Trojan PSW.OnlineGames3.VTK

Xio · 25 Listopad 2009 15:02

Witam,

Za każdym kiedy uruchamiam systemu AVG wywala mi, że plik C:\Document and Settings\USER\Ustawienia lokalne\Temp\ cvasds0.dll jest zainfekowany koniem trojańskim PSW.OnlineGames3.VTK
Partycje dysku c:, d:, e: itd. otwierają się w nowym okienku. Mam zaznaczone Otwórz foldery w tym samym oknie. Najprawdopodobniej jest to spowodowane zagnieżdżeniem się virusa ( q93fi6kf.exe ) na partycjach.

Poniżej log do sprawdzenia:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:49:34, on 2009-11-25

Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600)

MSIE: Unable to get Internet Explorer version!

Boot mode: Normal


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

G:\Programy\AVG\AVG9\avgchsvx.exe

G:\Programy\AVG\AVG9\avgrsx.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

G:\Programy\AVG\AVG9\avgcsrvx.exe

C:\WINDOWS\SOUNDMAN.EXE

G:\Programy\AVG\AVG9\avgtray.exe

G:\Programy\Java\jre6\bin\jusched.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\vsnpstd.exe

C:\WINDOWS\system32\ctfmon.exe

G:\Programy\AVG\AVG9\avgwdsvc.exe

G:\Programy\Java\jre6\bin\jqs.exe

C:\Program Files\Common Files\LightScribe\LSSrvc.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe

C:\WINDOWS\system32\wscntfy.exe

G:\Programy\Opera\opera.exe

G:\Programy\Nowe Gadu-Gadu\gg.exe

G:\Programy\Nowe Gadu-Gadu\spellchecker_gg.exe

G:\Programy\Java\jre6\bin\javaw.exe

G:\Programy\Trend Micro\HijackThis\HijackThis.exe


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - G:\Programy\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - G:\Programy\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [AVG9_TRAY] G:\Programy\AVG\AVG9\avgtray.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "G:\Programy\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar

O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [cdoosoft] C:\DOCUME~1\Gregory\USTAWI~1\Temp\herss.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')

O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://G:\Programy\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - G:\Programy\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{F4BDA1FD-D684-4DC4-A2A6-10F25A8BFE6C}: NameServer = 194.204.159.1 194.204.152.34

O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll

O23 - Service: AVG Free WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - G:\Programy\AVG\AVG9\avgwdsvc.exe

O23 - Service: FLEXnet Licensing Service - Unknown owner - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe (file missing)

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - G:\Programy\Java\jre6\bin\jqs.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe

O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe

O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe


--

End of file - 5735 bytes

deFco247 · 25 Listopad 2009 15:04

Logi wklejasz na wklej.org lub wklej.to, a w poście dajesz link.

Pokaż logi:

OTL

Przestawiasz w nim Processes i Modules na All oraz wklejasz w dolne białe okienko Custom Scans/Fixes :

Klikasz Run Scan.

System Repair Engineer

Xio · 25 Listopad 2009 15:16

http://wklej.to/8hZ7

deFco247 · 25 Listopad 2009 15:20

HijackThis już mnie nie interesuje.

Wstaw logi, o których pisałem wyżej.

Airborn · 25 Listopad 2009 15:44

Xio , proszę zapoznać się z tym tematem wazny-komunikat-dotyczacy-tytulowania-tematow-t66889.html i natychmiast poprawić tytuł swojego tematu.

Xio · 25 Listopad 2009 16:05

Log z OTL

deFco247 · 25 Listopad 2009 16:10

W białe dolne okno Custom Scans/Fixes w OTL wklej:

:Processes Explorer.EXE :OTL O4 - HKCU…\Run: [cdoosoft] C:\Documents and Settings\Gregory\Ustawienia lokalne\Temp\herss.exe () O32 - AutoRun File - [2009-11-25 14:54:55 | 00,000,063 | RHS- | M] () - C:\autorun.inf – [NTFS] O32 - AutoRun File - [2009-11-25 14:54:55 | 00,000,063 | RHS- | M] () - D:\autorun.inf – [NTFS] O32 - AutoRun File - [2009-11-25 14:54:55 | 00,000,063 | RHS- | M] () - E:\autorun.inf – [NTFS] O32 - AutoRun File - [2009-11-25 14:54:55 | 00,000,063 | RHS- | M] () - F:\autorun.inf – [NTFS] O32 - AutoRun File - [2009-11-25 14:54:55 | 00,000,063 | RHS- | M] () - G:\autorun.inf – [NTFS] O33 - MountPoints2{070c52aa-c650-11de-ad67-806d6172696f}\Shell\AutoRun\command - “” = C:\q93fi6kf.exe – [2009-11-21 16:37:18 | 00,116,030 | RHS- | M] () O33 - MountPoints2{070c52aa-c650-11de-ad67-806d6172696f}\Shell\open\Command - “” = C:\q93fi6kf.exe – [2009-11-21 16:37:18 | 00,116,030 | RHS- | M] () O33 - MountPoints2{070c52ab-c650-11de-ad67-806d6172696f}\Shell\AutoRun\command - “” = D:\q93fi6kf.exe – [2009-11-21 16:37:18 | 00,116,030 | RHS- | M] () O33 - MountPoints2{070c52ab-c650-11de-ad67-806d6172696f}\Shell\open\Command - “” = D:\q93fi6kf.exe – [2009-11-21 16:37:18 | 00,116,030 | RHS- | M] () O33 - MountPoints2{070c52ac-c650-11de-ad67-806d6172696f}\Shell\AutoRun\command - “” = E:\q93fi6kf.exe – [2009-11-21 16:37:18 | 00,116,030 | RHS- | M] () O33 - MountPoints2{070c52ac-c650-11de-ad67-806d6172696f}\Shell\open\Command - “” = E:\q93fi6kf.exe – [2009-11-21 16:37:18 | 00,116,030 | RHS- | M] () O33 - MountPoints2{070c52ad-c650-11de-ad67-806d6172696f}\Shell\AutoRun\command - “” = F:\q93fi6kf.exe – [2009-11-21 16:37:18 | 00,116,030 | RHS- | M] () O33 - MountPoints2{070c52ad-c650-11de-ad67-806d6172696f}\Shell\open\Command - “” = F:\q93fi6kf.exe – [2009-11-21 16:37:18 | 00,116,030 | RHS- | M] () O33 - MountPoints2{070c52ae-c650-11de-ad67-806d6172696f}\Shell\AutoRun\command - “” = G:\q93fi6kf.exe – [2009-11-21 16:37:18 | 00,116,030 | RHS- | M] () O33 - MountPoints2{070c52ae-c650-11de-ad67-806d6172696f}\Shell\open\Command - “” = G:\q93fi6kf.exe – [2009-11-21 16:37:18 | 00,116,030 | RHS- | M] () O33 - MountPoints2{e29ee29c-c652-11de-b37c-0016ecf7b428}\Shell\AutoRun\command - “” = J:\q93fi6kf.exe – File not found O33 - MountPoints2{e29ee29c-c652-11de-b37c-0016ecf7b428}\Shell\open\Command - “” = J:\q93fi6kf.exe – File not found :Commands [emptytemp] [start explorer]

Run Fix. Restart, jeśli będzie potrzebny.

Potem log z usuwania oraz nowy log robiony opcją Run Scan.

Xio · 25 Listopad 2009 16:26

Log z usuwania:

http://wklej.to/0X5N

Świeży log:

http://wklej.to/tYIq

edit: dzięki stary. Pomogło to.

deFco247 · 25 Listopad 2009 16:30

Czysto.

W OTL kliknij CleanUp.

Wykonaj pełny skan Malwarebytes’ Anti-Malware - znalezione obiekty usuń.

Gdy będą wirusy pokaż raport po usuwaniu.

Wyczyść rejestr i dysk CCleaner.

Usuń zbędniki z autostartu.

Podłącz pamięci przenośne i zastosuj Flash Disinfector lub Panda USB Vaccine.