Trojan-Dropper.Win32.Agent.dgo - jest jak walka z wiatrakami

Dla specjalistów Bezpieczeństwo
#1

wiatm,

mam takiego drania Trojan-Dropper.Win32.Agent.dgo - nawet kaspersky 7.0 nie może sobie z nim poradzić. inferkcja dotyczy większości plików z dostępem do netu z rozszerzeniem .exe:

wykryto: riskware Hidden install Uruchomiony proces: C:\WINDOWS\system32\qttask.exe

usuniêto: koñ trojañski Trojan-Dropper.Win32.Agent.dgo Plik: C:\Program Files\Skype\Phone\Skype .exe

usuniêto: koñ trojañski Trojan-Dropper.Win32.Agent.dgo Plik: C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe

usuniêto: koñ trojañski Trojan-Dropper.Win32.Agent.dgo Uruchomiony modu³: avp.exe\avp.exe

usuniêto: koñ trojañski Trojan-Dropper.Win32.Agent.dgo Uruchomiony modu³: avp.exe\avp.exe

usuniêto: koñ trojañski Trojan-Dropper.Win32.Agent.dgo Uruchomiony modu³: TWCU.exe\TWCU.exe

usuniêto: koñ trojañski Trojan-Dropper.Win32.Agent.dgo Plik: C:\Program Files\TP-LINK\TWCU\TWCU.exe

usuniêto: koñ trojañski Trojan-Dropper.Win32.Agent.dgo Uruchomiony modu³: Skype .exe\Skype .exe

usuniêto: koñ trojañski Trojan-Dropper.Win32.Agent.dgo Uruchomiony modu³: gg .exe\gg .exe

usuniêto: koñ trojañski Trojan-Dropper.Win32.Agent.dgo Plik: C:\Program Files\Gadu-Gadu\gg .exe

usuniêto: koñ trojañski Trojan-Dropper.Win32.Agent.dgo Plik: c:\windows\system32\sstqq.exe

usuniêto: adware not-a-virus:AdWare.Win32.Virtumonde.ebw Plik: c:\windows\system32\mrodycnn.dll

usuniêto: koñ trojañski Trojan-Dropper.Win32.Agent.dgo Plik: C:\WINDOWS\system32\qttask .exe

usuniêto: koñ trojañski Trojan-Dropper.Win32.Agent.dgo Plik: C:\PROGRAM FILES\GADU-GADU\GG .EXE

usuniêto: koñ trojañski Trojan-Dropper.Win32.Agent.dgo Uruchomiony modu³: gg .exe\gg .exe

usuniêto: koñ trojañski Trojan-Dropper.Win32.Agent.dgo Plik: C:\WINDOWS\system32\qttask .exe

usuniêto: koñ trojañski Trojan-Dropper.Win32.Agent.dgo Plik: C:\PROGRAM FILES\GADU-GADU\GG .EXE

usuniêto: koñ trojañski Trojan-Dropper.Win32.Agent.dgo Plik: C:\WINDOWS\system32\qttask .exe

usuniêto: koñ trojañski Trojan-Dropper.Win32.Agent.dgo Plik: C:\PROGRAM FILES\GADU-GADU\GG .EXE

usuniêto: koñ trojañski Trojan-Dropper.Win32.Agent.dgo Plik: C:\PROGRAM FILES\GADU-GADU\GG .EXE

usuniêto: koñ trojañski Trojan-Dropper.Win32.Agent.dgo Plik: C:\PROGRAM FILES\GADU-GADU\GG .EXE

usuniêto: koñ trojañski Trojan-Dropper.Win32.Agent.dgo Plik: C:\PROGRAM FILES\GADU-GADU\GG .EXE

wykryto: koñ trojañski Trojan-Dropper.Win32.Agent.dgo Plik: C:\PROGRAM FILES\GADU-GADU\GG .EXE

usuniêto: koñ trojañski Trojan-Dropper.Win32.Agent.dgo Plik: C:\WINDOWS\SYSTEM32\QTTASK .EXE

usuniêto: koñ trojañski Trojan-Dropper.Win32.Agent.dgo Plik: C:\WINDOWS\SYSTEM32\QTTASK .EXE

usuniêto: koñ trojañski Trojan-Dropper.Win32.Agent.dgo Plik: C:\WINDOWS\SYSTEM32\QTTASK .EXE

usuniêto: koñ trojañski Trojan-Dropper.Win32.Agent.dgo Plik: C:\WINDOWS\SYSTEM32\QTTASK .EXE

wykryto: koñ trojañski Trojan-Dropper.Win32.Agent.dgo Plik: C:\DOCUME~1\Dagmara\USTAWI~1\Temp\TMP14.tmp

wykryto: koñ trojañski Trojan-Dropper.Win32.Agent.dgo Plik: C:\DOCUME~1\Dagmara\USTAWI~1\Temp\TMP16.tmp

usuniêto: koñ trojañski Trojan-Dropper.Win32.Agent.dgo Plik: C:\WINDOWS\system32\qttask .exe

usuniêto: koñ trojañski Trojan-Dropper.Win32.Agent.dgo Plik: C:\WINDOWS\system32\qttask .exe

usuniêto: koñ trojañski Trojan-Dropper.Win32.Agent.dgo Plik: C:\WINDOWS\system32\qttask .exe

usuniêto: koñ trojañski Trojan-Dropper.Win32.Agent.dgo Plik: C:\WINDOWS\system32\qttask .exe

usuniêto: koñ trojañski Trojan-Dropper.Win32.Agent.dgo Plik: C:\WINDOWS\system32\qttask .exe

nie odnaleziono: wirus Heur.Invader (modyfikacja) Plik: C:\ComboFix\Catchme.cfexe//PE_Patch.UPX

nie odnaleziono: wirus Heur.Invader (modyfikacja) Plik: d:\nowe programy\combofix.exe//PE_Patch.UPX/ComboFix\catchme.cfexe//PE_Patch.UPX

usuniêto: koñ trojañski Trojan-Dropper.Win32.Agent.dgo Plik: C:\Program Files\Gadu-Gadu\gg .exe

problem jednak polega na tym, że po każdym uruchomieniu kompa ten drań atakuje dalej większość tych samych programów (pomimo informacji z antyvirusa o usunięciu go).

nie wiem co dalej robić… zainstalowałem Hijacka i zrobiłem loga. poniżej link do mojego loga:

http://wklej.org/id/fa11012b1d

jestem zielony w tych tematach także jak ktoś wie jak mi pomóc to proszę o szczegółowe info.

#2

HJT nie da sobie rady z Vundo - Daj log z ComboFix

#3

Ok. poniżej log z comboFix-a.

http://wklej.org/id/304cd1b81e

Będę wdzięczny za pomoc - nic już nie mogę uruchomić bo ciągle to gów…o doczepia się do programów, nawet na nowo instalowanych…

#4

Wklej do Notatnika:

File::

C:\WINDOWS\system32\sstqq.exe 

C:\WINDOWS\system32\qttask .exe 

C:\WINDOWS\system32\qttask .exe 

C:\WINDOWS\system32\qttask .exe 

C:\WINDOWS\system32\qttask .exe

C:\WINDOWS\system32\qttask .exe 

C:\WINDOWS\system32\qttask .exe 

C:\WINDOWS\system32\qttask .exe 

C:\WINDOWS\system32\qttask .exe

C:\WINDOWS\system32\qttask .exe 

C:\WINDOWS\system32\qttask .exe 

C:\WINDOWS\system32\qttask .exe 

C:\WINDOWS\system32\qttask .exe 

C:\WINDOWS\system32\qttask.exe

C:\WINDOWS\system32\ctfmon .exe


RenV::

C:\Program Files\Ahead\InCD\InCD .exe 

C:\Program Files\Analog Devices\SoundMAX\SMTray .exe 

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx .exe 

C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ .exe 

C:\Program Files\ESET\ESET NOD32 Antivirus\egui .exe 

C:\Program Files\Gadu-Gadu\gg .exe 

C:\Program Files\Gadu-Gadu\gg .exe 

C:\Program Files\Gadu-Gadu\gg .exe 

C:\Program Files\Gadu-Gadu\gg .exe 

C:\Program Files\Gadu-Gadu\gg .exe 

C:\Program Files\Gadu-Gadu\gg .exe 

C:\Program Files\Gadu-Gadu\gg .exe 

C:\Program Files\IncrediMail\bin\IncMail .exe 

C:\Program Files\Java\jre1.6.0_03\bin\jusched .exe 

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp .exe 

C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp .exe 

C:\Program Files\Microsoft ActiveSync\wcescomm .exe 

C:\Program Files\Microsoft ActiveSync\wcescomm .exe 

C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication .exe 

C:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp .exe 

C:\Program Files\Skype\Phone\Skype .exe 

C:\Program Files\Skype\Phone\Skype .exe 

C:\Program Files\TP-LINK\TWCU\TWCU .exe 

C:\WINDOWS\system32\ctfmon .exe 

C:\WINDOWS\system32\NeroCheck .exe 

C:\WINDOWS\system32\qttask .exe 

C:\WINDOWS\system32\qttask .exe 

C:\WINDOWS\system32\qttask .exe 

C:\WINDOWS\system32\qttask .exe 

C:\WINDOWS\system32\qttask .exe 

C:\WINDOWS\system32\qttask .exe 

C:\WINDOWS\system32\qttask .exe 

C:\WINDOWS\system32\qttask .exe 

C:\WINDOWS\system32\qttask .exe 

C:\WINDOWS\system32\qttask .exe 

C:\WINDOWS\system32\qttask .exe 

C:\WINDOWS\system32\qttask .exe


Registry::

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 

"Gadu-Gadu"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 

"QuickTime Task"=-

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Gadu-Gadu]

>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku –>88953CFScript-createdbyMiekiemoes.gif

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: ** Qoobox**.

Po tym nowy log z Combo

To nowa odmiana Vundo niestety, ale powinniśmy dać radę