Trojan-Spy.Gampass oraz Rootkit.Agent

GreenTree · 10 Luty 2010 13:08

Dzień dobry,

Otóż od pewnego czasu mam taki problem. Zainstalowałem Spyware Doctora, i skanowałem system przy każdym włączeniu komputera. Niestety, za każdym razem Doctor znajdował w moim systemie te 2 wirusy.

Zazwyczaj Trojan-Spy.Gampass w liczbie 13-15 infekcji, a Rootkit.Agent w liczbie 2 infekcji.

Za każdym razem, gdy włączę komputer, są one ponownie, to nic że pod kwarantanną, bądź Spyware oznajmia że usunął infekcje, one nadal są.

Prosiłbym gorąco o pomoc, byłbym bardzo wdzięczny jeżeli taka zostanie mi udzielona

Pozdrawiam.

deFco247 · 10 Luty 2010 14:17

Przed uruchomieniem poniższych narzędzi odinstaluj (jeśli posiadasz) wszelkie programy tworzące wirtualne napędy (Daemon Tools, Alcohol itp.) oraz usuń instalowany przez nie sterownik SPTD narzędziem SPTDInst z opcji Uninstall (jeśli będzie zszarzałe, to OK).

Pokaż logi z narzędzi:

OTL

Przestawiasz w nim Processes i Modules na All oraz wklejasz w dolne białe okienko Custom Scans/Fixes :

Klikasz Run Scan.

System Repair Engineer

GMER

(Na Windows Vista i 7 uruchamiamy programy z menu Uruchom jako Administrator… ).

Zawartość logów wklejasz na wklej.org, wklej.to lub nopaste.pl, a w poście dajesz link.

GreenTree · 12 Luty 2010 16:20

Wiec tak, mam logi z OTL, i System Repair Engineer. Z GMER nie udalo mi sie skopiowac/zpisac poniewaz komputer mi sie “wiesza” i musze restartowac

OTL.Txt -> httpwklej.to7Sje

Extras.Txt -> httpwklej.toBtzo

SREngLOG -> httpwklej.toBedi

deFco247 · 12 Luty 2010 18:16

Wstawiaj tutaj normalnie linki bez żadnych, bo nie chcę kombinować przy ich otwieraniu.

Po usunięciu SPTD zrestartowałeś komputer? Bo w logu dalej go widać jakimś cudem uruchomionego.

Poza tym rzadko kiedy widuję taką zmasowaną infekcję Magania… 140 plików trojana na każdej partycji… :shock:

Wyłącz i włącz Przywracanie Systemu na wszystkich dyskach. Instrukcja XP.

W białe dolne okno Custom Scans/Fixes w OTL wklej bez frazy Code:

:Processes

Explorer.EXE


:OTL

O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.

O32 - AutoRun File - [2010-02-10 13:47:00 | 000,000,051 | RHS- | M] () - D:\autorun.inf -- [NTFS]

O32 - AutoRun File - [2010-02-10 13:47:02 | 000,000,051 | RHS- | M] () - E:\autorun.inf -- [NTFS]

O32 - AutoRun File - [2010-02-10 13:47:05 | 000,000,051 | RHS- | M] () - F:\autorun.inf -- [NTFS]


:Reg

[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]

"SuperHidden"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]

"Hidden"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]

"ShowSuperHidden"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]

"CheckedValue"=dword:00000001

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]

@=""


:Files

C:\0fkk02x.exe

C:\0fpdq2dw.exe

C:\0qw6vege.exe

C:\10nb.exe

C:\1a1dndah.exe

C:\1di1w.exe

C:\1f.bat

C:\2a.exe

C:\2nuk.com

C:\2o1ajagt.exe

C:\2sm66r.exe

C:\3.cmd

C:\3c.exe

C:\3j2h0tf.bat

C:\3n8awsyg.exe

C:\6phx.com

C:\6ruaqx.exe

C:\6rxt26.exe

C:\86.exe

C:\8dtyjjf.exe

C:\8paf1d.com

C:\9b9w3.exe

C:\9dlvtiil.exe

C:\9g86.exe

C:\9kretct.exe

C:\9u.exe

C:\b.bat

C:\b00ijwpu.exe

C:\bveijo.exe

C:\c2e.exe

C:\cahpcg.cmd

C:\cj1m.com

C:\cj3k.exe

C:\cqb6wo.exe

C:\cs6phv6d.exe

C:\ctu8r.exe

C:\curqp.exe

C:\cv8j.exe

C:\d9c.bat

C:\df.exe

C:\dogyx90.exe

C:\etmt1.bat

C:\ewqij.bat

C:\f9o8o.exe

C:\fbak.exe

C:\fsaht.cmd

C:\g12g.exe

C:\g8k.exe

C:\gbm6n.exe

C:\gcq6.exe

C:\gpcdt.cmd

C:\hifdmgt.com

C:\hjvjte.exe

C:\hkn6k.bat

C:\hm1bfpuj.exe

C:\hx.exe

C:\i0yva6.exe

C:\i9bwjpqc.exe

C:\icxpa.cmd

C:\ix8bmwx.bat

C:\j.cmd

C:\ktly.exe

C:\l61yyp.exe

C:\l6jj.exe

C:\lad.bat

C:\lc.exe

C:\lhh3v.exe

C:\lphfa.exe

C:\m.exe

C:\m1eqos3.exe

C:\mb9x.exe

C:\mbdm.exe

C:\metdgv.bat

C:\mjafm.exe

C:\mje12tni.exe

C:\mqhnawe.bat

C:\mranjm.exe

C:\mt2.exe

C:\n0euybx.exe

C:\n68mqcra.exe

C:\nds0q.exe

C:\ngp8l.exe

C:\nkv.bat

C:\o8tf6l.exe

C:\o9bxu.exe

C:\opdux.exe

C:\p.exe

C:\p0ijj.bat

C:\pbudsara.exe

C:\ph.exe

C:\pkkwng.exe

C:\q1alx.exe

C:\q3kku.exe

C:\q9.cmd

C:\q93fi6kf.exe

C:\qbr2q.exe

C:\qcoageh.exe

C:\qcod.exe

C:\r2g20.exe

C:\rbj9jn1n.bat

C:\rg9g9bgq.exe

C:\rwj0.cmd

C:\rx.exe

C:\s.exe

C:\s3ek.exe

C:\se12ydam.exe

C:\sm.exe

C:\sp1jensi.exe

C:\srgo.exe

C:\sv8c2bjw.bat

C:\t2hjo0.exe

C:\t8s2x.exe

C:\u0riu2.exe

C:\ucivd6xi.bat

C:\uhoxajc.cmd

C:\ukvr.bat

C:\uo10sn.cmd

C:\v1cbvsmq.exe

C:\vb0hsoay.exe

C:\vk0w.exe

C:\vlvtdflx.exe

C:\w.com

C:\w9hw8.exe

C:\w9uxx92.exe

C:\wbj.exe

C:\wcgswa.exe

C:\wfx062.exe

C:\wrsf.exe

C:\ws.exe

C:\wu1n.exe

C:\xbvv0.exe

C:\xbvv6o.com

C:\xerp8nj.exe

C:\xh319r9b.bat

C:\xs6kpr0.exe

C:\y.bat

C:\y.exe

C:\y6yol.exe

C:\y8.exe

C:\ycvvj.exe

D:\0fkk02x.exe

D:\0fpdq2dw.exe

D:\0qw6vege.exe

D:\10nb.exe

D:\1a1dndah.exe

D:\1di1w.exe

D:\1f.bat

D:\2a.exe

D:\2nuk.com

D:\2o1ajagt.exe

D:\2sm66r.exe

D:\3.cmd

D:\3c.exe

D:\3j2h0tf.bat

D:\3n8awsyg.exe

D:\6phx.com

D:\6ruaqx.exe

D:\6rxt26.exe

D:\86.exe

D:\8dtyjjf.exe

D:\8paf1d.com

D:\9b9w3.exe

D:\9dlvtiil.exe

D:\9g86.exe

D:\9kretct.exe

D:\9u.exe

D:\b.bat

D:\b00ijwpu.exe

D:\bveijo.exe

D:\c2e.exe

D:\cahpcg.cmd

D:\cj1m.com

D:\cj3k.exe

D:\cqb6wo.exe

D:\cs6phv6d.exe

D:\ctu8r.exe

D:\curqp.exe

D:\cv8j.exe

D:\d9c.bat

D:\df.exe

D:\dogyx90.exe

D:\etmt1.bat

D:\ewqij.bat

D:\f9o8o.exe

D:\fbak.exe

D:\fsaht.cmd

D:\g12g.exe

D:\g8k.exe

D:\gbm6n.exe

D:\gcq6.exe

D:\gpcdt.cmd

D:\hifdmgt.com

D:\hjvjte.exe

D:\hkn6k.bat

D:\hm1bfpuj.exe

D:\hx.exe

D:\i0yva6.exe

D:\i9bwjpqc.exe

D:\icxpa.cmd

D:\ix8bmwx.bat

D:\j.cmd

D:\ktly.exe

D:\l61yyp.exe

D:\l6jj.exe

D:\lad.bat

D:\lc.exe

D:\lhh3v.exe

D:\lphfa.exe

D:\m.exe

D:\m1eqos3.exe

D:\mb9x.exe

D:\mbdm.exe

D:\metdgv.bat

D:\mjafm.exe

D:\mje12tni.exe

D:\mqhnawe.bat

D:\mranjm.exe

D:\mt2.exe

D:\n0euybx.exe

D:\n68mqcra.exe

D:\nds0q.exe

D:\ngp8l.exe

D:\nkv.bat

D:\o8tf6l.exe

D:\o9bxu.exe

D:\opdux.exe

D:\p.exe

D:\p0ijj.bat

D:\pbudsara.exe

D:\ph.exe

D:\pkkwng.exe

D:\q1alx.exe

D:\q3kku.exe

D:\q9.cmd

D:\q93fi6kf.exe

D:\qbr2q.exe

D:\qcoageh.exe

D:\qcod.exe

D:\r2g20.exe

D:\rbj9jn1n.bat

D:\rg9g9bgq.exe

D:\rwj0.cmd

D:\rx.exe

D:\s.exe

D:\s3ek.exe

D:\se12ydam.exe

D:\sm.exe

D:\sp1jensi.exe

D:\srgo.exe

D:\sv8c2bjw.bat

D:\t2hjo0.exe

D:\t8s2x.exe

D:\u0riu2.exe

D:\ucivd6xi.bat

D:\uhoxajc.cmd

D:\ukvr.bat

D:\uo10sn.cmd

D:\v1cbvsmq.exe

D:\vb0hsoay.exe

D:\vk0w.exe

D:\vlvtdflx.exe

D:\w.com

D:\w9hw8.exe

D:\w9uxx92.exe

D:\wbj.exe

D:\wcgswa.exe

D:\wfx062.exe

D:\wrsf.exe

D:\ws.exe

D:\wu1n.exe

D:\xbvv0.exe

D:\xbvv6o.com

D:\xerp8nj.exe

D:\xh319r9b.bat

D:\xs6kpr0.exe

D:\y.bat

D:\y.exe

D:\y6yol.exe

D:\y8.exe

D:\ycvvj.exe

E:\0fkk02x.exe

E:\0fpdq2dw.exe

E:\0qw6vege.exe

E:\10nb.exe

E:\1a1dndah.exe

E:\1di1w.exe

E:\1f.bat

E:\2a.exe

E:\2nuk.com

E:\2o1ajagt.exe

E:\2sm66r.exe

E:\3.cmd

E:\3c.exe

E:\3j2h0tf.bat

E:\3n8awsyg.exe

E:\6phx.com

E:\6ruaqx.exe

E:\6rxt26.exe

E:\86.exe

E:\8dtyjjf.exe

E:\8paf1d.com

E:\9b9w3.exe

E:\9dlvtiil.exe

E:\9g86.exe

E:\9kretct.exe

E:\9u.exe

E:\b.bat

E:\b00ijwpu.exe

E:\bveijo.exe

E:\c2e.exe

E:\cahpcg.cmd

E:\cj1m.com

E:\cj3k.exe

E:\cqb6wo.exe

E:\cs6phv6d.exe

E:\ctu8r.exe

E:\curqp.exe

E:\cv8j.exe

E:\d9c.bat

E:\df.exe

E:\dogyx90.exe

E:\etmt1.bat

E:\ewqij.bat

E:\f9o8o.exe

E:\fbak.exe

E:\fsaht.cmd

E:\g12g.exe

E:\g8k.exe

E:\gbm6n.exe

E:\gcq6.exe

E:\gpcdt.cmd

E:\hifdmgt.com

E:\hjvjte.exe

E:\hkn6k.bat

E:\hm1bfpuj.exe

E:\hx.exe

E:\i0yva6.exe

E:\i9bwjpqc.exe

E:\icxpa.cmd

E:\ix8bmwx.bat

E:\j.cmd

E:\ktly.exe

E:\l61yyp.exe

E:\l6jj.exe

E:\lad.bat

E:\lc.exe

E:\lhh3v.exe

E:\lphfa.exe

E:\m.exe

E:\m1eqos3.exe

E:\mb9x.exe

E:\mbdm.exe

E:\metdgv.bat

E:\mjafm.exe

E:\mje12tni.exe

E:\mqhnawe.bat

E:\mranjm.exe

E:\mt2.exe

E:\n0euybx.exe

E:\n68mqcra.exe

E:\nds0q.exe

E:\ngp8l.exe

E:\nkv.bat

E:\o8tf6l.exe

E:\o9bxu.exe

E:\opdux.exe

E:\p.exe

E:\p0ijj.bat

E:\pbudsara.exe

E:\ph.exe

E:\pkkwng.exe

E:\q1alx.exe

E:\q3kku.exe

E:\q9.cmd

E:\q93fi6kf.exe

E:\qbr2q.exe

E:\qcoageh.exe

E:\qcod.exe

E:\r2g20.exe

E:\rbj9jn1n.bat

E:\rg9g9bgq.exe

E:\rwj0.cmd

E:\rx.exe

E:\s.exe

E:\s3ek.exe

E:\se12ydam.exe

E:\sm.exe

E:\sp1jensi.exe

E:\srgo.exe

E:\sv8c2bjw.bat

E:\t2hjo0.exe

E:\t8s2x.exe

E:\u0riu2.exe

E:\ucivd6xi.bat

E:\uhoxajc.cmd

E:\ukvr.bat

E:\uo10sn.cmd

E:\v1cbvsmq.exe

E:\vb0hsoay.exe

E:\vk0w.exe

E:\vlvtdflx.exe

E:\w.com

E:\w9hw8.exe

E:\w9uxx92.exe

E:\wbj.exe

E:\wcgswa.exe

E:\wfx062.exe

E:\wrsf.exe

E:\ws.exe

E:\wu1n.exe

E:\xbvv0.exe

E:\xbvv6o.com

E:\xerp8nj.exe

E:\xh319r9b.bat

E:\xs6kpr0.exe

E:\y.bat

E:\y.exe

E:\y6yol.exe

E:\y8.exe

E:\ycvvj.exe

F:\0fkk02x.exe

F:\0fpdq2dw.exe

F:\0qw6vege.exe

F:\10nb.exe

F:\1a1dndah.exe

F:\1di1w.exe

F:\1f.bat

F:\2a.exe

F:\2nuk.com

F:\2o1ajagt.exe

F:\2sm66r.exe

F:\3.cmd

F:\3c.exe

F:\3j2h0tf.bat

F:\3n8awsyg.exe

F:\6phx.com

F:\6ruaqx.exe

F:\6rxt26.exe

F:\86.exe

F:\8dtyjjf.exe

F:\8paf1d.com

F:\9b9w3.exe

F:\9dlvtiil.exe

F:\9g86.exe

F:\9kretct.exe

F:\9u.exe

F:\b.bat

F:\b00ijwpu.exe

F:\bveijo.exe

F:\c2e.exe

F:\cahpcg.cmd

F:\cj1m.com

F:\cj3k.exe

F:\cqb6wo.exe

F:\cs6phv6d.exe

F:\ctu8r.exe

F:\curqp.exe

F:\cv8j.exe

F:\d9c.bat

F:\df.exe

F:\dogyx90.exe

F:\etmt1.bat

F:\ewqij.bat

F:\f9o8o.exe

F:\fbak.exe

F:\fsaht.cmd

F:\g12g.exe

F:\g8k.exe

F:\gbm6n.exe

F:\gcq6.exe

F:\gpcdt.cmd

F:\hifdmgt.com

F:\hjvjte.exe

F:\hkn6k.bat

F:\hm1bfpuj.exe

F:\hx.exe

F:\i0yva6.exe

F:\i9bwjpqc.exe

F:\icxpa.cmd

F:\ix8bmwx.bat

F:\j.cmd

F:\ktly.exe

F:\l61yyp.exe

F:\l6jj.exe

F:\lad.bat

F:\lc.exe

F:\lhh3v.exe

F:\lphfa.exe

F:\m.exe

F:\m1eqos3.exe

F:\mb9x.exe

F:\mbdm.exe

F:\metdgv.bat

F:\mjafm.exe

F:\mje12tni.exe

F:\mqhnawe.bat

F:\mranjm.exe

F:\mt2.exe

F:\n0euybx.exe

F:\n68mqcra.exe

F:\nds0q.exe

F:\ngp8l.exe

F:\nkv.bat

F:\o8tf6l.exe

F:\o9bxu.exe

F:\opdux.exe

F:\p.exe

F:\p0ijj.bat

F:\pbudsara.exe

F:\ph.exe

F:\pkkwng.exe

F:\q1alx.exe

F:\q3kku.exe

F:\q9.cmd

F:\q93fi6kf.exe

F:\qbr2q.exe

F:\qcoageh.exe

F:\qcod.exe

F:\r2g20.exe

F:\rbj9jn1n.bat

F:\rg9g9bgq.exe

F:\rwj0.cmd

F:\rx.exe

F:\s.exe

F:\s3ek.exe

F:\se12ydam.exe

F:\sm.exe

F:\sp1jensi.exe

F:\srgo.exe

F:\sv8c2bjw.bat

F:\t2hjo0.exe

F:\t8s2x.exe

F:\u0riu2.exe

F:\ucivd6xi.bat

F:\uhoxajc.cmd

F:\ukvr.bat

F:\uo10sn.cmd

F:\v1cbvsmq.exe

F:\vb0hsoay.exe

F:\vk0w.exe

F:\vlvtdflx.exe

F:\w.com

F:\w9hw8.exe

F:\w9uxx92.exe

F:\wbj.exe

F:\wcgswa.exe

F:\wfx062.exe

F:\wrsf.exe

F:\ws.exe

F:\wu1n.exe

F:\xbvv0.exe

F:\xbvv6o.com

F:\xerp8nj.exe

F:\xh319r9b.bat

F:\xs6kpr0.exe

F:\y.bat

F:\y.exe

F:\y6yol.exe

F:\y8.exe

F:\ycvvj.exe


:Commands

[emptytemp]

[start explorer]

Run Fix. Restart, jeśli będzie potrzebny.

Potem log z usuwania oraz nowy log robiony opcją Run Scan.

Usuń infekcje z pendrive lub kart pamięci za pomocą Flash Disinfector lub Panda USB Vaccine.

Lub format.

GreenTree · 12 Luty 2010 22:22

Ok, zrobilem tak jak napisales. Oto logi:

http://wklej.to/RcR1

http://wklej.to/Rlzz

deFco247 · 12 Luty 2010 22:25

Zapomniałem w poprzednim poście napisać, byś też nie obejmował linków w żadne tagi.

Mają być one wklejane normalnie bez niczego:

http://wklej.to/RcR1

http://wklej.to/Rlzz

Źle skopiowałeś poprzedni skrypt, więc nic się nie usunęło.

GreenTree · 12 Luty 2010 22:50

Teraz skopiowałem tak jak trzeba, lecz nie moglem uruchomić normalnie systemu i włączyłem tryb awaryjny.

http://wklej.to/UpyD

http://wklej.to/fm80

deFco247 · 12 Luty 2010 22:57

W logu nie widać już niczego poważnego, tylko pozostałości.

W białe dolne okno Custom Scans/Fixes w OTL wklej:

Run Fix. Restart, jeśli będzie potrzebny.

Potem klikasz w OTL CleanUp , bo nic nie ma.

Wykonaj pełny skan Malwarebytes’ Anti-Malware - znalezione obiekty usuń.

Gdy będą wirusy pokaż raport po usuwaniu.

Wyczyść rejestr i dysk CCleaner oraz wyłącz nim zbędniki z autostartu (Narzędzia -> Autostart).

GreenTree · 12 Luty 2010 23:09

Z OTL po usuwaniu (nadal nie moge normalnie wlaczyc kompa, musze awaryjnym wchodzic):

http://wklej.to/rDMR

http://wklej.to/znja

Logi z Malwarebytes umieszcze juz jutro.

– Dodane 13.02.2010 (So) 9:48 –

A to logi z MAlwyrebytes:

http://wklej.to/sCdL

http://wklej.to/Rhbm

Jak skanowalem kolejny raz, to nie wykrylo juz infekcji.

deFco247 · 13 Luty 2010 08:53

Wyłącz i włącz Przywracanie Systemu na wszystkich dyskach. Instrukcja XP.

Co się dzieje przy normalnym starcie systemu, że nie możesz go uruchomić?

GreenTree · 13 Luty 2010 10:41

Ok, wlaczylem i wylaczylem przywracanie.

Normalnie bylem w stanie uruchomic. Dopiero po tym jak zaczalem usuwac te wirusy itd cos sie zaczelo psuc. Moge wlaczyc system, ale np musze z 4-5 razy zresetowac kompa zanim dobije sie do “wlaczonego” pulpitu.

Wyglada to tak, ladnie sie laduje, pokazuje tapete i koniec, pozniej np pokazuje ikonki i pasek zadan i koniec. W koncu zaladuje sie wszystko i moge dzialac po jakims 4 resecie.

Teraz jeszcze nie probwalem po usunieciu wszystkiego przez Malwarebytes.

Wiem jedynie ze jak sprawdzalem kwarantanne w spywaredoctorze, to byly magania, spy gampassy, rootkity, online games jakies tam wirusy itd, teraz ich juz chyba nie ma.

A przez system awaryjny wchodzilem bo sie po prostu wkurzalem tym ze nie moge normalnie zrobic czyszczenia, ale sie udalo w koncu

– Dodane 14.02.2010 (N) 13:45 –

Coz, nadal mam problem z uruchomieniem kompa, choc nie ma juz tych wirusów.

Przyczyna musi byc gdzies indziej. Podejrzewam ze jest jeszcze jakis wirus ktorego nie wyszukuje spyware doctor, malwarebytes i nod.

Jakies rady ?