Wyłączone aktualizacje a potem trojany:Virtumondo, Downloade

slaigi (Slaigi) 2008-10-14 12:40:09 UTC #1

Cześć witam Wszystkich.

Jak wielu innych potrzebuję pomocy przy usuwaniu trojanów.

Zaczęło się od wyłączenia autom. aktualizacji. Nie dało się ich uruchomić. Spyware doctor stwierdzał obecność trojanów i najczęściej poddawał je kwarantannie. Na wszystkich odwiedzanych stronach internet. wyświetlały się komunikaty, że komputer jest zawirusowany - nie korzystałem z możliwości skanowania. Odważnie usunąłem wszystkie trojany (nie pamiętam wszystkich nazw ale były tam Virtumondo, Downloader, Generic i kilka innych) z kwarantanny-nic to nie dało. Dowiedziałem się o Combofix. Przeskanowałem.

Tak wyglądał log: http://wklejto.pl/12374

Po ponownym uruchomieniu i połączeniu z Internetem zaczęły się znowu pokazywać virus alerty. Przeskanowałem raz jeszcze. Loga zamieściłem na tym forum. Komputera nie łączę z Internetem. Wykorzystuję laptopa.

Bardzo proszę o poradę

Tak wygląda log(po tym drugim skanowaniu):

http://www.wklejto.pl/12369

ComboFix 08-10-08.04 - Daddy 2008-10-12 22:18:15.2 - NTFSx86

Microsoft Windows XP Home Edition 5.1.2600.2.1250.1.1045.18.232 [GMT 2:00]

Uruchomiony z: C:\Documents and Settings\Daddy\Pulpit\ComboFix.exe

((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))

C:\WINDOWS\system32\blphc9qmj0e5ev.scr

C:\WINDOWS\system32\lphc9qmj0e5ev.exe

C:\WINDOWS\system32\phc9qmj0e5ev.bmp

C:\WINDOWS\system32\yoskqjg.dll

((((((((((((((((((((((((((((((((((((((( Sterowniki/Usługi )))))))))))))))))))))))))))))))))))))))))))))))))

-------\Service_restore

((((((((((((((((((((((((( Pliki utworzone od 2008-09-12 do 2008-10-12 )))))))))))))))))))))))))))))))

2008-10-11 17:18 . 2008-10-11 17:18

2008-10-10 13:29 . 2008-10-10 11:37 86,016 --a------ C:\WINDOWS\qkeftmxn.exe

2008-10-09 17:16 . 2008-10-12 22:25 103,394 --a------ C:\WINDOWS\system32\drivers\df6bafca.sys

2008-10-09 11:44 . 2008-10-09 11:44 61,440 --------- C:\WINDOWS\system32\bvdmss.exe

2008-10-09 11:44 . 2008-10-09 12:00 61,440 --a------ C:\Documents and Settings\Daddy\nkp2.exe

2008-10-09 11:42 . 2008-10-12 22:25 103,394 --a------ C:\WINDOWS\system32\drivers\a26545bc.sys

2008-10-09 11:42 . 32,256 C:\WINDOWS\system32\drivers\ati1ikxx.sys

2008-10-09 11:42 . 2008-10-09 17:16 705 --a------ C:\d3.exe

2008-10-09 11:42 . 2008-10-09 17:16 705 --a------ C:\d2.exe

2008-10-09 11:42 . 2008-10-09 17:16 2 --a------ C:-52286571

2008-10-03 19:39 . 2008-10-03 19:39 23,392 --a------ C:\WINDOWS\system32\nscompat.tlb

2008-10-03 19:39 . 2008-10-03 19:39 16,832 --a------ C:\WINDOWS\system32\amcompat.tlb

2008-10-03 18:39 . 2008-10-03 18:39

2008-10-03 18:36 . 2008-10-03 18:37

2008-10-03 18:36 . 2008-10-03 18:38

2008-10-03 18:35 . 2008-10-03 18:36

2008-09-29 15:41 . 2008-09-29 15:41

2008-09-29 14:08 . 2008-09-29 14:08

2008-09-29 14:07 . 2008-09-29 14:08

2008-09-29 14:07 . 2008-09-29 14:07

2008-09-23 17:14 . 2008-09-23 17:18

2008-09-23 17:14 . 2008-09-23 17:17

2008-09-23 17:00 . 2007-10-25 18:57 8,483,328 --a------ C:\WINDOWS\system32\dllcache\shell32.dll

2008-09-23 16:59 . 2008-09-23 16:59

2008-09-21 17:30 . 2008-09-21 17:36

2008-09-21 17:30 . 2008-09-21 17:30

2008-09-20 22:04 . 2008-09-24 15:04

(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

2008-10-12 20:17 --------- d---a-w C:\Documents and Settings\All Users\Dane aplikacji\TEMP

2008-10-11 16:19 --------- d-----w C:\Documents and Settings\Michal\Dane aplikacji\Skype

2008-10-03 16:35 --------- d-----w C:\Program Files\Windows Media Connect

2008-10-01 17:17 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\avg8

2008-10-01 12:55 --------- d-----w C:\Program Files\Gadu-Gadu

2008-09-21 16:09 --------- d-----w C:\Documents and Settings\Michal\Dane aplikacji\uTorrent

2008-09-03 18:20 --------- d-----w C:\Documents and Settings\Daddy\Dane aplikacji\uTorrent

2008-09-03 15:09 --------- d-----w C:\Program Files\Picasa2

2008-08-20 15:59 --------- d-----w C:\Program Files\Winamp

2008-08-17 19:54 --------- d-----w C:\Documents and Settings\Daddy\Dane aplikacji\Corel

2008-08-16 19:15 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Corel

2008-08-16 19:14 1,115,728 ----a-w C:\Documents and Settings\All Users\Dane aplikacji\pswi_preloaded.exe

((((((((((((((((((((((((((((( snapshot@2008-10-12_22.06.05.37 )))))))))))))))))))))))))))))))))))))))))

2005-10-25 20:36:08 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
2008-10-12 20:12:32 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
2005-10-25 20:36:08 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Historia\History.IE5\index.dat
2008-10-12 20:12:13 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Historia\History.IE5\index.dat
2005-10-25 20:36:08 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat
2008-10-12 20:12:28 49,152 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat

((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))

*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]

"{57BCA5FA-5DBB-45A2-B558-1755C3F6253B}"= "C:\Program Files\Winamp Toolbar\winamptb.dll" [2008-03-20 1267040]

[HKEY_CLASSES_ROOT\clsid{57bca5fa-5dbb-45a2-b558-1755c3f6253b}]

[HKEY_CLASSES_ROOT\WINAMPTB.AOLTBSearch.1]

[HKEY_CLASSES_ROOT\TypeLib{538CD77C-BFDD-49b0-9562-77419CAB89D1}]

[HKEY_CLASSES_ROOT\WINAMPTB.AOLTBSearch]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]

"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-10-13 1694208]

"Gadu-Gadu"="C:\Program Files\Gadu-Gadu\gg.exe" [2006-01-31 2408448]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"RaidTool"="C:\Program Files\VIA\RAID\raid_tool.exe" [2005-06-20 1056768]

"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648]

"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-07-20 7110656]

"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2005-07-20 86016]

"RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2004-07-15 32768]

"PinnacleDriverCheck"="C:\WINDOWS\system32\PSDrvCheck.exe" [2004-03-10 406016]

"UMonit"="C:\WINDOWS\system32\umonit.exe" [2003-08-21 49152]

"PCSuiteTrayApplication"="C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE" [2006-04-26 237568]

"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2006-12-24 155648]

"DAEMON Tools"="C:\Program Files\DAEMON Tools\daemon.exe" [2005-12-10 133016]

"SunJavaUpdateSched"="C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe" [2004-09-28 32881]

"Acrobat Assistant 7.0"="C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2008-04-23 483328]

"REGSHAVE"="C:\Program Files\REGSHAVE\REGSHAVE.EXE" [2002-02-04 53248]

"WinampAgent"="C:\Program Files\Winamp\winampa.exe" [2008-04-01 36352]

"nwiz"="nwiz.exe" [2005-07-20 C:\WINDOWS\system32\nwiz.exe]

"SoundMan"="SOUNDMAN.EXE" [2005-09-22 C:\WINDOWS\soundman.exe]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360]

"Picasa Media Detector"="C:\Program Files\Picasa2\PicasaMediaDetector.exe" [2007-09-28 443968]

C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\

Adobe Acrobat Speed Launcher.lnk - C:\WINDOWS\Installer{AC76BA86-1033-0000-7760-000000000002}\SC_Acrobat.exe [2007-04-08 25214]

Adobe Gamma Loader.lnk - C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2007-03-03 113664]

Adobe Reader Speed Launch.lnk - C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe [2006-10-23 40048]

Adobe Reader Synchronizer.lnk - C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe [2006-10-23 734872]

IrDA Monitor.lnk - C:\Program Files\IrCOMM2k\irmon2k.exe [2004-12-12 40960]

NETGEAR WG111v2 Smart Wizard.lnk - C:\Program Files\NETGEAR\WG111v2\WG111v2.exe [2008-04-28 1261568]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"vidc.I420"= vdrcodec.dll

"VIDC.MJPG"= Pvmjpg21.dll

"VIDC.PIM1"= pclepim1.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati1ikxx.sys]

@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusDisableNotify"=dword:00000001

"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]

"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\system32\sessmgr.exe"=

"C:\Program Files\Shareaza\Shareaza.exe"=

"C:\Program Files\Codemasters\Colin McRae Rally 04\cmr4.exe"=

"C:\Program Files\Gadu-Gadu\gg.exe"=

"C:\Program Files\SopCast\SopCast.exe"=

"C:\Documents and Settings\Michal\Dane aplikacji\SopCast\adv\SopAdver.exe"=

"C:\Program Files\NETGEAR\WG111v2\WG111v2.exe"=

"C:\Program Files\uTorrent\uTorrent.exe"=

"C:\Documents and Settings\Michal\Pulpit\utorrent-1.8-rc7.upx.exe"=

"nkp2.exe"= nkp2.exe:BVDMSS

"C:\Documents and Settings\Daddy\nkp2.exe"=

"C:\WINDOWS\system32\bvdmss.exe"=

"C:\Program Files\Skype\Phone\Skype.exe"=

R0 AFPAnsi;G-DATA Ukrywacz Ansi;C:\WINDOWS\system32\Drivers\AFPAnsi.sys [2002-10-09 43904]

R0 ati1ikxx;ati1ikxx;C:\WINDOWS\system32\Drivers\ati1ikxx.sys []

R0 FO_PAnt;FotoOffice VirtualDisc Driver;C:\WINDOWS\system32\Drivers\FO_PAnt.sys [2003-07-17 89216]

R2 bvdmss;Windows Network Data Management System Service;C:\WINDOWS\system32\bvdmss.exe [2008-10-09 61440]

R2 Harmonogram automatycznej usługi LiveUpdate;Harmonogram automatycznej usługi LiveUpdate;C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe [2006-08-03 100032]

R2 IrDA2k;IrDA2k Protocol;C:\WINDOWS\system32\DRIVERS\irda2k.sys [2004-12-12 246272]

R3 fixustor;fixustor;C:\WINDOWS\system32\drivers\fixustor.sys [2003-08-21 6016]

S3 RTLWUSB;NETGEAR WG111v2 54Mbps Wireless USB 2.0 Adapter NT Driver;C:\WINDOWS\system32\DRIVERS\wg111v2.sys [2007-02-06 194304]

S3 SetupNTGLM7X;SetupNTGLM7X;D:\NTGLM7X.sys []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{1e1af5ef-d4c6-11dc-b5f1-0013d3c8084e}]

\Shell\AutoRun\command - mgjpcfdg.cmd

\Shell\explore\Command - mgjpcfdg.cmd

\Shell\open\Command - mgjpcfdg.cmd

USUNIĘTO PUSTE WPISY - - - -

HKLM-Run-lphc9qmj0e5ev - C:\WINDOWS\system32\lphc9qmj0e5ev.exe

------- Skan uzupełniający -------

FireFox -: Profile - C:\Documents and Settings\Daddy\Dane aplikacji\Mozilla\Firefox\Profiles\9zsd6hws.default\

FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.onet.pl

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-10-12 22:23:55

Windows 5.1.2600 Dodatek Service Pack 2 NTFS

skanowanie ukrytych procesów ...

skanowanie ukrytych wpisów autostartu ...

skanowanie ukrytych plików ...

skanowanie pomyślnie ukończone

ukryte pliki: 0

**************************************************************************

Binary file raw_enum.dat matches

--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------

PROCES: C:\WINDOWS\system32\winlogon.exe

-> C:\WINDOWS\system32\RtlGina2.dll

------------------------ Pozostałe uruchomione procesy ------------------------

C:\WINDOWS\system32\bgsvcgen.exe

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Common Files\PCSuite\Services\ServiceLayer.exe

C:\Program Files\Adobe\Acrobat 7.0\Acrobat\Acrobat_sl.exe

**************************************************************************

Czas ukończenia: 2008-10-12 22:28:26 - komputer został uruchomiony ponownie

ComboFix-quarantined-files.txt 2008-10-12 20:28:21

ComboFix2.txt 2008-10-12 20:06:41

Przed: 58 981 961 728 bajtów wolnych

Po: 58,972,274,688 bajtów wolnych

193 --- E O F --- 2008-10-04 19:43:30

spandaupol (Spandau) 2008-10-14 13:21:06 UTC #2

Wyłącz przywracanie systemu na wszystkich dyskach. Instrukcja

Pobierz The Avenger zaznacz poniższy tekst

kopiujesz - klikasz na Paste Script from Clipboard - Execute - Potwierdzasz i zgadzasz się na restart klikając OK.

Po wykonaniu skasuj z dysku plik: C:\Avenger\backup.zip i wklej raport na forum C:\avenger.txt

Instrukcja obsługi programu http://cybertrash.pl/images/tata/Avenger/Avenger.html

Następnie pobierz raz jeszcze Combofix Combofix przeskanuj system i daj nowy log na forum.

Loga wklej na www.wklejto.pl lub http://www.wklej.org/ a w poście daj tylko linka

Gutek (Gutek) 2008-10-14 14:28:10 UTC #3

Zastosuj się do tego Tematu i zmień tytuł tematu na konkretny inaczej KOSZ

Pozdrawiam Gutek2222

Zmiana zasad wklejania logów na forum - viewtopic.php?f=16&t=253052

Oparte na Discourse, najlepiej oglądać z włączonym JavaScriptem