BackDoor.Generic12.BOUC, Rootkit-Agent.EG

[atman77]

Witam,

 

AVG wykrył podane niżej infekcje:

 

"Infekcja";"Koń trojański BackDoor.Generic12.BOUC";"C:\Documents and Settings\X\Menu Start\Programy\Autostart\wwwzuc32.exe";"";"2010-05-29, 11:43:49"

"Infekcja";"Koń trojański BackDoor.Generic12.BGSG";"C:\System Volume Information\_restore{C12F0D4E-4266-4E69-9CC8-15041338AC34}\RP1111\A0410703.sys";"";"2010-05-31, 19:19:13"

"Infekcja";"Koń trojański Rootkit-Agent.EG";"c:\System Volume Information\_restore{C12F0D4E-4266-4E69-9CC8-15041338AC34}\RP1111\A0410725.sys";"";"2010-06-03, 17:43:59"

"Infekcja";"Koń trojański Rootkit-Agent.EG";"c:\System Volume Information\_restore{C12F0D4E-4266-4E69-9CC8-15041338AC34}\RP1111\A0411727.sys";"";"2010-06-03, 18:21:37"

"Infekcja";"Koń trojański BackDoor.Generic12.BOUC";"c:\System Volume Information\_restore{C12F0D4E-4266-4E69-9CC8-15041338AC34}\RP1111\A0413396.exe";"";"2010-06-03, 20:11:05"

GMER.txt

OTL.Txt

Extras.Txt

[Landuss]

1. Uruchom OTL i w oknie Custom Scans/Fixes wklej następujący skrypt:

 

:OTL
IE - HKLM\..\URLSearchHook: {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Program Files\Winamp Toolbar\winamptb.dll (AOL LLC.)
IE - HKU\.DEFAULT\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - Reg Error: Key error. File not found
IE - HKU\S-1-5-21-2025429265-1292428093-682003330-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.bearshare.com/"
IE - HKU\S-1-5-21-2025429265-1292428093-682003330-1003\..\URLSearchHook: {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Program Files\Winamp Toolbar\winamptb.dll (AOL LLC.)
FF - prefs.js..browser.search.defaultenginename: "Ask"
FF - prefs.js..browser.search.defaulturl: "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampie7&query="
FF - prefs.js..browser.search.order.1: "Ask"
FF - prefs.js..keyword.URL: "http://toolbar.ask.com/toolbarv/askRedirect?o=10168&gct=&gc=1&q="
[2009-08-04 09:06:05 | 000,000,681 | ---- | M] () -- C:\Documents and Settings\X\Dane aplikacji\Mozilla\Firefox\Profiles\c7g15q4a.default\searchplugins\ask.xml
[2009-03-28 20:04:03 | 000,001,196 | ---- | M] () -- C:\Documents and Settings\X\Dane aplikacji\Mozilla\Firefox\Profiles\c7g15q4a.default\searchplugins\winamp-search.xml
O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found.
O3 - HKU\S-1-5-21-2025429265-1292428093-682003330-1003\..\Toolbar\ShellBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O4 - Startup: C:\Documents and Settings\X\Menu Start\Programy\Autostart\Registration Ghost Recon Advanced Warfighter.LNK = D:\Gry\Ubisoft\Ghost Recon Advanced Warfighter\Support\Register\RegistrationReminder.exe File not found
 
:Files
C:\WINDOWS\Tasks\2430728348-0020
C:\Documents and Settings\X\Dane aplikacji\avdrn.dat
C:\Documents and Settings\X\Dane aplikacji\qvjsge.dat
C:\Documents and Settings\NetworkService\Dane aplikacji\qvjsge.dat
 
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Program Files\SopCast\adv\SopAdver.exe"=-
"C:\WINDOWS\temp\wpv161239289922.exe"=-
"C:\WINDOWS\system32\wpv161239289922.exe"=-
 
:Commands
[emptyflash]
[emptytemp]
[clearallrestorepoints]

 

Kliknij w Run Fix. Zatwierdź restart komputera.

 

2. Z panelu sterowania odinstaluj śmieci Winamp Toolbar / My Global Search Bar / Ask Toolbar

 

3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Run Scan. Pokazujesz nowe logi z OTL.

 

 

 

.

[atman77]

Wszystko wykonałem według poleceń.

Nowe logi z OTL

OTL.Txt

[Landuss]

Wszystko wykonane jak należy i wygląda na to, że pozostały tylko kroki końcowe.

 

1. Użyj opcji CleanUp z OTL.

 

2. Wykonaj obowiązkowe aktualizacje:

 

Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 7.0.5730.13)

"{AC76BA86-7AD7-1033-7B44-A70500000002}" = Adobe Reader 7.0.8

 

Uzupełnij SP3 i IE8 oraz zaktualizuj Adobe Reader: INSTRUKCJE.

 

 

.

[atman77]

Bardzo dziękuję za pomoc. Pozdrawiam.