Pomocy trojany atakują

[przemolol]

Witam was mam problem. Ostatnio przyniosłem sobie troche mp3 od mojej dziewczyny i jak podłączyłem pena to antywirus ( "AVG" ) wykrył mi ze kompute został zainfekowany nie wiem dlaczego anty wirus nie zadzialal i nie skasowal tego od razu lecz teraz mam problem bo pojawiaja mi sie jakies dziwne pliki typu "eli_407" lub "eli_576" pojawiaja sie one także w procesach. a antywirus wykrył 2 wirusy o nazwach: Koń trojański Generic19.BGPT (lok. C:\windows\system 32\) i Koń trojański Proxy.ALVP (lok. C:\Documents and Settings\...\Dane aplikacji) Pomozecie mi jakos pozbyć sie tego wszystkiego bo czytam na tych forach zeby uzyć tego ComboFix'a ale za bardzo nie wiem co dalej z tym zrobic moze pokierujecie mnie bo ja jestem ciut zielony w te klocki

 

Results of screen317's Security Check version 0.99.10

Windows XP Service Pack 2

Out of date service pack!!

Internet Explorer 6 Out of date!

``````````````````````````````

Antivirus/Firewall Check:

AVG Free 9.0

Antivirus up to date!

```````````````````````````````

Anti-malware/Other Utilities Check:

Java 6 Update 24

Adobe Flash Player 10.1.102.64

Adobe Reader 9.4.2 - Polish

Out of date Adobe Reader installed!

````````````````````````````````

Process Check:

objlist.exe by Laurent

AVG avgwdsvc.exe

AVG avgtray.exe

AVG avgrsx.exe

AVG avgnsx.exe

AVG avgemc.exe

``````````End of Log````````````

OTL.Txt

Extras.Txt

GMER log.txt

[Landuss]

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:Files
C:\WINDOWS\winlogon_136.exe
C:\Documents and Settings\Arczi\xvlof.exe
C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job
C:\Program Files\dggpirorstlchwlzakkjwbcc.bee
C:\Program Files\qgtpvrbrftycuwyznkxjjbpcabreagcmcqejn.hjk
C:\Program Files\nakdgzgteprshgfdoisbynyidboyrunuhs.fgv
C:\Program Files\vmaxebmdshnslortiguhibqedfwkholwncrxcv.bds
C:\Program Files\malfjdlzlxacsssrdyjtrhteaznyswqymyk.pff
C:\Documents and Settings\Arczi\Dane aplikacji\xiw3zj1isau1mmkvfu1iiafxgj3kuoxc2
 
:OTL
O4 - HKLM..\Run: [Ashampoo Core Tuner]  File not found
O4 - HKLM..\Run: [KernelFaultCheck]  File not found
O4 - HKLM..\Run: [Regedit32]  File not found
O4 - HKLM..\Run: [svchosta]  File not found
O4 - HKLM..\Run: [svchostb]  File not found
O4 - HKLM..\Run: [svchostc]  File not found
O4 - HKLM..\Run: [wuaucldt]  File not found
O4 - HKU\S-1-5-21-823518204-2139871995-839522115-1003..\Run: [Alrvrv] C:\Documents and Settings\Arczi\Dane aplikacji\Alrvrv.exe File not found
O4 - HKU\S-1-5-21-823518204-2139871995-839522115-1003..\Run: [Microsoft Security Essentials] C:\WINDOWS\winlogon_11.exe ()
O4 - HKU\S-1-5-21-823518204-2139871995-839522115-1003..\Run: [mssend]  File not found
O4 - HKU\S-1-5-21-823518204-2139871995-839522115-1003..\Run: [PKTray]  File not found
O4 - HKU\S-1-5-21-823518204-2139871995-839522115-1003..\Run: [wuaucldt]  File not found
F3 - HKU\S-1-5-21-823518204-2139871995-839522115-1003 WinNT: Load - (C:\Documents and Settings\Arczi\Dane aplikacji\eli_321.exe) -  File not found
O20 - HKLM Winlogon: TaskMan - (C:\Documents and Settings\Arczi\xvlof.exe) - C:\Documents and Settings\Arczi\xvlof.exe ()
 
:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="explorer.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"TaskMan"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"SuperHidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Documents and Settings\Arczi\Dane aplikacji\xiw3zj1isau1mmkvfu1iiafxgj3kuoxc2\svcnost.exe"=-
 
:Commands
[emptyflash]
[emptytemp]

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

2. Panel sterowania > dodaj/usuń programy i odinstaluj śmiecia Ask Toolbar

 

3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

 

 

 

[przemolol]

oto nowy log z OTL, nadal antywirus wykrywa wirusa ;/ tylko ze juz o jednego mniej ... został tylko Koń Trojański Generic19.BGPT

OTL.Txt

[Landuss]

Kolejny skrypt do OTL:

 

:Processes
killallprocesses
 
:Files
C:\Documents and Settings\Arczi\xvlof.exe
 
:OTL
O3 - HKU\S-1-5-21-823518204-2139871995-839522115-1003\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O4 - HKLM..\Run: [Regedit32]  File not found
O4 - HKLM..\Run: [Windows UDP Control Center] C:\WINDOWS\winudpmgr.exe (Klsrwl Software)
O4 - HKLM..\Run: [wuaucldt] C:\WINDOWS\system32\wuaucldt.exe ()
O4 - HKU\S-1-5-21-823518204-2139871995-839522115-1003..\Run: [Microsoft Security Essentials] C:\WINDOWS\winlogon_61.exe ()
O4 - HKU\S-1-5-21-823518204-2139871995-839522115-1003..\Run: [wuaucldt] c:\Documents and Settings\Arczi\wuaucldt.exe ()
F3 - HKU\S-1-5-21-823518204-2139871995-839522115-1003 WinNT: Load - (c:\documents and settings\arczi\dane aplikacji\eli_321.exe) -  File not found
O20 - HKLM Winlogon: TaskMan - (C:\Documents and Settings\Arczi\xvlof.exe) - C:\Documents and Settings\Arczi\xvlof.exe ()
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"TaskMan"=-

 

Robisz to co poprzednio i wklejasz nowe logi z OTL.

 

 

 

[przemolol]

hmmm chyba jest ok bo juz wirusów nie ma ale za to przy starcie wyskakuja mi jakies okienka z błędami...

OTL.Txt

[Landuss]

Błąd prawdopodobnie przez ten pusty już zapis:

 

F3 - HKU\S-1-5-21-823518204-2139871995-839522115-1003 WinNT: Load - (c:\documents and settings\arczi\dane aplikacji\eli_321.exe) -  File not found

 

W takim razie utwórz ostatni juz mam nadzieje skrypt:

 

:OTL
F3 - HKU\S-1-5-21-823518204-2139871995-839522115-1003 WinNT: Load - (c:\documents and settings\arczi\dane aplikacji\eli_321.exe) -  File not found
[2011-03-25 18:59:55 | 000,087,040 | ---- | C] (Ykvbxip Software) -- C:\tmp.exe

 

Nowy log do oceny.

[przemolol]

Dziekuje serdecznie za pomoc

OTL.Txt

[Landuss]

Według logów infekcja powraca nie wiadomo skąd i dlaczego. Fakt siedzisz na pruchnie IE 6 + tylko SP2 i to wymaga aktualizacji, ale to się powinno zrobić na końcu.

 

1. Użyj narzędzia WWDC i pozamykaj nim porty.

 

2. Uruchom w takim razie zgodnie z opisem ComboFix i wklej z niego log.

[przemolol]

No to tak WWDC udało sie i zrobiłem, ale z ComboFix nic sie nie udało ;/ gdy odpaliłem program to wyskoczyło okienko z shutdown i po 30 s. komputer się wyłączył a program nic nie zdziałał a na dodatek teraz mi jakieś okienka z reklamami wyskakują :/

 

a czy te wirusy mógłby mi ktoś podsyłać ? Ostatnio taki jeden gnojek włamał mi się na gg i pobrał mi archiwum, a także włamał mi się na poczte... Może to mieć jakiś związek z tym wszystkim ?

[Landuss]

Wykonaj jeszcze skan przez Kaspersky TDSSKiller. Jeśli coś znajdzie ustaw opcję Skip a tu wklej tylko raport.

 

Spróbuj uruchomić ComboFix w trybie awaryjnym oraz sporządź nowe logi z OTL.

[przemolol]

Kaspersky TDSSKiller niestety nie chce mi sie otworzyc a tryb awaryjny został zablokowany. podczas ładowania plikow wirus restartuje komputer i nie pozwala na załadowanie sie trybu awaryjnego jedyne co jeszcze moge to zapodać logi z OTL'a

 

Zbyt wczesna radość z mojej strony...

OTL.Txt

[Landuss]

CO znaczy, że Kaspersky nie chce sie otworzyć? Spróbuj zmienić mu nazwę . OTL mi nie potrzebny bo pokazuje te samą infekcje a jej usuwanie mija sie z celem gdyż to zaraz wraca i trzeba znaleźć źródło.

[przemolol]

Poszperałem w necie i znalazłem Kaspersky TDSSKiller w wersji zip. udało mi sie odpalić i zrobić skan lecz na skanie nic nie ma. Nic nie zostało wykryte.

 

2011/03/29 18:49:55.0296	TDSS rootkit removing tool 2.4.4.0 Oct  4 2010 09:06:59

2011/03/29 18:49:55.0296 ================================================================================

2011/03/29 18:49:55.0296 SystemInfo:

2011/03/29 18:49:55.0296

2011/03/29 18:49:55.0296 OS Version: 5.1.2600 ServicePack: 2.0

2011/03/29 18:49:55.0296 Product type: Workstation

2011/03/29 18:49:55.0296 ComputerName: XXX-4F9664512F6

2011/03/29 18:49:55.0296 UserName: Arczi

2011/03/29 18:49:55.0296 Windows directory: C:\WINDOWS

2011/03/29 18:49:55.0296 System windows directory: C:\WINDOWS

2011/03/29 18:49:55.0296 Processor architecture: Intel x86

2011/03/29 18:49:55.0296 Number of processors: 2

2011/03/29 18:49:55.0296 Page size: 0x1000

2011/03/29 18:49:55.0296 Boot type: Normal boot

2011/03/29 18:49:55.0296 ================================================================================

2011/03/29 18:49:55.0421 Initialize success

 

Tylko tyle było w raporcie... :/

[Landuss]

Jakiś dziwny ten log, jakby ucięty albo niepełny. Może przeskanuj się jakimiś skanerami, może one więcej zobaczą.

Wykonaj skanowanie za pomocą Dr. Web CureIt oraz Kaspersky Removal Tool

 

Zaprezentuj z nich raporty oraz załącz nowe logi z OTL.

[przemolol]

Kasperski:

 

Automatyczne skanowanie: zatrzymano 12 min temu   (zdarzeń: 10, obiektów: 1273, czas: 00:02:22)	

2011-03-29 22:09:22 Zadanie zostało uruchomione

2011-03-29 22:09:45 Zagrożenie: Trojan-Downloader.Win32.CodecPack.anwv C:\WINDOWS\Ksadoc.exe

2011-03-29 22:09:46 Zagrożenie: HEUR:Trojan.Win32.Generic C:\WINDOWS\Ksadoa.exe/UPX

2011-03-29 22:09:46 Zagrożenie: HEUR:Trojan.Win32.Generic C:\WINDOWS\Ksadob.exe

2011-03-29 22:10:07 Usunięty: Trojan-Downloader.Win32.CodecPack.anwv C:\WINDOWS\Ksadoc.exe

2011-03-29 22:10:11 Zagrożenie: HEUR:Trojan.Win32.Generic C:\WINDOWS\Ksadod.exe

2011-03-29 22:10:12 Zagrożenie: HEUR:Trojan.Win32.Generic C:\WINDOWS\Ksadob.exe

2011-03-29 22:10:16 Zagrożenie: HEUR:Trojan.Win32.Generic C:\WINDOWS\Ksadod.exe

2011-03-29 22:11:11 Zagrożenie: Net-Worm.Win32.Kolab.xao C:\WINDOWS\system32\igfxdb64.exe

2011-03-29 22:11:44 Zadanie zostało zatrzymane

Wylecz aktywne zagrożenia: zakończono 3 min temu (zdarzeń: 8, obiektów: 3218, czas: 00:08:45)

2011-03-29 22:11:33 Zadanie zostało uruchomione

2011-03-29 22:11:33 Zagrożenie: Net-Worm.Win32.Kolab.xao C:\WINDOWS\system32\igfxdb64.exe

2011-03-29 22:11:40 Zostanie usunięty po ponownym uruchomieniu systemu: Net-Worm.Win32.Kolab.xao C:\WINDOWS\system32\igfxdb64.exe

2011-03-29 22:13:49 Zagrożenie: Net-Worm.Win32.Kolab.xao C:\WINDOWS\system32\igfxdb64.exe

2011-03-29 22:14:04 Zostanie usunięty po ponownym uruchomieniu systemu: Net-Worm.Win32.Kolab.xao C:\WINDOWS\system32\igfxdb64.exe

2011-03-29 22:14:41 Zagrożenie: Backdoor.Win32.Ruskill.j C:\Documents and Settings\Arczi\Dane aplikacji\Alrvrv.exe/UPX

2011-03-29 22:14:56 Zostanie usunięty po ponownym uruchomieniu systemu: Backdoor.Win32.Ruskill.j C:\Documents and Settings\Arczi\Dane aplikacji\Alrvrv.exe

2011-03-29 22:20:18 Zadanie zostało zakończone

Dr Web:

 

wcscd.sys	C:\WINDOWS\system32\drivers	Trojan.NtRootKit.9912	Usunięty.

sdn198D.tmp C:\WINDOWS\temp Trojan.DownLoader1.56280 Niewyleczalny.Przeniesiony.

update.exe C:\ Trojan.MulDrop2.9358 Usunięty.

winudpmgr.exe c:\windows BackDoor.IRC.Sdbot.4246 Niewyleczalny.Przeniesiony.

OTL:

 

OTL.Txt

[Landuss]

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
O2 - BHO: (AVG Safe Search) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} -  File not found
O4 - HKU\S-1-5-21-823518204-2139871995-839522115-1003..\Run: [Core Temp]  File not found
F3 - HKU\S-1-5-21-823518204-2139871995-839522115-1003 WinNT: Load - (c:\documents and settings\arczi\dane aplikacji\eli_321.exe) -  File not found
[2011-03-29 22:22:34 | 000,000,302 | -HS- | M] () -- C:\WINDOWS\Tasks\Rqbalzp.job
[2011-03-29 22:22:26 | 000,000,282 | -H-- | M] () -- C:\WINDOWS\Tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job
[2011-03-29 22:25:00 | 000,000,234 | -H-- | M] () -- C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job
 
:Commands
[emptytemp]

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

 

 

 

[przemolol]

Nowy log:

OTL.Txt

[Aux]

Się nie znam, ale może pomocne byłoby wyłączenie funkcji przywracania systemu w tak upierdliwym przypadku?

[przemolol]

nie wiem czy to by pomoglo ja juz rozwazam formata... ale nie chece tego ;/ bo mam tu mnostwo rzeczy ktore sa mi potrzebne a szkoda mi wydawac kase na DVD

[Landuss]

Przywracanie systemu nie ma tu nic do rzeczy bo stamtąd nic nie wyjdzie dopóki jak sama nazwa wskazuje nie przywrócimy systemu wstecz, a więc dopóki nie skorzystamy z tej usługi. Przywracanie to wyłączymy na koniec aby usunąć kopie zapasowe szkodników.

 

Jeśli dobrze widze to infekcja na ten moment nie wróciła, ostał się tylko ten pusty wpis, który od początku nie chce się usunąć:

 

F3 - HKU\S-1-5-21-823518204-2139871995-839522115-1003 WinNT: Load - (c:\documents and settings\arczi\dane aplikacji\eli_321.exe) -  File not found

 

Spróbuj ciachnąć go za pomocą Autoruns

 

Następnie wykonaj kroki końcowe:

 

1. W Start > Uruchom > wklej i wywołaj polecenie "C:\Documents and Settings\Arczi\Pulpit\ComboFix.exe" /uninstall

 

To polecenie usunie ComboFix oraz wyzeruje przywracanie systemu.

 

2. Zaktualizuj obowiązkowo oprogramowanie:

 

Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 6.0.2900.2180)

 

"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.2 - Polish

System musi uzyskać status SP3+IE8, zaś Adobe Reader zaktualizuj: KLIK.

 

3. Przeskanuj się jeszcze jakimś skanerem.

 

 

 

[przemolol]

przeskanowalem sie Dr.Web, Pandą i tym AVG nic nie wykryło... Dzieki za pomoc.

 

Pobieram te aktualizacje co mi podałeś, zaraz zainstaluj tylko nie czaje po co mi Internet Explorer jak i tak kozystam z Opery...

 

Chyba radość była zbyt wczesna sprawdzam jeszcze Kasperskim i już wyszperał kilka trojanów ... zaraz dodam raport.

 

raport kasperski.txt

[Landuss]

To nie wygląda na prawdziwa infekcję. Część to obiekty w przywracaniu systemu, obiekty tymczasowe oraz szczątki po używaniu checkdiska więc generalnie olać.

Edytowane 2 Maja 2011 przez picasso
2.05.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso