Win32:Trojan-gen


(Calatin) #1

Witam,

podczas przegladania Internetu avast! wykryl Win32:Trojan-gen {Other} w C:\WINDOWS\Temp\wpv311250563654.exe\install.exe. Po wykonaniu zalecanej czynności - Kwarantanna - pojawia się komunikat "Nie można przetworzyć pliku C:\WINDOWS\Temp\wpv311250563654.exe\install.exe"

PO wcisnieciu OK pojawai sie ponownie komunikat o pasozycie.

Zrobilem scan Malwarebyte's, usunalem co znalazl, zrobilem restart ale po uruchomieniu komputera pojawila sie ponownie informacja avasta o pasozycie.

Tutaj log z Malwarebyte's:

Malwarebytes' Anti-Malware 1.40

Wersja bazy definicji: 2551

Windows 5.1.2600 Dodatek Service Pack 3

2009-08-23 14:22:23

mbam-log-2009-08-23 (14-22-23).txt

Typ skanowania: Pełne skanowanie (C:\|D:\|)

Przeskanowane obiekty: 149479

Upłynęło: 45 minute(s), 49 second(s)

Zainfekowane procesy w pamięci: 0

Zainfekowane moduły pamięci: 0

Zainfekowane klucze rejestru: 0

Zainfekowane wartości rejestru: 0

Zainfekowane pliki rejestru: 0

Zainfekowane foldery: 0

Zainfekowane pliki: 1

Zainfekowane procesy w pamięci:

(Nie wykryto groźnych plików)

Zainfekowane moduły pamięci:

(Nie wykryto groźnych plików)

Zainfekowane klucze rejestru:

(Nie wykryto groźnych plików)

Zainfekowane wartości rejestru:

(Nie wykryto groźnych plików)

Zainfekowane pliki rejestru:

(Nie wykryto groźnych plików)

Zainfekowane foldery:

(Nie wykryto groźnych plików)

Zainfekowane pliki:

C:\Documents and Settings\Monisia\Dane aplikacji\wiaserva.log (Malware.Trace) -> Quarantined and deleted successfully.

Co robić ? Prosze o pomoc

-- Dodane 23.08.2009 (N) 14:39 --

Dodam tylko, bo nie wiem czy to istotne czy nie, ze przed restartem avast! informowal ze plik nazywa sie Win32:Neredr [Drp] "Zakraplacz"


(Umpfh) #2

Daj loga z OTL: http://www.forumpc.pl/index.php?showtopic=104338


(Calatin) #3

Mam nadzieje ze o to chodzi bo nie bardzo sie na tym znam

http://wklej.org/id/138967/


(Umpfh) #4

wykonaj: http://www.searchengines.pl/Usuwanie-Bo ... 03177.html 1 i 2 punkt

Poniższy tekst wklejasz w puste okienko OTL i klikasz Run Fix. Po restarcie dajesz nowego loga z OTL.

:Processes

explorer.exe


:OTL

O3 - HKU\S-1-5-21-2383850973-3898523160-1420820613-1005\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.

O3 - HKU\S-1-5-21-2383850973-3898523160-1420820613-1005\..\Toolbar\WebBrowser: (no name) - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No CLSID value found.

O4 - HKU\S-1-5-21-2383850973-3898523160-1420820613-1005..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (Google Inc.)

O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Program Files\Bonjour\mdnsNSP.dll (Apple Inc.)

O18 - Protocol\Handler\ipp - No CLSID value found

O18 - Protocol\Handler\msdaipp - No CLSID value found

O33 - MountPoints2\{abdef6b6-3aef-11dd-a86a-00173194dba7}\Shell\AutoRun\command - "" = lcw.exe

O33 - MountPoints2\{abdef6b6-3aef-11dd-a86a-00173194dba7}\Shell\open\Command - "" = lcw.exe

O33 - MountPoints2\{ee23bfa6-6adf-11dc-a75d-00173194dba7}\Shell\Auto\command - "" = tel.xls.exe


:Files

C:\Program Files\Bonjour\mDNSResponder.exe

C:\Documents and Settings\Monisia\Ustawienia lokalne\Dane aplikacji\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini


:Reg

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\

mountpoints2]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\

Advanced]

"SuperHidden"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\

Advanced]

"Hidden"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\

Advanced]

"ShowSuperHidden"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\

Advanced\Folder\Hidden\SHOWALL]

"CheckedValue"=dword:00000001

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\

Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\

Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]

@=""


:Commands

[emptytemp]

[start explorer]

[Reboot]

(Calatin) #5

witam,

zrobilem wg Twoich instrukcji jednak podczas Run Fix zawiesil mi sie komputer i po restarcie nie mam internetu, komputer wlacza mi ie 10 minut i nic sie nie da zrobic

Jakies propozycje co dalej?

Format?

-- Dodane 23.08.2009 (N) 18:25 --

Po uruchomieniu pojawia sie informacja "windows sockets initialization failed"

Przywracanie systemu również nie daje rezultatu


(Umpfh) #6

przywróć system: http://support.microsoft.com/kb/306084/pl


(deFco247) #7

Tak to jest, jak za sprawdzanie logów biorą się osoby niekompetentne. :evil:

calatin , pobierz LSP-Fix i uruchom.

Przenieś plik mdnsNSP.dll z okna Keep do Remove -> kliknij Finish -> restart.


(Umpfh) #8

tak to jest jak kroś do końca nie czyta i nie wykonuje poleceń po kolei panie kompetentny :wink:


(deFco247) #9

To powiedz mi po co to usuwałeś:

Niepoprawne usunięcie wywoła takie konsekwencje:


(Umpfh) #10

Usuwałam, końcówki Ci się mylą :wink:

gdyby z 1 postu z tematu: http://www.searchengines.pl/Usuwanie-Bo ... 03177.html zostało wykonane, problemu by nie było, bo i folder by znikł, w logach OTL podałam go odruchowo. cóż, czasem powinnam może pomyśleć, uczę się jeszcze więc przepraszam jeśli coś pójdzie nie tak.


(Calatin) #11

Dzieki za szybka odpowiedz

Zainstalowalem LSP-Fix i uruchomilem jednak mam pytanie bo znalazl mi wiecej plikow po strronie keep a mianowicie:

mswsock.dll

winrnr.dll

rsvpsp.dll

deFco247 powieniem przeniesc wszystkie czy tylko ten o ktorym wspomniales?


(Umpfh) #12

czyli jeden.


(Calatin) #13

Hmm tylko ze tego wspomnianego pliku nie ma

Sa tylko te ktore wymienilem.

-- Dodane 23.08.2009 (N) 18:53 --

deFco247 nie ma tego pliku o ktorym wspomniales?

Jakies pomysly?

-- Dodane 23.08.2009 (N) 21:40 --

Witam,

neta juz przywrocilem ale nie potrafie usunac tego trojana?

Log z OTL wklejony wczesniej

Ktos cos poradzi?