotuj płytę z Windows bo trzeba będzie co nieco podmienić.