Win32.trojan.agent jak usunąć


(Citron3) #1

jeśli można proszę o sprawdzenie loga ponieważ siedzi mi jakiś wirus i nie moge włączyć rejestru i menadżera zadań :evil: mam regalyz ale jak zmieniam klucze z 1 na 0 żeby nie blokowało to pochwili znowu jest 1.

oto log:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 13:57:15, on 2008-11-15

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Winamp\winampa.exe

C:\Program Files\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe

D:\HiJackThis\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{7C00BD15-3DBB-47D0-B5BD-C3ED072FD3B8}: NameServer = 150.254.5.4,150.254.5.11

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe


--

End of file - 2180 bytes

Proszę pomóżcie [-o<


(Spandau) #2

Usuń ten wpis w HJT (jeśli się da)

Uruchom HijackThis - Do a system scan only - w oknie programu pokaże się log - zaznacz kratki przy podanych wpisach - klikasz Fix checked

Pobierz Combofix przeskanuj system i daj log na forum.

Loga wklej na www.wklejto.pl lub http://www.wklej.org/ a w poście daj tylko linka


(Asterisk) #3


(Citron3) #4

ok ok już się poprawiam :wink: nowy jestem

oto log z combofix:

http://www.wklejto.pl/15186


(Spandau) #5

Wyłącz przywracanie systemu na wszystkich dyskach. Instrukcja

Pobierz The Avenger zaznacz poniższy tekst

kopiujesz - klikasz na Paste Script from Clipboard - Execute - Potwierdzasz i zgadzasz się na restart klikając OK.

Po wykonaniu skasuj z dysku plik: C:\Avenger\backup.zip i wklej raport na forum C:\avenger.txt

Instrukcja obsługi programu http://cybertrash.pl/images/tata/Avenger/Avenger.html

Następnie pobierz Kaspersky Removal Tool http://www.searchengines.pl/index.php?showtopic=18695 usuń wszystko co znajdzie.


(Citron3) #6

http://wklej.org/id/18542/ link z avengera


(Leon$) #7

Avanger OK

Otwórz notatnik i wklej

zapisz jako plik.reg >> wszystkie pliki >> scal z rejestrem >> restart

b57f17008275c957m.jpg

powstanie plik o takiej ikonie

062aec4c9b51c033m.jpg

w który dwa razy klikniesz potwierdzisz chęć dodania do rejestru potem restart

przeskanuj Kasperskim

:slight_smile:


(Citron3) #8

niestety odmawia dostępu do rejestru


(Citron3) #9

niestety nie mogę ściągnąć kaspersy removal tools! nawet szukając na google


(Leon$) #10

Otwórz notatnik i wklej

zapisz jako plik .inf >> wszystkie pliki >> PPM na plik >> zainstaluj >> restart

potem scal ten plik co podałem poprzednio

:slight_smile:


(Citron3) #11

a co to ten ppm?? i jak instalowac?


(Leon$) #12

PPM prawy przycisk myszy

:slight_smile:


(Citron3) #13

ok zrobiłem co trzeba ale nie mogę nawet uruchomić kasperskiego bo od razu sie wyłącza!

mogę dać wynik ad-aware


(Leon$) #14

Zastosuj Malwarebytes' Anti-Malware http://cybertrash.pl/Tata/MBAM/Malwarebytes_%20Anti-Malware.html pełny skan - jak coś znajdzie to usuń - pokaż log

:slight_smile:


(Citron3) #15

http://wklej.org/id/18596/ to log z ad-aware i jak biore kwarantanne to i tak wszystko wraca


(Spandau) #16

Nie dałeś loga z Malwarebytes, dlaczego?

Dodatkowo pobierz Trojan Remover http://dobreprogramy.pl/index.php?dz=2&id=2324&Trojan+Remover+6.7.4+Build+2551 przeskanuj system i usuń co znajdzie

Następnie pobierz System Repair Engineer http://www.cybertrash.pl/images/tata/Sy ... ineer.html przeskanuj system i daj log na forum