Trojan Win32.Agent.pz - log

CyraN · 2 Styczeń 2008 16:45

Witam. Gdy sprawdził mi Spybote pliki to znalazł trojana Win32.Agent.pz, którego nie da się usunąć programamy Spybote, avast, adware.

Podaje ponizej logi z Combo-Fix’a

ComboFix 07-07-30.2 - “Mariusz” 2008-01-02 17:38:40.2 [((((((((((((((((((((((((( Files Created from 2007-12-02 to 2008-01-02 ))))))))))))))))))))))))))))))) 2007-12-31 17:45 5,632 --a------ C:\WINDOWS\system32\ptpusb.dll 2007-12-31 17:45 159,232 --a------ C:\WINDOWS\system32\ptpusd.dll 2007-12-31 17:45 15,104 --a------ C:\WINDOWS\system32\drivers\usbscan.sys 2007-12-28 23:35 22,328 --a------ C:\WINDOWS\system32\drivers\PnkBstrK.sys 2007-12-28 23:35 107,832 --a------ C:\WINDOWS\system32\PnkBstrB.exe 2007-12-28 23:34 66,872 --a------ C:\WINDOWS\system32\PnkBstrA.exe 2007-12-28 23:34 2007-12-27 18:23 2007-12-27 17:54 2007-12-26 23:22 81,768 --a------ C:\WINDOWS\system32\xinput1_3.dll 2007-12-26 23:22 62,744 --a------ C:\WINDOWS\system32\xinput1_2.dll 2007-12-26 23:22 443,752 --a------ C:\WINDOWS\system32\d3dx10_33.dll 2007-12-26 23:22 3,495,784 --a------ C:\WINDOWS\system32\d3dx9_33.dll 2007-12-26 23:22 3,426,072 --a------ C:\WINDOWS\system32\d3dx9_32.dll 2007-12-26 23:22 261,480 --a------ C:\WINDOWS\system32\xactengine2_7.dll 2007-12-26 23:22 255,848 --a------ C:\WINDOWS\system32\xactengine2_6.dll 2007-12-26 23:22 251,672 --a------ C:\WINDOWS\system32\xactengine2_5.dll 2007-12-26 23:22 237,848 --a------ C:\WINDOWS\system32\xactengine2_4.dll 2007-12-26 23:22 236,824 --a------ C:\WINDOWS\system32\xactengine2_3.dll 2007-12-26 23:22 2,414,360 --a------ C:\WINDOWS\system32\d3dx9_31.dll 2007-12-26 23:22 2,297,552 --a------ C:\WINDOWS\system32\d3dx9_26.dll 2007-12-26 23:22 15,128 --a------ C:\WINDOWS\system32\x3daudio1_1.dll 2007-12-26 23:22 1,123,696 --a------ C:\WINDOWS\system32\D3DCompiler_33.dll 2007-12-26 23:20 443,752 --a------ C:\WINDOWS\system32\d3dx10_34.dll 2007-12-26 23:20 3,497,832 --a------ C:\WINDOWS\system32\d3dx9_34.dll 2007-12-26 23:20 266,088 --a------ C:\WINDOWS\system32\xactengine2_8.dll 2007-12-26 23:20 18,280 --a------ C:\WINDOWS\system32\x3daudio1_2.dll 2007-12-26 23:20 1,124,720 --a------ C:\WINDOWS\system32\D3DCompiler_34.dll 2007-12-26 23:19 2007-12-26 19:17 2007-12-26 19:17 2007-12-26 13:05 51,200 --a------ C:\WINDOWS\nircmd.exe 2007-12-25 18:43 2007-12-25 16:23 32 --a------ C:\DOCUME~1\ALLUSE~1\DANEAP~1\ezsid.dat 2007-12-25 16:23 2007-12-25 16:21 2007-12-25 16:21 2007-12-25 16:21 2007-12-25 16:21 2007-12-25 14:34 5,504 --------- C:\WINDOWS\system32\drivers\imagedrv.sys 2007-12-25 14:34 476,320 --------- C:\WINDOWS\system32\ImagXpr7.dll 2007-12-25 14:34 471,040 --------- C:\WINDOWS\system32\ImagXRA7.dll 2007-12-25 14:34 262,144 --------- C:\WINDOWS\system32\ImagXR7.dll 2007-12-25 14:34 155,648 --a------ C:\WINDOWS\system32\NeroCheck.exe 2007-12-25 14:34 125,184 --------- C:\WINDOWS\system32\drivers\imagesrv.sys 2007-12-25 14:34 106,496 --a------ C:\WINDOWS\system32\TwnLib20.dll 2007-12-25 14:34 1,568,768 --------- C:\WINDOWS\system32\ImagX7.dll 2007-12-25 14:33 2007-12-24 21:57 2007-12-24 09:31 2007-12-23 17:51 2007-12-23 16:02 2007-12-23 16:02 2007-12-23 15:27 2007-12-23 15:27 2007-12-23 15:07 2007-12-23 12:11 2007-12-23 12:02 2007-12-23 11:44 41,984 --a------ C:\winpqer.exe 2007-12-23 11:02 2007-12-23 11:02 2007-12-23 10:29 95,608 --a------ C:\WINDOWS\system32\AvastSS.scr 2007-12-23 10:29 94,544 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys 2007-12-23 10:29 93,264 --a------ C:\WINDOWS\system32\drivers\aswmon.sys 2007-12-23 10:29 837,496 --a------ C:\WINDOWS\system32\aswBoot.exe 2007-12-23 10:29 499,712 --a------ C:\WINDOWS\system32\MSVCP71.dll 2007-12-23 10:29 42,912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys 2007-12-23 10:29 348,160 --a------ C:\WINDOWS\system32\MSVCR71.dll 2007-12-23 10:29 26,624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys 2007-12-23 10:29 23,152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys 2007-12-23 10:29 1,060,864 --a------ C:\WINDOWS\system32\MFC71.dll 2007-12-23 10:29 2007-12-23 10:10 2007-12-23 09:22 47,312 --a------ C:\WINDOWS\system32\drivers\MiniIcpt.sys 2007-12-22 20:32 2007-12-22 19:33 45 —h----- C:\WINDOWS\dsez2894.dat 2007-12-22 17:52 9,600 --a------ C:\WINDOWS\system32\drivers\hidusb.sys 2007-12-22 17:52 12,160 --a------ C:\WINDOWS\system32\drivers\mouhid.sys (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-12-28 16:49 50748 --a------ C:\WINDOWS\system32\perfc015.dat 2007-12-28 16:49 358702 --a------ C:\WINDOWS\system32\perfh015.dat 2007-12-22 20:29 163644 --a------ C:\WINDOWS\system32\drivers\secdrv.sys ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “NVMixerTray”=“C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe” [2004-06-03 20:51] “avast!”=“C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe” [2007-12-04 14:00] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “CTFMON.EXE”=“C:\WINDOWS\system32\ctfmon.exe” [2004-08-03 22:44] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runonce] “SpybotDeletingA6012”=command /c del “C:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted” “SpybotDeletingC5143”=cmd /c del “C:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted” “SpybotDeletingA5486”=command /c del “C:\WINDOWS\system32\wsnpoem\audio.dll_tobedeleted” “SpybotDeletingC1864”=cmd /c del “C:\WINDOWS\system32\wsnpoem\audio.dll_tobedeleted” “SpybotDeletingA8888”=command /c del “C:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted” “SpybotDeletingC5585”=cmd /c del “C:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted” “SpybotDeletingA6714”=command /c del “C:\WINDOWS\system32\wsnpoem\audio.dll_tobedeleted” “SpybotDeletingC3695”=cmd /c del “C:\WINDOWS\system32\wsnpoem\audio.dll_tobedeleted” [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon] “Userinit”=“C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,” [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] “Authentication Packages”= msv1_0 nwprovau R0 xmasbus;xmasbus;C:\WINDOWS\system32\DRIVERS\xmasbus.sys R0 xmasscsi;xmasscsi;C:\WINDOWS\system32\Drivers\xmasscsi.sys R1 GhPciScan;GhostPciScanner;??\C:\Program Files\Symantec\Norton Ghost 2003\ghpciscan.sys R2 NWCWorkstation;Usuga klienta dla systemu NetWare;C:\WINDOWS\system32\svchost.exe -k netsvcs R3 nvax;Service for NVIDIA® nForce Audio Enumerator;C:\WINDOWS\system32\drivers\nvax.sys R3 NVENET;NVIDIA nForce Networking Controller Driver;C:\WINDOWS\system32\DRIVERS\NVENET.sys R3 nvnforce;Service for NVIDIA® nForce Audio;C:\WINDOWS\system32\drivers\nvapu.sys R3 NWRDR;NetWare Rdr;C:\WINDOWS\system32\DRIVERS\nwrdr.sys S3 AC2003;AC2003;C:\WINDOWS\system32\Drivers\AC2003.sys ************************************************************************** catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-01-02 17:39:54 Windows 5.1.2600 Dodatek Service Pack 2 FAT NTAPI scanning hidden processes … scanning hidden autostart entries … scanning hidden files … C:\WINDOWS\system32wsnpoem scan completed successfully hidden files: 1 ************************************************************************** Completion time: 2008-01-02 17:40:37 C:\ComboFix2.txt … 2007-12-26 13:07 — E O F —

Za wszelaką pomoc z góry dziękuje i pozdrawiam.

Gutek · 2 Styczeń 2008 17:17

Zasady - viewtopic.php?f=16&t=213350

Automat - Pobierz program SDFix

CyraN · 2 Styczeń 2008 18:21

Proszę http://wklej.org/id/9fcce3952f

P.S. chyba wszystko dobrze już ? według mnie.

Gutek · 2 Styczeń 2008 19:34

Zrobił SDFix co miał zrobić, na koniec ostatni raz log z Combo

CyraN · 2 Styczeń 2008 20:24

Proszę http://wklej.org/id/e5c89020c4

Gutek · 2 Styczeń 2008 23:37

Wklej do Notatnika:

File::

C:\WINDOWS\system32\ntos.exe


Registry::

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]

"userinit"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku –>

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: ** Qoobox**.

Po tym nowy log z Combo

CyraN · 4 Styczeń 2008 18:13

Witam. Spybote dalej mi tego Trojana wykrywa

O to log z Combo-Fix’a http://wklej.org/id/3be7c6c2a0

Wszystko zrobiłem tak jak napisałeś. Dzięki za pomoc.

Edit: A moge robić operacje bankowe ?

Gutek · 4 Styczeń 2008 18:53

Prawoklik na Mój Komputer>>>>Właściwości>>Przywracanie systemu>> wyłącz przywracanie systemu na wszystkich dyskach.