Wirus trojan-gen {other}


(B Wrobel11) #1

Złapałem wirusa. W Avascie wyszlo iz moj komputer toczy trojan-gen {other} oraz cos takiego jak win32:junkpoly [cryp]

Oto moj log, prosze o pomoc co mam z niego usunac:

Logfile of HijackThis v1.99.1

Scan saved at 00:41:30, on 2009-07-31

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0013)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZONELABS\vsmon.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

D:\Programy\Ashampoo Magical Defrag 2\bin\aDefragService.exe

C:\Program Files\Executive Software\DiskeeperWorkstation\DKService.exe

D:\Programy\Ashampoo Magical Defrag 2\bin\defragActivityMonitor.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe

C:\Program Files\Common Files\LightScribe\LSSrvc.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\Explorer.EXE

D:\Programy\Daemon\DAEMON Tools\daemon.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\WINDOWS\system32\ms18_word.exe

C:\WINDOWS\System32\reader_s.exe

C:\WINDOWS\System32\svchost.exe

D:\Programy\Gadu-Gadu\gg.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Documents and Settings\Tomek\reader_s.exe

C:\Documents and Settings\Tomek\ms18_word.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\cmd.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

D:\Programy\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/ig

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.wyborcza.pl/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll

O2 - BHO: ZoneAlarm Spy Blocker BHO - {F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\ZoneAlarmSB\bar\1.bin\SPYBLOCK.DLL

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: ZoneAlarm Spy Blocker - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\ZoneAlarmSB\bar\1.bin\SPYBLOCK.DLL

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM..\Run: [DAEMON Tools] "D:\Programy\Daemon\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKLM..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM..\Run: [ms18_word] C:\WINDOWS\system32\ms18_word.exe

O4 - HKLM..\Run: [reader_s] C:\WINDOWS\System32\reader_s.exe

O4 - HKLM..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe

O4 - HKCU..\Run: [Gadu-Gadu] "D:\Programy\Gadu-Gadu\gg.exe" /tray

O4 - HKCU..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU..\Run: [reader_s] C:\Documents and Settings\Tomek\reader_s.exe

O4 - HKCU..\Run: [ms18_word] C:\Documents and Settings\Tomek\ms18_word.exe

O4 - HKCU..\RunOnce: [shockwave Updater] C:\WINDOWS\system32\ADOBE\SHOCKW~1\SWHELP~2.EXE -Update -1100465 -"Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Avant Browser; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152)" -"http://gry.gierkionline.pl/0486e9d9fe8c55b0fa4d591b91083c12/game.php?file=http://gry.gierkionline.pl/0486e9d9fe8c55b0fa4d591b91083c12/1250.dcr&width=100%&height=100%&gierkionline=1&ovrprldr=2"

O4 - HKCU..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\FlashUtil10b.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O11 - Options group: [iNTERNATIONAL] International*

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {3D8700FB-86A4-4CB4-B738-6F0FC016AC7D} (MainControl Class) - http://slimak.onet.pl/_m/wirusy/ArcaOnline.cab

O16 - DPF: {3EA4FA88-E0BE-419A-A732-9B79B87A6ED0} (CTVUAxCtrl Object) - http://dl.tvunetworks.com/TVUAx.cab

O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - http://download.divx.com/player/DivXBrowserPlugin.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://sdlc-esd.sun.com/ESD39/JSCDL/jdk ... 586-jc.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab

O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C1} (GameDesire Pool 8) - http://cached.gamedesire.com/g_bin/pl/b ... 0_0_35.cab

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O18 - Protocol: textwareilluminatorbase - {CE5CD329-1650-414A-8DB0-4CBF72FAED87} - C:\WINDOWS\system32\textwareilluminatorbaseProtocol.dll

O23 - Service: Ashampoo Defrag Service (AshampooDefragService) - - D:\Programy\Ashampoo Magical Defrag 2\bin\aDefragService.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\DiskeeperWorkstation\DKService.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe

O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe


(Henio Mazurek) #2

Tutaj może być jeszcze Virut. Pokaż logi z OTL i GMER

Logi wklej na wklej.org a tutaj tylko link do wklejki.


(B Wrobel11) #3

http://wklej.org/id/128476/ - to jest otl

http://wklej.org/id/128479/ - to jest gmer


(Henio Mazurek) #4

Niby Viruta nie widać. Wklej w OTL

Klikasz Run Fix. Pokazujesz nowo robiony log z OTL. Na wszelki wypadek przeskanuj system Dr.WEB CureIt. Lecz co się da, resztę usuń, wklej log.


(dethloe123) #5

Ciemnowidz dołóż do skryptu:


(Henio Mazurek) #6

Już jest w skrypcie tutaj

Zapis spod 04 z komendy :OTL czyści wpis rejestru i kasuje plik.


(B Wrobel11) #7

Sytuacja wygląda następująco:

zrobilem ten run fix w otl, to co wyszlo po restarcie jest tu:

http://wklej.org/id/128563/

z tymże system nie może sam się wyłączyć bo albo wyskauje niebieski ekran ze system nie moze sie wylaczyc i prosba o wlaczenie trybu awaryjnego, lub po prostu informacja "trwa zamykanie systemu" i tak sie jakby zawiesza.

Nowy log z OTL jest tu:

http://wklej.org/id/128564/

Ponadto, to co jest wynikiem działania wirusa, bo wczesniej tego nie było to pojawiajace sie informacje z zone alarm ze jakies thayo application lub thib application chca sie polaczyc z netem; wyskoczylo mi duzo ikonek na pulpicie i na poszczegolnych partycjach typu: "recycled" z ikonka kosza, bootex log, a takze ikonki jakis moich bardzo starych dokumentow z worda co juz nawet nie pamietam kiedy byly a wygladaja takie jakby polprzezroczyste (nie wiem moze to dzialanie tego otl - nie znam sie)

Kolejny problem to taki, że tego dr.webcureit nie moge sciagnac ani z tego linku, który mi podales ani gdiekolwiek indziej bo probowalem. Przy pierwszej probie sciagniecia z tego linku wyskoczyl mi jakis error i teraz juz nie moge. Pewnie to tez wina tego wirusa. Mam nadzieje ze moj opis choc triche pomoze Wam w dosjciu do problemu.


(deFco247) #8

No niestety to jest Virut.

Do ponownego postawienia systemu może być potrzebna płytka z systemem.

Pobierz i nagraj na płytkę na niezainfekowanym komputerze DR Web LiveCD.

Włóż płytkę do zainfekowanego komputera, zakładając, że wcześniej ustawiłeś w BIOS-ie na startowanie kompa z CD/DVD, więc po restarcie powinien się uruchomić się skaner.

Wykonujesz pełny skan, leczysz co się da, reszta do usunięcia.

Jeśli po usuwaniu system się nie uruchomi, wkładamy do komputera płytkę z systemem i wykonujesz instalację nakładkową Windows.

Po ewentualnej instalacji nakładkowej wyłącz i włącz Przywracanie systemu na wszystkich dyskach. Instrukcja XP lub Vista.

Wykonaj pełny skan DR WEB CureIt.

Jeśli skaner nic nie znajdzie, dla pewności podaj log z Combofix i wyłącz ponownie przywracanie systemu włączone przez Combofixa.


(B Wrobel11) #9

Witam. Niestety choć próbowałem na 3 obcych komputerach pechowo nie mogłem nigdzie z róznych powodów nagrać dr web live. Jednak udało mi się chociaż tyle, że miałem możliwość śćiagnięcia dr web CUREit. Tak jak mówiłeś przeskanowałem nim wszystko, wykrył wirusy które albo usunąłem lub wyleczyłem. W związku z tym przesyłam log OTL po tym leczeniu:

http://wklej.org/id/128877/

Nie zmienia to faktu, że postaram się zrobić skan tym drugim dr web, ale chyba dopiero po weekendzie da radę. A tak może póki co z tego loga da się coś wyczytać i poprawić.


(Henio Mazurek) #10

Wygląda na to, że poprawy nie widać, ale wklej log z gmer bo on pokazuje czy Virut jest aktywny. Klikasz Szukaj, w ustawieniach nic nie zmieniasz.


(B Wrobel11) #11

Log z gmer

http://wklej.org/id/128878/


(Henio Mazurek) #12

Niestety. Virut wciąż jest aktywny. Popróbuj z tym bootowalnym Dr.WEB. Bo narzędzia spod Windows raczej z tym się nie uporają.


(B Wrobel11) #13

U kumpla nagrałem dr. weba a konkretnie obraz .iso . Nie wiem czy to o to chodziło bo w biosie ustawiłem jak trzeba, czekałem na skanowanie po włączeniu, a tu nic. Czy ja powinienem na grać na płytkę coś innego??


(deFco247) #14

Nagrałeś jako obraz płyty? Plik .iso nie może zostać nagrany jako dane.


(B Wrobel11) #15

no właśnie zorientowałem się teraz że jako dane zapisał. No cyzli trzeba się wybrać jeszcze raz do znajomego i poprawnie już to zrobić


(deFco247) #16

Tak, bo inaczej skaner nie zastartuje.


(B Wrobel11) #17

Próbowałem przeskanować dr webem tak jak miałem to zrobić, ale niestety dwukrotnie skanowanie zakończyło się zawieszeniem. Za 1 razem niewiem w którym momencie , bo po właczeniu monitora zastałem czarny ekran, wiec zrestartowalem a drugim razem na c:\sytsem volume information i dużo cyferek (to było patrząc na pasek postępu,gdzieś w 1/6 całego skanu). Do tego czasu wykryło z 4 infekcje. Być może powinienem odrazu je usunać, no ale zazwyczaj z leczeniem czy usuwaniem czeka sie do końca więc tego nie zrobiłem.

W takim razie czy to błąd ze strony dr web, czy może oznacza to że już jakiś inny sposób na wylecznie trzeba zastosować??


(Henio Mazurek) #18

Skanuj za pomocą Dr.WEB. Spróbuj leczyć od razu, jak się nie da wyleczyć to usuń. Potem, jeśli komputer nie będzie chciał się uruchomić to zrób instalację nakładkową Windows.

Innego sposobu na wyleczenie bez formatu raczej nie ma.


(B Wrobel11) #19

Witam. Walczyłem do końca z wirusem, dr web live wykrył wirusy, usunąłem je. Po uruchomieniu już mi internet nie chodził i ogólnie komp chodził coraz wolniej. Nie było więc wyjścia. Jestem już po formacie, teraz mozolna praca aby poinstalować wszystko. Dzięki za pomoc, szkoda że ten wirus taki odporny był...