Win32:Delf-ESD [Trj] i pełno innych trojanów!

Dla specjalistów Bezpieczeństwo
#1

Avast wykrył kilkanaście wirusów! !!

[Nazwa pliku: 1041b.exe

FileID: 19

Opis wirusa: Win32:Ircbot-BXE [Trj]

Nazwa pliku: 12520850x.exe

FileID: 20

Opis wirusa: Win32:Ircbot-BXE [Trj]

Nazwa pliku: A0016444.exe

FileID: 11

Opis wirusa: Win32:Trojan-gen. {UPX!}

Nazwa pliku: A0016445.exe

FileID: 12

Opis wirusa: Win32:Trojan-gen. {UPX!}

Nazwa pliku: A0016446.dll

FileID: 13

Opis wirusa: Win32:Trojan-gen. {Other}

Nazwa pliku: A0016679.dll

FileID: 16

Opis wirusa: Win32:Adware-gen. [Adw]

Nazwa pliku: A0016680.exe

FileID: 17

Opis wirusa: Win32:Trojan-gen. {UPX!}

Nazwa pliku: A0016940.exe

FileID: 21

Opis wirusa: Win32:Trojan-gen. {UPX!}

Nazwa pliku: A0017272.exe

FileID: 22

Opis wirusa: Win32:Delf-ESD [Trj]

Nazwa pliku: A0018682.exe

FileID: 23

Opis wirusa: Win32:Ircbot-BXE [Trj]

Nazwa pliku: A0018683.exe

FileID: 24

Opis wirusa: Win32:Ircbot-BXE [Trj]

Nazwa pliku: A0021031.exe

FileID: 25

Opis wirusa: Win32:Ircbot-BXE [Trj]

Nazwa pliku: acleditb.exe

FileID: 18

Opis wirusa: Win32:Ircbot-BXE [Trj]

Nazwa pliku: acleditb.exe

FileID: 18

Opis wirusa: Win32:Ircbot-BXE [Trj]

Nazwa pliku: asgp32.dll

FileID: 14

Opis wirusa: Win32:Adware-gen. [Adw]

Nazwa pliku: Dc1294.exe

FileID: 8

Opis wirusa: Win32:Trojan-gen. {UPX!}

Nazwa pliku: Dc1295.dll

FileID: 9

Opis wirusa: Win32:Trojan-gen. {Other}

Nazwa pliku: index[2].htm

FileID: 6

Opis wirusa: JS:Feebs family

Nazwa pliku: msmapi32.exe

FileID: 15

Opis wirusa: Win32:Trojan-gen. {UPX!}

Nazwa pliku: qkljlkjd.exe

FileID: 5

Opis wirusa: Win32:Tibs-AIQ [Wrm]

Nazwa pliku: tmp0648022.log

FileID: 26

Opis wirusa: Win32:Delf-ESD [Trj]

Nazwa pliku: tmp3794372.log

FileID: 27

Opis wirusa: Win32:Trojan-gen. {UPX!}

Nazwa pliku: uerxuisl.ici

FileID: 4

Opis wirusa: Win32:Rootkit-C [Trj]

]

Mam wrażenie że komuter nie chodzi tak jak powinien, wyskakuje mnóstwo reklam, chodzi dość wolno, mimo tego że "odchudziłam go " wg waszych wskazówek z forum “sprawdzone porady”, nie mam pojęcia co powinnam zrobić?? proszę o pomoc! !!

#2

Wrzuć log z ComboFix. Aby zrobić w nim log należy go uruchomić => nacisnąć klawisz Y => czekać cierpliwie i log powinien być w formie pliku .txt o nazwie combofix na partycji C.

#3

[“K i A rulez” - 2007-06-29 19:13:56 Dodatek Service Pack 2

ComboFix 07-05.20.3.V - Running from: “C:\Documents and Settings\K i A rulez\Pulpit\dobre programy”

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

C:\WINDOWS\svhost.exe

((((((((((((((((((((((((((((((( Files Created from 2007-05-06 to 2007-06-29 ))))))))))))))))))))))))))))))))))

2007-06-18 16:28

2007-06-18 16:08

2007-06-18 15:50

2007-06-18 15:35

2007-06-18 15:35

2007-06-18 15:31 89,360 --a------ C:\WINDOWS\system32\VB5DB.DLL

2007-06-18 15:03 613 --a------ C:\WINDOWS\eReg.dat

2007-06-10 06:43 162 --ahs---- C:\WINDOWS\system32\1625399423.dat

2007-06-02 12:29 309,616 --a------ C:\WINDOWS\system32\wmv8dmod.dll

2007-06-02 12:29

2007-06-02 12:28 327,168 --a------ C:\WINDOWS\IsUn0415.exe

(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-06-19 19:49:03 -------- d-----w C:\DOCUME~1\KIARUL~1\DANEAP~1\Skype

2007-06-18 13:30:41 -------- d–h--w C:\Program Files\InstallShield Installation Information

2007-05-25 16:47:47 -------- d-----w C:\Program Files\Purgatio Pro

2007-05-25 16:37:16 -------- d-----w C:\Program Files\Winamp

2007-05-18 18:29:49 -------- d-----w C:\DOCUME~1\KIARUL~1\DANEAP~1\Gadu-Gadu

2007-05-18 18:29:28 -------- d-----w C:\Program Files\Gadu-Gadu

2007-05-18 18:28:41 4,109,584 ----a-w C:\Program Files\gg77.exe

2007-05-17 12:03:08 -------- d-----w C:\Program Files\Google

2007-05-12 15:41:45 163,644 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys

2007-04-30 15:46:10 745,600 ----a-w C:\WINDOWS\system32\aswBoot.exe

2007-04-30 15:41:55 85,952 -c–a-w C:\WINDOWS\system32\drivers\aswmon.sys

2007-04-30 15:41:42 94,552 ----a-w C:\WINDOWS\system32\drivers\aswmon2.sys

2007-04-30 15:39:41 23,416 ----a-w C:\WINDOWS\system32\drivers\aswRdr.sys

2007-04-30 15:38:51 43,176 ----a-w C:\WINDOWS\system32\drivers\aswTdi.sys

2007-04-30 15:37:23 26,888 ----a-w C:\WINDOWS\system32\drivers\aavmker4.sys

2007-04-30 15:35:28 95,872 -c–a-w C:\WINDOWS\system32\AVASTSS.scr

2007-04-20 17:33:56 -------- d-----w C:\DOCUME~1\KIARUL~1\DANEAP~1\Corel

2007-04-18 13:38:28 -------- d-----w C:\Program Files\Common Files\InstallShield

2007-04-14 16:33:05 -------- d-----w C:\DOCUME~1\KIARUL~1\DANEAP~1\Google

2007-04-14 16:20:28 2,560 ----a-w C:\WINDOWS\system32\BitCometRes.dll

2007-04-14 16:20:21 -------- d-----w C:\Program Files\BitComet

2007-03-31 19:16:55 47 ----a-w C:\AUTOEXEC.BAT

2007-03-25 17:42:04 49,712 ----a-w C:\WINDOWS\system32\perfc015.dat

2007-03-25 17:42:04 355,830 -c–a-w C:\WINDOWS\system32\perfh015.dat

2007-03-07 23:51:00 129,784 ------w C:\WINDOWS\system32\pxafs.dll

(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}=C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll [2004-12-14 02:56]

{22BF413B-C6D2-4d91-82A9-A0F997BA588C}=C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL [2006-12-18 18:30]

{39F7E362-828A-4B5A-BCAF-5B79BFDFEA60}=C:\Program Files\BitComet\tools\BitCometBHO_1.1.3.28.dll [2007-03-29 16:31]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“avast!”=“C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe” [2007-04-30 17:42]

“NvMediaCenter”=“C:\WINDOWS\system32\NvMcTray.dll” [2006-06-01 11:22]

“NvCplDaemon”=“C:\WINDOWS\system32\NvCpl.dll” [2006-06-01 11:22]

“SkyTel”=“SkyTel.EXE” []

“RTHDCPL”=“RTHDCPL.EXE” []

“RemoteControl”=“C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe” [2004-11-02 21:24]

“nwiz”=“nwiz.exe” [2006-06-01 11:22 C:\WINDOWS\system32\nwiz.exe]

“NeroFilterCheck”=“C:\WINDOWS\system32\NeroCheck.exe” [2001-07-09 12:50]

“WinampAgent”=“C:\Program Files\Winamp\winampa.exe” [2007-05-15 00:22]

“net32”=“C:\WINDOWS\svhost.exe” []

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“VoipStunt”=“C:\Program Files\VoipStunt.com\VoipStunt\VoipStunt.exe” []

“Gadu-Gadu”=“C:\Program Files\Gadu-Gadu\gg.exe” [2007-05-10 16:36]

“BitComet”=“C:\Program Files\BitComet\BitComet.exe” [2007-04-03 20:04]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Adobe Reader Speed Launch.lnk]

path=C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Adobe Reader Speed Launch.lnk

backup=C:\WINDOWS\pss\Adobe Reader Speed Launch.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^BlueSoleil.lnk]

path=C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\BlueSoleil.lnk

backup=C:\WINDOWS\pss\BlueSoleil.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Corel MEDIA FOLDERS INDEXER 8.LNK]

path=C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Corel MEDIA FOLDERS INDEXER 8.LNK

backup=C:\WINDOWS\pss\Corel MEDIA FOLDERS INDEXER 8.LNKCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BitComet]

“C:\Program Files\BitComet\BitComet.exe” /tray

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\eMuleAutoStart]

D:\eMule\emule.exe -AutoStart

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]

“C:\Program Files\Skype\Phone\Skype.exe” /nosplash /minimized

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost *netsvcs*

~ ~ ~ ~ ~ ~ ~ ~ Hijackthis Backups ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~

********************************************************************

catchme 0.3.660 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net

Rootkit scan 2007-06-29 19:14:18

Windows 5.1.2600 Dodatek Service Pack 2 NTFS

scanning hidden processes …

scanning hidden autostart entries …

scanning hidden files …

scan completed successfully

hidden files: 0

********************************************************************

Completion time: 2007-06-29 19:14:35

C:\ComboFix-quarantined-files.txt … 2007-06-29 19:14

— E O F —]

#4

Otwórz Notatnik i wklej w nim to:

Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG >>> kliknij dwa razy na utworzony plik FIX.REG i potwierdź dodanie do rejestru >>> restart.

Przeskanuj plik C:\WINDOWS\system32\1625399423.dat na stronie http://virusscan.jotti.org/ i wklej wynik skanowania plus nowy log z ComboFix.

#5

C:\WINDOWS\system32\1625399423.dat nie moge odszukac tego pliku na kompie, wlejam log

[“K i A rulez” - 2007-06-29 19:49:31 Dodatek Service Pack 2

ComboFix 07-05.20.3.V - Running from: “C:\Documents and Settings\K i A rulez\Pulpit\dobre programy”

((((((((((((((((((((((((((((((( Files Created from 2007-05-06 to 2007-06-29 ))))))))))))))))))))))))))))))))))

2007-06-18 16:28

2007-06-18 16:08

2007-06-18 15:50

2007-06-18 15:35

2007-06-18 15:35

2007-06-18 15:31 89,360 --a------ C:\WINDOWS\system32\VB5DB.DLL

2007-06-18 15:03 613 --a------ C:\WINDOWS\eReg.dat

2007-06-10 06:43 162 --ahs---- C:\WINDOWS\system32\1625399423.dat

2007-06-02 12:29 309,616 --a------ C:\WINDOWS\system32\wmv8dmod.dll

2007-06-02 12:29

2007-06-02 12:28 327,168 --a------ C:\WINDOWS\IsUn0415.exe

(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-06-19 19:49:03 -------- d-----w C:\DOCUME~1\KIARUL~1\DANEAP~1\Skype

2007-06-18 13:30:41 -------- d–h--w C:\Program Files\InstallShield Installation Information

2007-05-25 16:47:47 -------- d-----w C:\Program Files\Purgatio Pro

2007-05-25 16:37:16 -------- d-----w C:\Program Files\Winamp

2007-05-18 18:29:49 -------- d-----w C:\DOCUME~1\KIARUL~1\DANEAP~1\Gadu-Gadu

2007-05-18 18:29:28 -------- d-----w C:\Program Files\Gadu-Gadu

2007-05-18 18:28:41 4,109,584 ----a-w C:\Program Files\gg77.exe

2007-05-17 12:03:08 -------- d-----w C:\Program Files\Google

2007-05-12 15:41:45 163,644 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys

2007-04-30 15:46:10 745,600 ----a-w C:\WINDOWS\system32\aswBoot.exe

2007-04-30 15:41:55 85,952 -c–a-w C:\WINDOWS\system32\drivers\aswmon.sys

2007-04-30 15:41:42 94,552 ----a-w C:\WINDOWS\system32\drivers\aswmon2.sys

2007-04-30 15:39:41 23,416 ----a-w C:\WINDOWS\system32\drivers\aswRdr.sys

2007-04-30 15:38:51 43,176 ----a-w C:\WINDOWS\system32\drivers\aswTdi.sys

2007-04-30 15:37:23 26,888 ----a-w C:\WINDOWS\system32\drivers\aavmker4.sys

2007-04-30 15:35:28 95,872 -c–a-w C:\WINDOWS\system32\AVASTSS.scr

2007-04-20 17:33:56 -------- d-----w C:\DOCUME~1\KIARUL~1\DANEAP~1\Corel

2007-04-18 13:38:28 -------- d-----w C:\Program Files\Common Files\InstallShield

2007-04-14 16:33:05 -------- d-----w C:\DOCUME~1\KIARUL~1\DANEAP~1\Google

2007-04-14 16:20:28 2,560 ----a-w C:\WINDOWS\system32\BitCometRes.dll

2007-04-14 16:20:21 -------- d-----w C:\Program Files\BitComet

2007-03-31 19:16:55 47 ----a-w C:\AUTOEXEC.BAT

2007-03-25 17:42:04 49,712 ----a-w C:\WINDOWS\system32\perfc015.dat

2007-03-25 17:42:04 355,830 -c–a-w C:\WINDOWS\system32\perfh015.dat

2007-03-07 23:51:00 129,784 ------w C:\WINDOWS\system32\pxafs.dll

(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}=C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll [2004-12-14 02:56]

{22BF413B-C6D2-4d91-82A9-A0F997BA588C}=C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL [2006-12-18 18:30]

{39F7E362-828A-4B5A-BCAF-5B79BFDFEA60}=C:\Program Files\BitComet\tools\BitCometBHO_1.1.3.28.dll [2007-03-29 16:31]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“avast!”=“C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe” [2007-04-30 17:42]

“NvMediaCenter”=“C:\WINDOWS\system32\NvMcTray.dll” [2006-06-01 11:22]

“NvCplDaemon”=“C:\WINDOWS\system32\NvCpl.dll” [2006-06-01 11:22]

“SkyTel”=“SkyTel.EXE” []

“RTHDCPL”=“RTHDCPL.EXE” []

“RemoteControl”=“C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe” [2004-11-02 21:24]

“nwiz”=“nwiz.exe” [2006-06-01 11:22 C:\WINDOWS\system32\nwiz.exe]

“NeroFilterCheck”=“C:\WINDOWS\system32\NeroCheck.exe” [2001-07-09 12:50]

“WinampAgent”=“C:\Program Files\Winamp\winampa.exe” [2007-05-15 00:22]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“VoipStunt”=“C:\Program Files\VoipStunt.com\VoipStunt\VoipStunt.exe” []

“Gadu-Gadu”=“C:\Program Files\Gadu-Gadu\gg.exe” [2007-05-10 16:36]

“BitComet”=“C:\Program Files\BitComet\BitComet.exe” [2007-04-03 20:04]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Adobe Reader Speed Launch.lnk]

path=C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Adobe Reader Speed Launch.lnk

backup=C:\WINDOWS\pss\Adobe Reader Speed Launch.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^BlueSoleil.lnk]

path=C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\BlueSoleil.lnk

backup=C:\WINDOWS\pss\BlueSoleil.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Corel MEDIA FOLDERS INDEXER 8.LNK]

path=C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Corel MEDIA FOLDERS INDEXER 8.LNK

backup=C:\WINDOWS\pss\Corel MEDIA FOLDERS INDEXER 8.LNKCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BitComet]

“C:\Program Files\BitComet\BitComet.exe” /tray

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\eMuleAutoStart]

D:\eMule\emule.exe -AutoStart

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]

“C:\Program Files\Skype\Phone\Skype.exe” /nosplash /minimized

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost *netsvcs*

********************************************************************

catchme 0.3.660 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net

Rootkit scan 2007-06-29 19:49:58

Windows 5.1.2600 Dodatek Service Pack 2 NTFS

scanning hidden processes …

scanning hidden autostart entries …

scanning hidden files …

scan completed successfully

hidden files: 0

********************************************************************

Completion time: 2007-06-29 19:50:13

C:\ComboFix-quarantined-files.txt … 2007-06-29 19:50

C:\ComboFix2.txt … 2007-06-29 19:14

— E O F —]

#6

Już jest Ok, czy masz jeszcze jakieś problemy?

#7

mam tylko prośbę, czy moglbyś mi napisać jak porządnie pozbyć się Bitcometa z kompa??

#8

Obejmij proszę logi w tagi QUOTE lub CODE > użyj przycisku icon_edit.gif

http://dobreprogramy.pl/index.php?dz=2t=29id=149 deinstalator

Przeczyść rejestr – użyj do tego jv16 PowerTools 2006 1.5.2.344.