Trojan gen (other)

kreon2000 · 22 Listopad 2008 09:17

witam mam problem dotyczacy tego trojana skanuje avastem i pisze mi ze mam cos takiego na swoim kompie ale niestety ten trojan jest "za dobry "jak na moj program zabezpieczajacy i nie umie sie go pozbyc

bardzo prosze o jasna i czytelna odpowiedz jak moge sobie z nim poradzic bez ponowego instalowania windowsa

ps.jestem bardzo cienki z racji swojego wieku :x w sprawach zwiazanych z komputerem i programami prosil bym o poprowadzenie i pomoc w pozbyciu tego robaka

jak ktos ma cieprlowosci troche i chcialby mi pomoc niech napisze krok po kroku jak moge go usunac i czy to wogole mozliwe

Neon1992 · 22 Listopad 2008 09:51

Wrzuć log z HijackThis i ComboFix na WKLEJTO lub WKLEJ.ORG następnie link wklej na forum.

maku13 · 22 Listopad 2008 09:56

Zrób to, co napisał Neon1992 , ale według instrukcji podanych na tej stronie: viewtopic.php?f=16&t=36654 (HJT - na początku strony, a ComboFix pod koniec)

kreon2000 · 22 Listopad 2008 10:20

dziekuje bardzo za[pomoc ale jestem w kropce wyskoczylo mi cos uzylem tego pierszego programu ale nie umie wklei tam gdzie mialem to zobic i podac linka dlatego to co wyszlo zamieszcze tutaj mam nadzije ze to jest to o czym pisaliscie bo dla mnie to magia

Logfile of HijackThis v1.99.1

Scan saved at 11:16:05, on 2008-11-22

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe

C:\Program Files\Common Files\Symantec Shared\AppCore\AppSvc32.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\Program Files\Common Files\Symantec Shared\ccApp.exe

C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\Program Files\OpenOffice.ux.pl 2.1.0\program\soffice.exe

C:\Program Files\OpenOffice.ux.pl 2.1.0\program\soffice.BIN

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\internet explorer\iexplore.exe

C:\WINDOWS\system32\wuauclt.exe

C:\DOCUME~1\ola\USTAWI~1\Temp\Katalog tymczasowy 1 dla hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL (file missing)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM…\Run: [nwiz] nwiz.exe /install

O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM…\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM…\Run: [ccApp] “C:\Program Files\Common Files\Symantec Shared\ccApp.exe”

O4 - HKLM…\Run: [sunJavaUpdateSched] “C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe”

O4 - HKLM…\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM…\Run: [speedTouch USB Diagnostics] “C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe” /icon

O4 - HKCU…\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU…\Run: [Gadu-Gadu] “C:\Program Files\Gadu-Gadu\gg.exe” /tray

O4 - Startup: OpenOffice.ux.pl 2.1.0.lnk = C:\Program Files\OpenOffice.ux.pl 2.1.0\program\quickstart.exe

O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\AppCore\AppSvc32.exe

spandaupol · 22 Listopad 2008 10:22

Log HJT Ok

Podaj log Combofix

kreon2000 · 22 Listopad 2008 10:30

niewiem czy to o to chodzi ale podaje to co wyskoczylo po uzyciu tego 2 programu

ComboFix 08-11-21.05 - ola 2008-11-22 11:26:37.3 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.123 [GMT 1:00]

Uruchomiony z: c:\documents and settings\ola\Pulpit\ComboFix.exe

* Utworzono nowy punkt przywracania

.

((((((((((((((((((((((((( Pliki utworzone od 2008-10-22 do 2008-11-22 )))))))))))))))))))))))))))))))

.

2008-11-21 22:13 . 2008-11-22 00:48

2008-11-21 22:08 . 2008-11-22 00:47

2008-11-21 22:04 . 2006-05-25 14:52 162,304 --a------ c:\windows\system32\ztvunrar36.dll

2008-11-21 22:04 . 2003-02-02 19:06 153,088 --a------ c:\windows\system32\unrar3.dll

2008-11-21 22:04 . 2005-08-26 00:50 77,312 --a------ c:\windows\system32\ztvunace26.dll

2008-11-21 22:04 . 2002-03-06 00:00 75,264 --a------ c:\windows\system32\unacev2.dll

2008-11-21 22:04 . 2006-06-19 12:01 69,632 --a------ c:\windows\system32\ztvcabinet.dll

2008-11-21 22:03 . 2008-11-22 00:48

2008-11-21 18:11 . 2008-11-21 18:11

2008-11-21 17:58 . 2008-11-21 17:58

2008-11-20 22:05 . 2008-11-21 16:07

2008-11-20 22:05 . 2008-11-20 22:05 56 --ah----- c:\windows\system32\ezsidmv.dat

2008-11-20 22:04 . 2008-11-21 22:58

2008-11-20 22:03 . 2008-11-20 22:03

2008-11-20 22:02 . 2008-11-20 22:03

.

(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-11-22 10:12 --------- d-----w c:\documents and settings\ola\Dane aplikacji\OpenOffice.ux.pl2

2008-11-21 21:15 --------- d-----w c:\program files\Common Files\Symantec Shared

2008-11-21 21:03 --------- d–h--w c:\program files\InstallShield Installation Information

2008-11-21 21:03 --------- d-----w c:\program files\3DO

2008-11-21 16:58 --------- d-----w c:\program files\Ubisoft

2008-11-21 11:08 --------- d-----w c:\program files\Common Files\Wise Installation Wizard

2008-10-24 11:10 453,632 ----a-w c:\windows\system32\drivers\mrxsmb.sys

2008-10-02 11:03 --------- d-----w c:\program files\Tibia

2008-09-15 15:40 1,846,272 ----a-w c:\windows\system32\win32k.sys

2008-09-04 16:46 1,106,944 ----a-w c:\windows\system32\msxml3.dll

2008-08-29 19:06 1,350,664 ----a-w c:\windows\system32\msxml6.dll

.

((((((((((((((((((((((((((((( snapshot@2008-11-22_ 9.36.32,43 )))))))))))))))))))))))))))))))))))))))))

.

2008-11-22 10:12:01 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_5f0.dat

.

((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))

.

*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“ctfmon.exe”=“c:\windows\system32\ctfmon.exe” [2004-08-03 15360]

“Gadu-Gadu”=“c:\program files\Gadu-Gadu\gg.exe” [2007-07-09 2119104]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“NvCplDaemon”=“c:\windows\system32\NvCpl.dll” [2006-08-16 7630848]

“NvMediaCenter”=“c:\windows\system32\NvMcTray.dll” [2006-08-16 86016]

“ccApp”=“c:\program files\Common Files\Symantec Shared\ccApp.exe” [2007-01-09 115816]

“SunJavaUpdateSched”=“c:\program files\Java\jre1.6.0_05\bin\jusched.exe” [2008-02-22 144784]

“avast!”=“c:\progra~1\ALWILS~1\Avast4\ashDisp.exe” [2008-11-18 81000]

“SpeedTouch USB Diagnostics”=“c:\program files\Thomson\SpeedTouch USB\Dragdiag.exe” [2004-03-23 888832]

“nwiz”=“nwiz.exe” [2006-08-16 c:\windows\system32\nwiz.exe]

“RTHDCPL”=“RTHDCPL.EXE” [2006-06-13 c:\windows\RTHDCPL.exe]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

“CTFMON.EXE”=“c:\windows\system32\CTFMON.EXE” [2004-08-03 15360]

c:\documents and settings\ola\Menu Start\Programy\Autostart\

OpenOffice.ux.pl 2.1.0.lnk - c:\program files\OpenOffice.ux.pl 2.1.0\program\quickstart.exe [2006-12-30 17408]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

“msacm.divxa32”= msaud32_divx.acm

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]

“DisableMonitoring”=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]

“DisableMonitoring”=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]

“DisableMonitoring”=dword:00000001

[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

“%windir%\system32\sessmgr.exe”=

“c:\WINDOWS\system32\usmt\migwiz.exe”=

“c:\Program Files\Gadu-Gadu\gg.exe”=

“c:\WINDOWS\system32\dpvsetup.exe”=

“c:\Program Files\Skype\Phone\Skype.exe”=

[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

“25414:TCP”= 25414:TCP:BitComet 25414 TCP

“25414:UDP”= 25414:UDP:BitComet 25414 UDP

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-04-14 110160]

R2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys [2008-04-14 20560]

S3 ATE_PROCMON;ATE_PROCMON;??\c:\program files\Anti Trojan Elite\ATEPMon.sys []

S3 msloop;Sterownik karty Microsoft Loopback;c:\windows\system32\DRIVERS\loop.sys [2007-08-18 4992]

.

------- Skan uzupełniający -------

.

uStart Page = hxxp://www.google.pl/

IE: E&ksportuj do programu Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

c:\windows\system32\SkanerOnlineUninstall.exe - c:\windows\system32\SkanerOnline.dll

O16 -: {68282C51-9459-467B-95BF-3C0E89627E55}

hxxp://www.mks.com.pl/skaner/SkanerOnline.cab

c:\windows\Downloaded Program Files\SkanerOnline.inf

.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-11-22 11:27:36

Windows 5.1.2600 Dodatek Service Pack 2 NTFS

skanowanie ukrytych procesów …

skanowanie ukrytych wpisów autostartu …

skanowanie ukrytych plików …

skanowanie pomyślnie ukończone

ukryte pliki: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\ASFWHide]

“ImagePath”="??\c:\docume~1\ola\USTAWI~1\Temp\ASFWHide"

.

Czas ukończenia: 2008-11-22 11:28:32

ComboFix-quarantined-files.txt 2008-11-22 10:28:06

ComboFix2.txt 2008-11-22 08:50:30

ComboFix3.txt 2008-11-22 08:37:16

Przed: 72 705 335 296 bajtów wolnych

Po: 72,701,358,080 bajtów wolnych

114 — E O F — 2008-11-13 07:21:11

spandaupol · 22 Listopad 2008 10:34

Log wygląda na czysty.

usuń ręcznie folder C: \Qoobox oraz instalkę Combofix z dysku.

Przeczyść system oraz rejestr CCleaner

Wykonaj optymalizacje Autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar Mój komputer Kaspersky Online Scanner Przeskanuj system daj raport na forum

lub Dr.WEB CureIt!

kreon2000 · 22 Listopad 2008 10:57

zrobilem tak jak napisales bylo ciezko ale jakos chyba daem rade tzn tak usunolem recznie Qoobox ale nie wiem jak usunac instalke combofixu

pezeczyscilem rejestr ccleanerem

optymalizacje autostartu balem sie ruszac

wlaczylem wylaczenie przywracania systemu i potem zalaczylem obecnie skanuje kasperskim tak jak napisales wyniki umieszcze zaraz

jak mi to wychwycil avast home 4,8 to moze nim tez przeskanowac?? czy nadal ma tego trojana czy to zbyteczne ???

spandaupol · 22 Listopad 2008 11:02

Instalka Combofix to plik który ściągnąłeś z Internetu

Wystarczy skanowanie Kasperskim czekamy na raport

kreon2000 · 22 Listopad 2008 15:18

dziekuje za pomoc raport na czysto

teraz jeszcze przeskanuje avastem ale to chyba czysta formalnosc

jeszcze raz dziekuje