Win32/Spy.Zbot.ZR koń trojański dwm.exe (1020) ESET nie usuw

hiszpan1492 · 23 Grudzień 2012 14:59

Witam,

Po przeskanowaniu ESET Smart Security w dzienniku pojawił się taki oto komunikat:

“… Pamięć operacyjna >>dwm.exe(1020) - odmiana zagrożenia Win32/Spy.Zbot.ZR koń trojański - nie można wyleczyć …”.

Podaję logi z OTL w wielką prośbą o pomoc:

OTL:

http://www.wklej.org/id/904550/

EXTRAS:

http://www.wklej.org/id/904552/

Dziękuję.

Acorus · 23 Grudzień 2012 15:15

Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

:OTL SRV - File not found [Auto | Stopped] – C:\Windows\system32\HPZipm12.dll – (Pml Driver HPZ12) SRV - File not found [On_Demand | Stopped] – C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe – (NMIndexingService) SRV - File not found [Auto | Stopped] – C:\Windows\system32\HPZinw12.dll – (Net Driver HPZ12) DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\SymIM.sys – (SymIMMP) DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\ewusbmdm.sys – (hwdatacard) DRV - File not found [Kernel | Disabled | Stopped] – C:\Windows\system32\drivers\blbdrive.sys – (blbdrive) O3 - HKLM…\Toolbar: (Ask Toolbar) - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL File not found O3 - HKU\S-1-5-21-959987321-425803753-1291846370-1000…\Toolbar\ShellBrowser: (Deutschland Radio Toolbar) - {2069A8C8-FAD1-424B-B76C-D7F33D77DC4C} - C:\Program Files\Deutschland_Radio\tbDeut.dll (Conduit Ltd.) O3 - HKU\S-1-5-21-959987321-425803753-1291846370-1000…\Toolbar\WebBrowser: (Deutschland Radio Toolbar) - {2069A8C8-FAD1-424B-B76C-D7F33D77DC4C} - C:\Program Files\Deutschland_Radio\tbDeut.dll (Conduit Ltd.) O3 - HKU\S-1-5-21-959987321-425803753-1291846370-1000…\Toolbar\WebBrowser: (Ask Toolbar) - {FE063DB9-4EC0-403E-8DD8-394C54984B2C} - C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL File not found O4 - HKLM…\Run: [NBKeyScan] “C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe” File not found O4 - HKLM…\Run: [NPSStartup] File not found O4 - HKLM…\Run: [NWEReboot] File not found O4 - HKU\S-1-5-21-959987321-425803753-1291846370-1000…\Run: [EA Core] “C:\Program Files\Electronic Arts\EADM\Core.exe” -silent File not found O4 - HKU\S-1-5-21-959987321-425803753-1291846370-1000…\Run: [Epowyf] C:\Users\łukasz\AppData\Roaming\Xymef\wuyqp.exe File not found O4 - HKU\S-1-5-21-959987321-425803753-1291846370-1000…\Run: [Gadu-Gadu] “C:\Program Files\Gadu-Gadu\gg.exe” /tray File not found O4 - HKU\S-1-5-21-959987321-425803753-1291846370-1000…\Run: [userinit] C:\Users\łukasz\AppData\Roaming\appconf32.exe File not found [2012.12.21 08:31:58 | 000,000,000 | —D | C] – C:\Users\łukasz\AppData\Roaming\Xymef [2012.12.21 08:31:58 | 000,000,000 | —D | C] – C:\Users\łukasz\AppData\Roaming\Orgau [2012.12.21 08:31:58 | 000,000,000 | —D | C] – C:\Users\łukasz\AppData\Roaming\Acop [2012.09.18 20:00:35 | 000,044,544 | ---- | C] (Microsoft Corporation) – C:\ProgramData\lsass.exe [2012.09.18 20:00:47 | 083,023,306 | ---- | C] () – C:\ProgramData\0tbpw.pad :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp]

Kliknij Wykonaj skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij (Skanuj).

Pokaż nowy log OTL.txt oraz raport z usuwania.

hiszpan1492 · 23 Grudzień 2012 15:43

Wykonałem polecenia zgodnie z instrukcją.

Raport z usuwania:

http://www.wklej.org/id/904580/

Nowy raport OTL:

http://www.wklej.org/id/904594/

Acorus · 23 Grudzień 2012 15:54

Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

:OTL IE - HKLM…\URLSearchHook: {2069a8c8-fad1-424b-b76c-d7f33d77dc4c} - No CLSID value found IE - HKCU…\URLSearchHook: {2069a8c8-fad1-424b-b76c-d7f33d77dc4c} - No CLSID value found IE - HKCU…\SearchScopes{043C5167-00BB-4324-AF7E-62013FAEDACF}: “URL” = http://vshare.toolbarhome.com/search.aspx?q={searchTerms}&srch=dsp IE - HKCU…\SearchScopes{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: “URL” = http://search.babylon.com/web/{searchTerms}?babsrc=SP_ss&affID=19948&mntrId=7b254e070000000000000013339493129312 [2011.07.20 18:39:49 | 000,000,000 | —D | M] (Babylon) – C:\Users\łukasz\AppData\Roaming\Mozilla\Firefox\Profiles\95wr5jgx.default\extensions\ffxtlbr@babylon.com [2010.11.29 21:06:20 | 000,000,000 | —D | M] (vShare) – C:\Users\łukasz\AppData\Roaming\Mozilla\Firefox\Profiles\95wr5jgx.default\extensions\vshare@toolbar O2 - BHO: (Ask Toolbar BHO) - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL File not found O3 - HKLM…\Toolbar: (vShare Plugin) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - C:\Program Files\vShare\vshare_toolbar.dll () O3 - HKLM…\Toolbar: (no name) - {2069a8c8-fad1-424b-b76c-d7f33d77dc4c} - No CLSID value found. O3 - HKLM…\Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found. O3 - HKCU…\Toolbar\WebBrowser: (no name) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - No CLSID value found. O3 - HKCU…\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found. O3 - HKCU…\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found. O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} http://a1540.g.akamai.net/7/1540/52/200 … plugin.cab (Reg Error: Key error.) O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} http://download.macromedia.com/pub/shoc … tor/sw.cab (Reg Error: Key error.) O16 - DPF: {44990301-3C9D-426D-81DF-AAB636FA4345} https://www-secure.symantec.com/techsup … gctlsr.cab (Reg Error: Value error.) O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/fl … rashim.cab (Reg Error: Key error.) :Commands [emptytemp]

Kliknij Wykonaj skrypt.W OTL użyj opcji Sprzątanie.

Przeskanuj progr.Malwarebytes Anti-Malware http://www.malwarebytes.org/products/malwarebytes_free

Przed skanowaniem wykonaj RĘCZNĄ AKTUALIZACJĘ BAZY SYGNATUR WIRUSÓW Malwarebytesa “Uruchom Malwarebytes, przejdź do zakładki Aktualizacja, Sprawdź aktualizacje.”

Zainstaluj aktualizacje do programow wskazanych przez Security Check

analiza-dezynfekcja-zestaw-narzedzi-nieingerencyjnych-t485632.html jako out of date.

hiszpan1492 · 23 Grudzień 2012 16:40

Dziekuję za pomoc. Teraz przeskanuję kompa Malwarebytes Anti-Malware. W razie gdyby trojan nie został usunięty dam znać.