Avira W32/Patched.UB trojan!

Witam. Borykam sie z problemem od dluzszego czasu. Na notebooku z win 7 zlapalem trojana W32/Patched.UB.
Co chwile wyskakuje mi okienko o infromacji... chcialbym sie tego jak najszybciej pozbyc... pomoze ktos???? z gory dzieki!!!!! vczekam na odpowiedzi

Podaj logi z:
OTL otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967.html#p107754
Gmer otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967.html#p88736

Podaj także dokładną lokalizację wykrywanego pliku.

http://wklejto.pl/128971 toooo jest log z OTL

http://wklejto.pl/128972 to jest logg z OTL'2 EXTRAS


z GMER zaraz zrobie bo nie wytrzymam z tym trojanem pomoz prosze

Nie podałeś lokalizacji wykrywanego pliku.

[mateo8898]

C:\Windows\System32\services.exe

//Posty połączone

nie moge zrobic skanu gmer bo komputer sie zawiesza

Ostatnio edytowany przez mateo8898, 16 Lip 2012, 19:21, edytowano w sumie 1 raz
Powód: Łączenie postów

W takim razie użyj ComboFix otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967.html#p73687 i daj log z niego.

http://wklejto.pl/128980 logg z Combofix

"{08234a0d-cf39-4dca-99f0-0c5cb496da81}" = Bing Bar
"WinLiveSuite" = Windows Live Essentials

Odinstaluj to oprogramowanie, jeśli Go nie używasz, oraz resztki po Norton http://www.symantec.com/norton/support/ ... 10004050EN.

Logi.

Uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:

Kod:

:OTL

DRV - File not found [File_System | Disabled | Running] -- system32\drivers\NIS\1207020.003\SYMEFA.SYS -- (SymEFA)
DRV - File not found [Kernel | Disabled | Running] -- system32\drivers\NIS\1207020.003\SYMDS.SYS -- (SymDS)
DRV - File not found [Kernel | Disabled | Running] -- C:\Windows\system32\drivers\NIS\1207020.003\SRTSPX.SYS -- (SRTSPX) Symantec Real Time Storage Protection (PEL)
DRV - File not found [Kernel | Disabled | Running] -- C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\Definitions\IPSDefs\20100706.002\IDSVix86.sys -- (IDSVix86)
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://g.uk.msn.com/HPNOT/4
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://g.uk.msn.com/HPNOT/4
IE - HKLM\..\SearchScopes,DefaultScope = {ec29edf6-ad3c-4e1c-a087-d6cb81400c43}
IE - HKLM\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = http://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF
IE - HKLM\..\SearchScopes\{b7fca997-d0fb-4fe0-8afd-255e89cf9671}: "URL" = http://de.search.yahoo.com/search?p={searchTerms}&ei={inputEncoding}&fr=chr-hp-psg&type=HPNTDF
IE - HKLM\..\SearchScopes\{d43b3890-80c7-4010-a95d-1e77b5924dc3}: "URL" = http://de.wikipedia.org/wiki/Special:Search?search={searchTerms}
IE - HKLM\..\SearchScopes\{d944bb61-2e34-4dbf-a683-47e505c587dc}: "URL" = http://rover.ebay.com/rover/1/707-111076-19270-0/4?satitle={searchTerms}&mfe=Notebooks
IE - HKLM\..\SearchScopes\{ec29edf6-ad3c-4e1c-a087-d6cb81400c43}: "URL" = http://www.bing.com/search?q={searchTerms}&form=HPMTDF&pc=HPMTDF&src=IE-SearchBox
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://g.uk.msn.com/HPNOT/4
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://g.uk.msn.com/HPNOT/4
IE - HKCU\..\SearchScopes,DefaultScope = {ec29edf6-ad3c-4e1c-a087-d6cb81400c43}
IE - HKCU\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = http://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF
IE - HKCU\..\SearchScopes\{b7fca997-d0fb-4fe0-8afd-255e89cf9671}: "URL" = http://de.search.yahoo.com/search?p={searchTerms}&ei={inputEncoding}&fr=chr-hp-psg&type=HPNTDF
IE - HKCU\..\SearchScopes\{d43b3890-80c7-4010-a95d-1e77b5924dc3}: "URL" = http://de.wikipedia.org/wiki/Special:Search?search={searchTerms}
IE - HKCU\..\SearchScopes\{d944bb61-2e34-4dbf-a683-47e505c587dc}: "URL" = http://rover.ebay.com/rover/1/707-111076-19270-0/4?satitle={searchTerms}&mfe=Notebooks
IE - HKCU\..\SearchScopes\{ec29edf6-ad3c-4e1c-a087-d6cb81400c43}: "URL" = http://www.bing.com/search?q={searchTerms}&form=HPMTDF&pc=HPMTDF&src=IE-SearchBox
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\[email protected]: C:\Program Files\MSN Toolbar\Platform\6.0.2282.0\Firefox [2011.02.13 00:11:25 | 000,000,000 | ---D | M]
[2011.03.03 20:06:04 | 000,001,392 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\amazondotcom-de.xml
[2011.03.03 20:06:04 | 000,002,344 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\eBay-de.xml
[2011.03.03 20:06:04 | 000,006,805 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\leo_ende_de.xml
[2011.03.03 20:06:04 | 000,001,178 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\wikipedia-de.xml
[2011.03.03 20:06:04 | 000,001,105 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\yahoo-de.xml
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 10.5.1)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 10.5.1)

:Files
C:\Programme\MSN Toolbar
C:\Windows\system32\drivers\NIS
C:\ProgramData\Norton
c:\users\Marta-Zoe\AppData\Local\temp
c:\users\Default\AppData\Local\temp
C:\aujasnkj.sys
c:\windows\system32\sho6B91.tmp
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\HP Media Suite.lnk
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Snapfish PictureMover.lnk

:Commands
[emptyflash]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz log z TDSSKiller otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967-15.html#p120292 + log z ADWCleaner (z opcji Delete) http://www.instalki.pl/programy/downloa ... eaner.html + nowe logi z OTL otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967.html#p107754.

Optymalizacja.

Jeśli jej pragniesz to podaj log z Autoruns otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967-15.html#p138589.

[mateo8898]

http://wklejto.pl/128987 log OTL z usuwania

http://wklejto.pl/128985 log z TDSS KIller

http://wklejto.pl/128989 log z ADWCleaner z Opcji Delate

iii ponowne Logi z OTL zaraz zapodam

//Posty połączone

http://www38.zippyshare.com/v/29346701/file.html log z autoruns (autoruns.arn)

//Posty połączone

ponowny log z OTL, norton zaraz zsotanie usuniety do końca

//Posty połączone

http://wklejto.pl/128990 ponowny log z OTL

Ostatnio edytowany przez mateo8898 16 Lip 2012, 19:24, edytowano w sumie 2 razy
Powód: Łączenie postów

Autoruns.

W Autoruns odznacz, a następnie usuń (co się będzie dało):

HKLM\System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\StartupPrograms

rdpclip

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Adobe ARM
Adobe Reader Speed Launcher
AmIcoSinglun
HP Quick Launch
IAStorIcon
IgfxTray
Microsoft Default Manager
Persistence
SunJavaUpdateSched
SysTrayApp

HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components

Microsoft Windows
n/a (pierwszy)

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

ZumoDrive

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Adobe PDF Link Helper
Bing Bar BHO
Java(tm) Plug-In 2 SSV Helper
Java(tm) Plug-In SSV Helper
Search Helper
Windows Live ID Sign-in Helper

HKLM\Software\Microsoft\Internet Explorer\Toolbar

@C:\Program Files\MSN Toolbar\Platform\6.0.2282.0\npwinext.dll,-100

Task Scheduler

Wszystko.

HKLM\System\CurrentControlSet\Services

GameConsoleService
HP Health Check Service
HPClientSvc
HPDrvMntSvc.exe
hpqwmiex
HPWMISVC
IAStorDataMgrSvc
osppsvc
SeaPort
sftvsa
WinDefend
wlidsvc
WMPNetworkSvc

HKLM\System\CurrentControlSet\Services

catchme

Combofix.

Pobierz Combofix na pulpit (nie uruchamiaj Go) http://www.instalki.pl/programy/downloa ... boFix.html. Następnie wejdź w START URUCHOM i wklej tam "C:\Users\Marta-Zoe\Desktop\Combofix.exe" /uninstall .

ADWCleaner.

W ADWCleaner Uninstall.

Logi.

Uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:

:Processes
killallprocesses

:OTL

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\MARTA-~1\AppData\Local\Temp\catchme.sys -- (catchme)
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\[email protected]: C:\Program Files\MSN Toolbar\Platform\6.0.2282.0\Firefox [2011.02.13 00:11:25 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{27182e60-b5f3-411c-b545-b44205977502}: C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\firefoxextension\SearchHelperExtension\ [2011.02.13 00:11:28 | 000,000,000 | ---D | M]
O2 - BHO: (Bing Bar BHO) - {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - C:\Programme\MSN Toolbar\Platform\6.0.2282.0\npwinext.dll (Microsoft Corporation)
O3 - HKLM\..\Toolbar: (@C:\Program Files\MSN Toolbar\Platform\6.0.2282.0\npwinext.dll,-100) - {8dcb7100-df86-4384-8842-8fa844297b3f} - C:\Programme\MSN Toolbar\Platform\6.0.2282.0\npwinext.dll (Microsoft Corporation)

:Files
C:\Program Files\MSN Toolbar
C:\Programme\MSN Toolbar
C:\Users\Marta-Zoe\AppData\Local\Temp
$RECYCLE.BIN /alldrives
C:\Windows\temp
C:\ComboFix
C:\Qoobox
C:\Windows\erdnt
C:\Users\Marta-Zoe\Desktop\AutoRuns.arn
C:\Users\Marta-Zoe\AppData\Local\{cd7ce801-4df8-931a-0514-61b6fa683753}\@

:Reg
[-HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\[email protected]]
[-HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{27182e60-b5f3-411c-b545-b44205977502}]

:Commands
[emptyflash]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL.

[mateo8898]

http://wklejto.pl/128992 log z usuwania. nie moge usunac combofix.
zaraz podam logi z OTL

//Posty połączone

wyskoczylo raz powiadomienie o tym trojanie ale nic wiecej teraz nie ma... chyba poradzilismy sobie. za pare gdz wroce to podam logi z OTL

Ostatnio edytowany przez mateo8898, 16 Lip 2012, 19:24, edytowano w sumie 1 raz
Powód: Łączenie postów

ie moge usunac combofix.

Szczegóły? Mam nadzieję, że nie wkleiłaś kropki na końcu.

chyba poradzilismy sobie. za pare gdz wroce to podam logi z OTL

Wstrzymaj się dopóki nie usuniemy Combofix`a.

[mateo8898]

dobra Combofix usuniety... robie LOGI z OTL

//Posty połączone

http://wklejto.pl/129001 LOG w OTL

nadal wyswietla sie informacja o trojanie

Ostatnio edytowany przez mateo8898 16 Lip 2012, 19:26, edytowano w sumie 2 razy
Powód: Łączenie postów

Reasumacja.

Nie wykonałeś wszystkiego w Autoruns. Popraw to, a następnie podaj nowe logi z OTL (oba). Ponadto ten alarm antywirusa jest fałszywy, ponieważ to wersja Starter, czyli modyfikowana.

gdy wlaczam autoruns caly czas jest to wszystko nic nie jest usuniete ale opcja delate jest nieczynna jak to zrobic ? jestem zielony pomoz