Trojan Win32:OnLineGames-DQP

huber2t · 21 Czerwiec 2008 14:08

Wszystko się pousuwało, przeskanuj Kasperskim i daj log na forum

Krassus · 21 Czerwiec 2008 14:14

Dss http://www.wklej.org/id/a2c14e518b

Engeneer http://www.wklej.org/id/00bcf57b9e

a teraz zapuszczam Kasperskiego, co pewnie troche potrwa.

Leon napisz na ile jest sens w tym grzebać a na ile po prostu postawić system od nowa?

Pozdrawiam

Leon1 · 21 Czerwiec 2008 17:46

Jest nieźle mam już przygotowany Avanger ale poczekam na Kasperskiego może trzeba będzie coś dopisać zobaczymy

format możesz zrobić zawsze więc się wstrzymaj może uda się wyleczyć może będziemy tymi pierwszymi którym uda się zwalczyć chińską zarazę

Krassus · 21 Czerwiec 2008 23:02

właśnie wróciłem do domu z koncertu

kaspersky zrobił swoje, tutaj log:

http://www.wklej.org/id/ee1b332949

pozdrawiam

Leon1 · 22 Czerwiec 2008 09:52

Pobierz i uruchom narzędzie The Avenger Zaznaczasz tekst podany do usunięcia na forum

Files to delete: C:\WINDOWS\system32\drivers\Hdv32_c.sys C:\WINDOWS\system32\drivers\Hdv32.sys C:\WINDOWS\system32\kcoin32.dll C:\WINDOWS\system32\midimapcq.tmp C:\WINDOWS\system32\midimappt.tmp Folders to delete: C:\Documents and Settings\Marek Krassus\Ustawienia lokalne\Temp C:\Deckard\System Scanner\20000620165815\backup\DOCUME~1\MAREKK~1\USTAWI~1\Temp Registry keys to delete: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{100EB1FD-D03E-47FD-81F3-EE91287F9465} HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{18093456-9012-4568-9076-908765467181} HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{22023698-6984-8541-9654-698745012522} HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{22596546-2036-9451-6058-658402589722} HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{25FD6584-698F-BCD2-602C-698745210352} HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{2E035987-F585-68D1-AC28-98FA58E459E2} HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{35671234-7890-ABCD-CDEF-567801237653} HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{37AC9076-C898-B098-D098-A18319080973} HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{3A908760-8000-4000-A000-9000322145A3} HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{43512378-9874-5641-1025-985420368734} HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{44FAE856-AD58-20CB-A025-CD4895FA6E44} HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{4629FF4F-ACDB-5C90-A098-FACB3456A264} HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{470165F1-9F65-569F-F895-F14F58F41074} HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{4A698102-5904-AFD0-20DF-CD1A65829CA4} HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{4C648541-1025-9650-9057-6541258720C4} HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{50940F85-F015-14F1-A05F-F69858AC6D05} HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{528DF602-9541-A985-210A-984A698C6F25} HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{5A069845-2036-6084-9054-6087502480A5} HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{5B1AEF69-DDAE-FDAD-DCAB-698F026ABDB5} HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{6A041F13-A111-12A3-B0CF-F99818AA68A6} HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{6FD45A54-9875-698F-E56E-65102358FDF6} HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{7319A1F1-9410-9654-3201-345FFA349137} HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{7629FF4F-ACDB-5C90-A098-FACB3456A267} HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{7A041F13-A111-12A3-B0CF-F99818AA68A7} HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{7C8D1401-A58D-A81C-CD24-A5915C4517C7} HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{91954FAC-1023-154F-895A-1458258AD819} HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{9490415F-65F8-B5C5-D8BA-9405FB120549} HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{A490415F-65F8-B5C5-D8BA-9405FB12054A} HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{AA59145F-315D-BC23-AC1F-145DF81A34AA} Registry values to delete: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions | {C5428486-50A0-4a02-9D20-520B59A9F9B2} HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions | {C5428486-50A0-4a02-9D20-520B59A9F9B3} Drivers to delete: 7838fc74409a747f c985399cfb3b23ce e00aaa90986b7a37

kopiuj >> klikasz na Paste Script from Clipboard >> Execute >> Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

Potem nowy DSS i System Repair Engineer

Krassus · 22 Czerwiec 2008 10:30

tu jest log z Avengera:

http://www.wklej.org/id/32854820bf

z tym, że nie wygenerował pliku backup tylko utworzył dwa katalogi Temp i jeszcze kilka plików luzem jest w C:\Avenger

o co chodzi?

W dniu 22.06.2008 , o godzinie 12:27 został dopisany post przez Krassus

tu jest nowy DSS: http://www.wklej.org/id/26c9856633

W dniu 22.06.2008 , o godzinie 12:30 został dopisany post przez Krassus

oraz Engineer http://www.wklej.org/id/ac0d6dfd2e

Leon1 · 22 Czerwiec 2008 10:54

wpisy

usuń HijackThisem >> Fix checked

Logi wyglądają na czyste

zrób optymalizacje uruchamiania http://cybertrash.netarteria.pl/cyber/index.php/topic,378.0.html

z tego twojego zestawienia jest co wyłączyć

# O4 - HKLM…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe # O4 - HKLM…\Run: [HP Component Manager] “C:\Program Files\HP\hpcoretech\hpcmpmgr.exe” # O4 - HKLM…\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb10.exe # O4 - HKLM…\Run: [HP Software Update] “C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe” # O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit # O4 - HKLM…\Run: [Adobe Reader Speed Launcher] “C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe” # O4 - HKLM…\Run: [Adobe Photo Downloader] “C:\Program Files\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe” # O4 - HKLM…\Run: [sunJavaUpdateSched] “C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe” # O4 - HKLM…\Run: [PowerS] C:\WINDOWS\PowerS.exe # O4 - HKLM…\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k # O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe # O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background # O4 - HKCU…\Run: [skype] “C:\Program Files\Skype\Phone\Skype.exe” /nosplash /minimized # O4 - HKCU…\Run: [Gadu-Gadu] “C:\Program Files\Gadu-Gadu\gg.exe” /tray # O4 - HKCU…\Run: [bitTorrent DNA] “C:\Program Files\DNA\btdna.exe” # O4 - HKCU…\Run: [VoipCheapCom] “C:\Program Files\VoipCheapCom\VoipCheapCom.exe” -nosplash -minimized # O4 - HKCU…\Run: [uniblue RegistryBooster 2] C:\Program Files\Uniblue\RegistryBooster 2\RegistryBooster.exe /S # O4 - HKCU…\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart # O4 - Startup: Picture Motion Browser Media Check Tool.lnk = C:\Program Files\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe # O4 - Startup: Rejestrowanie produktów Corela.lnk = C:\Program Files\Corel\Graphics9\Register\Remind32.exe # O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe # O4 - Global Startup: LightSurf.lnk = C:\Program Files\LightSurf\Common\IconMgr.exe # O4 - Global Startup: Remote Controller.lnk = C:\Program Files\Prolink\PlayTV Pro\TVRMVCR.EXE # O4 - Global Startup: TVSCHL.lnk = C:\Program Files\Prolink\PlayTV Pro\TVSCHL.EXE # O4 - Global Startup: Ulead Photo Express 4.0 SE Calendar Checker .lnk = C:\Program Files\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe # O4 - Global Startup: VIA RAID TOOL.lnk = C:\Program Files\VIA\RAID\raid_tool.exe

z tego 3/4 możesz spokojnie wyłączyć z uruchamiania

dla pewności Wyłącz I włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

przeskanuj obszar Mój komputer http://www.kaspersky.pl/virusscanner.html pokaż raport stronę uruchomić przez IE

Krassus · 23 Czerwiec 2008 07:50

jest log z Kasperskiego, jeszcze coś znalazł, ale zdecydowanie się wyczyściło.

http://www.wklej.org/id/8828c8cd39

komp też działa nad wyraz sprawnie

pzodrawiam

huber2t · 23 Czerwiec 2008 08:00

Pobierz The Avenger

wklej do niego ten tekst:

Folders to delete:

C:\System Volume Information\_restore{F0D6F0CB-FE20-4E66-A4C4-AD1E8879BD62}\RP5

kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

Krassus · 23 Czerwiec 2008 10:19

tu jest log:

http://www.wklej.org/id/9213d5c799

niestety nie skasowal

huber2t · 23 Czerwiec 2008 10:23

Wyłącz i Włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Wykonaj to i przeskanuj Kasperskim jeszcze raz

Leon1 · 23 Czerwiec 2008 12:34

Czy wyłączałeś przywracanie systemu

czy to zrobiłeś przed czy po skanowaniu?

jeśli zrobiłeś po skanie to jest wszystko OK

jeszcze prośba do ciebie

Pobierz Combofix http://www.searchengines.pl/index.php?s … ntry395642 przeskanuj daj log

może się uda

Krassus · 24 Czerwiec 2008 08:22

tu jest log z Kasperskiego.

http://www.wklej.org/id/23e63afb75

przywracanie wył/wła zrobiłem po skanie.

niestety coś znów wykrył.

z combofixem mialem wczesniej problemy z jego nazwa, ale zaraz spróbuje

pozdrawiam

huber2t · 24 Czerwiec 2008 08:34

Pobierz The Avenger

wklej do niego ten tekst:

Files to delete:

C:\Documents and Settings\Marek Krassus\Ustawienia lokalne\Temp\10.exe

C:\Documents and Settings\Marek Krassus\Ustawienia lokalne\Temp\12.exe

C:\Documents and Settings\Marek Krassus\Ustawienia lokalne\Temp\24.exe

C:\Documents and Settings\Marek Krassus\Ustawienia lokalne\Temp\28.exe

C:\Documents and Settings\Marek Krassus\Ustawienia lokalne\Temp\29.exe

C:\Documents and Settings\Marek Krassus\Ustawienia lokalne\Temp\31.exe

C:\Documents and Settings\Marek Krassus\Ustawienia lokalne\Temp\5.exe

C:\Documents and Settings\Marek Krassus\Ustawienia lokalne\Temp\8.exe

C:\Documents and Settings\Marek Krassus\Ustawienia lokalne\Temp\a.exe

C:\WINDOWS\system32\aitlasys.exe

C:\WINDOWS\system32\akjsckaq.dll

C:\WINDOWS\system32\apsgfjba.dll

C:\WINDOWS\system32\ghwxattb.exe

C:\WINDOWS\system32\ismhasrv.exe 

C:\WINDOWS\system32\kcoin32.dll

C:\WINDOWS\system32\lpmxajkl.exe

C:\WINDOWS\system32\lpsgajba.exe

C:\WINDOWS\system32\midimapwl.dll

C:\WINDOWS\system32\midimapzx.dll

C:\WINDOWS\system32\mkjsakaq.exe

C:\WINDOWS\system32\MMKAFNFW1104.dll

C:\WINDOWS\system32\MMKAFNFW1104.exe

C:\WINDOWS\system32\mnmhgsrv.dll

C:\WINDOWS\system32\nhmxcjkl.dll

C:\WINDOWS\system32\oswxdttb.dll

C:\WINDOWS\system32\ozfyebyt.dll

C:\WINDOWS\system32\posqatyu.exe

C:\WINDOWS\system32\tisqatyu.dll

C:\WINDOWS\system32\tjfyabyt.exe

C:\WINDOWS\system32\ypdjgbmp.dll

C:\WINDOWS\system32\yxcschlp.dll

C:\WINDOWS\system32\zptlcsys.dll

C:\WINDOWS\system32\zsdjabmp.exe

C:\WINDOWS\system32\zxcsahlp.exe

kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

Krassus · 24 Czerwiec 2008 09:19

jest log z Avengera:

http://www.wklej.org/id/46a0ac4d80

huber2t · 24 Czerwiec 2008 09:20

Pliki się pousuwali, spróbuj dać teraz log z combofix

Krassus · 24 Czerwiec 2008 10:22

tym razem combo odpalił się pomyślnie.

tutaj log:

http://www.wklej.org/id/522822e023

W dniu 24.06.2008 , o godzinie 12:22 został dopisany post przez Krassus

Avast po restarcie znowu wyrzuca komunikaty o wirusie

Leon1 · 24 Czerwiec 2008 12:38

Otwórz notatnik i wklej

File:: C:\WINDOWS\system32\kcoin32.exe C:\WINDOWS\system32\rnmxajkl.sys C:\WINDOWS\system32\snfybbyt.sys C:\WINDOWS\system32\xsdjbbmp.sys C:\WINDOWS\system32\zxmsdwin.dll C:\WINDOWS\system32\ahakgdlh.dll C:\WINDOWS\system32\kbdswjr.dll C:\a3a33c98815800fe.dat Folder:: C:\Documents and Settings\Marek Krassus\Ustawienia lokalne\Temp Driver:: a3a33c98815800fe dTVdrvNT Registry:: [-HKEY_LOCAL_MACHINE~\Browser Helper Objects{43512378-9874-5641-1025-985420368734}] [-HKEY_LOCAL_MACHINE~\Browser Helper Objects{5A069845-2036-6084-9054-6087502480A5}] [-HKEY_LOCAL_MACHINE~\Browser Helper Objects{6FD45A54-9875-698F-E56E-65102358FDF6}] [-HKEY_LOCAL_MACHINE~\Browser Helper Objects{7A041F13-A111-12A3-B0CF-F99818AA68A7}] [-HKEY_LOCAL_MACHINE~\Browser Helper Objects{91954FAC-1023-154F-895A-1458258AD819}] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run] “kcoin”=- [hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks] “{7A041F13-A111-12A3-B0CF-F99818AA68A7}”=- “{00150015-0015-0015-0015-00150015BB15}”=- “{E8A3B193-77E3-4FB3-986D-F4FA4828BAFC}”=- “{6FD45A54-9875-698F-E56E-65102358FDF6}”=- “{4F4F0064-71E0-4f0d-0005-708476C7815F}”=- “{9dc25ba5-ad5f-4df5-bdf0-24a700ea804a}”=- “{4F4F0064-71E0-4f0d-0004-708476C7815F}”=- “{00120012-0012-0012-0012-00120012BB15}”=- “{91954FAC-1023-154F-895A-1458258AD819}”=- “{5A069845-2036-6084-9054-6087502480A5}”=- “{43512378-9874-5641-1025-985420368734}”=- “{5E907A48-400E-4EA8-9792-FFAE052D59E9}”=- “{189F087F-4378-405F-85FA-37D955AD7A8C}”=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] “ahakgdlh.dll”=- “midimapzx”=- “midimapwl”=- “kbdswjr.dll”=- [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] “AppInit_DLLs”=- “AppInit_DLLs”="" [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PowerS] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Uniblue RegistryBooster 2] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [-HKEY_LOCAL_MACHINE\System\ControlSet005\Services\a3a33c98815800fe]

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri … iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

Krassus · 24 Czerwiec 2008 14:02

tutaj jest log z Combo:

http://www.wklej.org/id/8968a7b404

Leon1 · 24 Czerwiec 2008 19:30

Otwórz notatnik i wklej

File:: C:\WINDOWS~DF6A9.tmp C:\WINDOWS\system32\ijsgajba.sys C:\WINDOWS~DF8ED3.tmp C:\WINDOWS\system32\MMKAFNFW1104.exe C:\WINDOWS\system32\apsggjba.dll C:\WINDOWS\system32\lpmxajkl.exe C:\WINDOWS\system32\mndhfdwd.dll C:\WINDOWS\system32\nhmxcjkl.dll C:\WINDOWS\system32\tjfyabyt.exe C:\WINDOWS\system32\ypdjgbmp.dll C:\WINDOWS\system32\zsdjabmp.exe C:\WINDOWS\system32\bcfzdvmd.dll C:\WINDOWS\system32\midimapzx.dll Folder:: C:\Documents and Settings\Marek Krassus\Ustawienia lokalne\Temp Registry:: [-HKEY_LOCAL_MACHINE~\Browser Helper Objects{6C648541-1025-9650-9057-6541258720C6}] [-HKEY_LOCAL_MACHINE~\Browser Helper Objects{7FD45A54-9875-698F-E56E-65102358FDF7}] [hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks] “{7FD45A54-9875-698F-E56E-65102358FDF7}”=- “{6C648541-1025-9650-9057-6541258720C6}”=- “{00150015-0015-0015-0015-00150015BB15}”=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] “bcfzdvmd.dll”=-

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri … iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

Pobierz System Repair Engineer

http://www.cybertrash.pl/images/tata/Sy … ineer.html

przeskanuj daj log