Trojan Win32:TratBHO ciągle sie pojawia Avast nie pomaga


(Guciarek5) #1

Witam serdecznie mam problem z trojanem którego nie można usunąć Avastem ponieważ znów sie pojawia (przywracanie systemu wyłączone) proszę o pomoc

ComboFix 08-01-11.1 - agusia 2008-01-11 21:44:30.2 - NTFSx86

Running from: C:\Documents and Settings\agusia\Pulpit\żeczy do wirusa\ComboFix.exe

.


((((((((((((((((((((((((( Files Created from 2007-12-11 to 2008-01-11 )))))))))))))))))))))))))))))))

.


2008-01-11 21:25 . 2003-02-28 18:26	139,536	--a------	C:\WINDOWS\system32\javaee.dll

2008-01-11 21:25 . 2003-02-28 18:26	46,352	--a------	C:\WINDOWS\setdebug.exe

2008-01-11 21:25 . 2003-02-28 16:54	7,315	--a------	C:\WINDOWS\system32\javasup.vxd

2008-01-11 21:25 . 2003-02-28 16:35	6,550	--a------	C:\WINDOWS\jautoexp.dat

2008-01-11 21:25 . 2003-02-28 16:38	113	--a------	C:\WINDOWS\system32\zonedon.reg

2008-01-11 21:25 . 2003-02-28 16:38	113	--a------	C:\WINDOWS\system32\zonedoff.reg

2008-01-11 21:24 . 2008-01-11 21:25

----a-w 155,648 2008-01-08 19:13:20 C:\Program Files\Common Files\Ahead\Lib\NeroCheck .exe

----a-w 147,456 2008-01-08 19:13:28 C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor .exe

----a-w 131,072 2008-01-08 19:13:18 C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray .exe

[/code]

((((((((((((((((((((((((((((( snapshot@2008-01-11_21.22.02.03 )))))))))))))))))))))))))))))))))))))))))

.

 • 2002-09-20 16:05:16 49,182 ----a-w C:\WINDOWS\LastGood.Tmp\system32\clspack.exe

 • 2002-09-20 16:03:42 313,856 ----a-w C:\WINDOWS\LastGood.Tmp\system32\dx3j.dll

 • 2002-09-20 16:04:02 186,911 ----a-w C:\WINDOWS\LastGood.Tmp\system32\javacypt.dll

 • 2002-09-20 16:04:02 63,007 ----a-w C:\WINDOWS\LastGood.Tmp\system32\javaprxy.dll

 • 2002-09-20 16:04:02 404,509 ----a-w C:\WINDOWS\LastGood.Tmp\system32\javart.dll

 • 2002-09-20 16:05:30 14,878 ----a-w C:\WINDOWS\LastGood.Tmp\system32\jdbgmgr.exe

 • 2002-09-20 16:04:02 171,034 ----a-w C:\WINDOWS\LastGood.Tmp\system32\jit.dll

 • 2002-09-20 16:05:32 172,060 ----a-w C:\WINDOWS\LastGood.Tmp\system32\jview.exe

 • 2002-09-20 16:04:10 154,140 ----a-w C:\WINDOWS\LastGood.Tmp\system32\msawt.dll

 • 2002-09-20 16:04:26 945,693 ----a-w C:\WINDOWS\LastGood.Tmp\system32\msjava.dll

 • 2002-09-20 16:04:26 21,023 ----a-w C:\WINDOWS\LastGood.Tmp\system32\msjdbc10.dll

 • 2002-09-20 16:04:58 287,263 ----a-w C:\WINDOWS\LastGood.Tmp\system32\vmhelper.dll

 • 2002-09-20 16:05:50 171,549 ----a-w C:\WINDOWS\LastGood.Tmp\system32\wjview.exe

 • 2002-09-20 16:05:16 49,182 ----a-w C:\WINDOWS\system32\clspack.exe

 • 2003-02-28 17:26:26 49,424 ----a-w C:\WINDOWS\system32\clspack.exe

 • 2002-09-20 16:03:42 313,856 ----a-w C:\WINDOWS\system32\dx3j.dll

 • 2003-02-28 15:34:42 313,856 ----a-w C:\WINDOWS\system32\dx3j.dll

 • 2002-09-20 16:04:02 186,911 ----a-w C:\WINDOWS\system32\javacypt.dll

 • 2003-02-28 17:26:16 187,152 ----a-w C:\WINDOWS\system32\javacypt.dll

 • 2002-09-20 16:04:02 63,007 ----a-w C:\WINDOWS\system32\javaprxy.dll

 • 2003-02-28 17:26:18 63,248 ----a-w C:\WINDOWS\system32\javaprxy.dll

 • 2002-09-20 16:04:02 404,509 ----a-w C:\WINDOWS\system32\javart.dll

 • 2003-02-28 17:26:18 404,752 ----a-w C:\WINDOWS\system32\javart.dll

 • 2002-09-20 16:05:30 14,878 ----a-w C:\WINDOWS\system32\jdbgmgr.exe

 • 2003-02-28 17:26:30 15,120 ----a-w C:\WINDOWS\system32\jdbgmgr.exe

 • 2002-09-20 16:04:02 171,034 ----a-w C:\WINDOWS\system32\jit.dll

 • 2003-02-28 17:26:20 171,280 ----a-w C:\WINDOWS\system32\jit.dll

 • 2002-09-20 16:05:32 172,060 ----a-w C:\WINDOWS\system32\jview.exe

 • 2003-02-28 17:26:30 172,304 ----a-w C:\WINDOWS\system32\jview.exe

 • 2008-01-02 09:21:38 17,642,616 ----a-w C:\WINDOWS\system32\MRT.exe

 • 2002-09-20 16:04:10 154,140 ----a-w C:\WINDOWS\system32\msawt.dll

 • 2003-02-28 17:26:20 154,384 ----a-w C:\WINDOWS\system32\msawt.dll

 • 2005-05-04 13:45:32 2,890,240 ----a-w C:\WINDOWS\system32\msi.dll

 • 2007-04-18 16:14:32 2,854,400 ----a-w C:\WINDOWS\system32\msi.dll

 • 2002-09-20 16:04:26 945,693 ----a-w C:\WINDOWS\system32\msjava.dll

 • 2003-02-28 17:26:26 947,472 ----a-w C:\WINDOWS\system32\msjava.dll

 • 2002-09-20 16:04:26 21,023 ----a-w C:\WINDOWS\system32\msjdbc10.dll

 • 2003-02-28 17:26:26 21,264 ----a-w C:\WINDOWS\system32\msjdbc10.dll

 • 2006-01-19 19:30:18 16,096 ------w C:\WINDOWS\system32\spmsg.dll

 • 2006-12-14 08:54:47 16,096 ------w C:\WINDOWS\system32\spmsg.dll

 • 2002-09-20 16:04:58 287,263 ----a-w C:\WINDOWS\system32\vmhelper.dll

 • 2003-02-28 17:26:26 286,992 ----a-w C:\WINDOWS\system32\vmhelper.dll

 • 2002-09-20 16:05:50 171,549 ----a-w C:\WINDOWS\system32\wjview.exe

 • 2003-02-28 17:26:32 171,792 ----a-w C:\WINDOWS\system32\wjview.exe

 • 2008-01-11 20:47:23 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_614.dat

.

-- Snapshot reset to current date --

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects{ecf36d19-2767-47c5-b46d-368b3f61931e}]

2008-01-06 19:38 75840 --a------ C:\WINDOWS\system32\ojinbwod.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Gadu-Gadu"="E:\Gadu-Gadu\gg.exe" [2005-11-16 11:57 2207744]

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe" []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2007-06-29 00:43 8466432]

"nwiz"="nwiz.exe" [2007-06-29 00:43 1626112 C:\WINDOWS\system32\nwiz.exe]

"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2007-06-29 00:43 81920]

"SoundMan"="SOUNDMAN.EXE" [2004-12-22 10:09 77824 C:\WINDOWS\soundman.exe]

"NVMixerTray"="C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe" []

"avast!"="E:\Avast\ashDisp.exe" [2007-12-04 14:00 79224]

"NeroFilterCheck"="C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe" []

"Adobe Reader Speed Launcher"="E:\Adobe Reader 8\Reader\Reader_sl.exe" [2007-10-10 19:51 39792]

"FineReader7NewsReaderPro"="E:\Abby\ABBYYNewsReader.exe" [2004-12-17 00:38 290816]

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2008-01-11 20:32 132496]

"BearFlix"="E:\BearFlix\BearFlix.exe" []

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:44 15360]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]

Notification Packages REG_MULTI_SZ scecli scecli

R2 ABBYY.Licensing.FineReader.Professional.9.0;ABBYY FineReader 9.0 PE Licensing Service;"C:\Program Files\Common Files\ABBYY\FineReader\9.00\Licensing\PE\NetworkLicenseServer.exe" [2007-12-06 21:03]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{c3eca38a-aa7f-11dc-971e-806d6172696f}]

\Shell\AutoRun\command - G:\install.exe

.

**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-01-11 21:47:43

Windows 5.1.2600 Dodatek Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully

hidden files: 0

**************************************************************************

.

--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\Explorer.EXE [6.00.2900.3156]

-> E:\Gadu-Gadu\ggwhook.dll

.

Completion time: 2008-01-11 21:50:37 - machine was rebooted

ComboFix-quarantined-files.txt 2008-01-11 20:50:21

ComboFix2.txt 2008-01-11 20:22:36

.

2008-01-11 20:27:12 --- E O F ---

/code]


(Gutek) #2

Wklej do Notatnika:

File::

C:\WINDOWS\system32\ojinbwod.dll

E:\Gadu-Gadu\ggwhook.dll


Registry::

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{ecf36d19-2767-47c5-b46d-368b3f61931e}]

>>Plik>>Zapisz jako... >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku -->88953CFScript-createdbyMiekiemoes.gif

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: **** Qoobox.

Po tym nowy log z Combo

Zmiana zasad wklejania logów na forum - viewtopic.php?f=16t=213350


(Guciarek5) #3

oto ostatni log http://wklej.org/id/378b756ef5


(Gutek) #4

Na koniec

Czyszczenie rejestru:

RegCleaner - http://www.dobreprogramy.pl/index.php?dz=2&t=29&id=177

możesz rejestr przelecieć albo

jv16 PowerTools - http://www.dobreprogramy.pl/index.php?dz=2&t=29&id=509

Opis RegCleaner - http://www.agavk.p9.pl/strony/progra_regcleaner.php

Zobacz - Obsługa jv16 PowerTools


(Guciarek5) #5

wcześniej podałam loga ale nie usunęłam folderu C : \Qoobox. (moja wina) podaje loga po osunięciu

http://wklej.org/id/2343a9b549

przepraszam nie wiem czy to coś zmienia??


(Gutek) #6

Nie zrób to co napisałem wyżej :slight_smile:


(Guciarek5) #7

Wydaje sie wszystko jest ok. Dziękuje za pomoc