Dużo programów uruchomionych w tle zapewne to jakieś trojany

[jacek9223]

http://www.wklej.eu/index.php?id=8409cfb905 Bardzo proszę o sprawdzenie mojego loga bo mam dużo programów uruchomionych w tle zapewne to jakieś trojany/robaki bardzo proszę o wskazanie mi ich i pomoc w osunięciu

[mateo8898]

Infekcja jest, ale HijackThis to za mało, więc podaj logi z: OTL, GMER oraz System Repair Engineer

[jacek9223]

log z otl http://www.wklej.eu/index.php?id=f42a080e73
log z System Repair Engineer http://www.wklej.eu/index.php?id=858aa51cec

Z Gmer jeszcze dodam bo się strasznie długo skanuje

[mateo8898]

Log z OTL ucięty, wrzuć go na wklejorg lub wklejto

[jacek9223]

1 log http://wklej.org/id/266254/ Extras
2 log http://wklej.org/id/266255/ OTL
Log z Gmer będzie jutro wrzucę. Dam go na noc do skanowania
jeszcze teraz zaczął mi wyskakiwać błąd pliku Skl.exe co jakieś 10 min nie wiem co to za program

[mateo8898]

Uruchom OTL w oknie Custom Scans/Fixes wklej:

:OTL
PRC - [2008-04-14 21:51:18 | 01,037,824 | ---- | M] (Microsoft Corporation) -- D:\WINDOWS\explorer.exe
PRC - [2010-01-20 20:50:45 | 00,175,616 | ---- | M] () -- D:\Documents and Settings\Jacek\Ustawienia lokalne\temp\Skl.exe
PRC - [2010-01-20 20:50:42 | 00,176,640 | ---- | M] () -- D:\WINDOWS\msb.exe
PRC - [2009-11-29 18:06:02 | 00,073,728 | ---- | M] () -- D:\Documents and Settings\Jacek\Ustawienia lokalne\temp\741.exe
PRC - [2009-10-22 22:02:32 | 00,155,140 | ---- | M] () -- D:\Documents and Settings\Jacek\Ustawienia lokalne\temp\d.exe
PRC - [2009-10-12 20:44:25 | 00,156,160 | ---- | M] () -- D:\WINDOWS\msa.exe
MOD - [2010-01-20 21:21:47 | 00,076,109 | RHS- | M] () -- D:\Documents and Settings\Jacek\Ustawienia lokalne\temp\cvasds0.dll
SRV - File not found [Auto | Stopped] -- -- (StarWindServiceAE)
SRV - [2010-01-20 20:50:19 | 00,233,472 | ---- | M] () [Auto | Running] -- D:\WINDOWS\system32\sshnas21.dll -- (SSHNAS)
IE - HKU\S-1-5-21-1220945662-2077806209-1177238915-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource= ... =CT2233703
IE - HKU\S-1-5-21-1220945662-2077806209-1177238915-1003\..\URLSearchHook: {00A6FAF6-072E-44cf-8957-5838F569A31D} - Reg Error: Key error. File not found
FF - prefs.js..browser.search.defaultthis.engineName: "4shared Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2233703&SearchSource=3&q={searchTerms}"
O2 - BHO: (XML Class) - {500BCA15-57A7-4eaf-8143-8C619470B13D} - D:\WINDOWS\system32\msxml71.dll ()
O3 - HKLM\..\Toolbar: (BearShare MediaBar) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - D:\Program Files\BearShare Applications\BearShare MediaBar\BearShareMediaBar.dll File not found
O3 - HKU\S-1-5-21-1220945662-2077806209-1177238915-1003\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\S-1-5-21-1220945662-2077806209-1177238915-1003\..\Toolbar\WebBrowser: (BearShare MediaBar) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - D:\Program Files\BearShare Applications\BearShare MediaBar\BearShareMediaBar.dll File not found
O4 - HKLM..\Run: [MyWebSearch Plugin] D:\PROGRA~1\MYWEBS~1\bar\1.bin\M3PLUGIN.DLL File not found
O4 - HKU\S-1-5-21-1220945662-2077806209-1177238915-1003..\Run: [12CFG214-K641-24SF-N85P] C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1859\ls888.exe ()
O4 - HKU\S-1-5-21-1220945662-2077806209-1177238915-1003..\Run: [BMIMZMHMFM] D:\Documents and Settings\Jacek\Ustawienia lokalne\temp\Skl.exe ()
O4 - HKU\S-1-5-21-1220945662-2077806209-1177238915-1003..\Run: [cdoosoft] D:\Documents and Settings\Jacek\Ustawienia lokalne\temp\herss.exe ()
O4 - HKU\S-1-5-21-1220945662-2077806209-1177238915-1003..\Run: [EA Core] C:\Program Files\Electronic Arts\EADM\Core.exe File not found
O4 - HKU\S-1-5-21-1220945662-2077806209-1177238915-1003..\Run: [NordBull] D:\WINDOWS\msa.exe ()
O4 - HKU\S-1-5-21-1220945662-2077806209-1177238915-1003..\Run: [PopRock] D:\Documents and Settings\Jacek\Ustawienia lokalne\temp\d.exe ()
O4 - HKU\S-1-5-21-1220945662-2077806209-1177238915-1003..\Run: [psysnew] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe ()
O20 - HKLM Winlogon: TaskMan - (D:\RECYCLER\S-1-5-21-7171919253-7889642204-034526880-0504\winmap32.exe) - D:\RECYCLER\S-1-5-21-7171919253-7889642204-034526880-0504\winmap32.exe ()
O20 - HKU\S-1-5-21-1220945662-2077806209-1177238915-1003 Winlogon: Shell - (D:\RECYCLER\S-1-5-21-7171919253-7889642204-034526880-0504\winmap32.exe) - D:\RECYCLER\S-1-5-21-7171919253-7889642204-034526880-0504\winmap32.exe ()
O20 - HKU\S-1-5-21-1220945662-2077806209-1177238915-1003 Winlogon: Shell - (explorer.exe) - D:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKU\S-1-5-21-1220945662-2077806209-1177238915-1003 Winlogon: Shell - (C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe) - C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe ()
O21 - SSODL: pnBKcXeOuqd - {4C042696-E6AE-8C3C-C598-D30C6F98161D} - D:\WINDOWS\system32\duckol.dll ()
O32 - AutoRun File - [2010-01-21 21:54:22 | 00,000,057 | RHS- | M] () - C:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2010-01-21 21:54:22 | 00,000,057 | RHS- | M] () - D:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2010-01-21 21:54:22 | 00,000,057 | RHS- | M] () - E:\autorun.inf -- [ NTFS ]
O33 - MountPoints2\{5d007ccd-964c-11de-8c74-000e50b2429d}\Shell\AutoRun\command - "" = J:\kgji.exe -- File not found
O33 - MountPoints2\{5d007ccd-964c-11de-8c74-000e50b2429d}\Shell\open\Command - "" = J:\kgji.exe -- File not found
O33 - MountPoints2\{ad2da723-e962-11dd-8a70-000e50b2429d}\Shell\AutoRun\command - "" = K:\9b9w3.exe -- File not found
O33 - MountPoints2\{ad2da723-e962-11dd-8a70-000e50b2429d}\Shell\open\Command - "" = K:\9b9w3.exe -- File not found

:Files
D:\Documents and Settings\Jacek\Ustawienia lokalne\temp\Skl.exe
D:\WINDOWS\msb.exe
D:\Documents and Settings\Jacek\Ustawienia lokalne\temp\741.exe
D:\Documents and Settings\Jacek\Ustawienia lokalne\temp\d.exe
D:\WINDOWS\msa.exe
D:\Documents and Settings\Jacek\Ustawienia lokalne\temp\cvasds0.dll
D:\WINDOWS\system32\sshnas21.dll
D:\WINDOWS\system32\msxml71.dll
C:\RECYCLER
D:\RECYCLER
E:\RECYCLER
D:\WINDOWS\tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job
D:\WINDOWS\tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job
D:\WINDOWS\tasks\{7B02EF0B-A410-4938-8480-9BA26420A627}.job
D:\WINDOWS\tasks\{BB65B0FB-5712-401b-B616-E69AC55E2757}.job

:Commands
[emptytemp]
[reboot]

Klikasz Run Fix. Dajesz log z usuwania + nowy log z OTL

Wylecz pamięci przenośne Flash Disinfector lub sformatuj

[jacek9223]

robię tak jak mi napisałeś wklejam tam i zaczyna coś robić zatrzymuje się na pierwszym pliku i stoji nic nie robi program brak odpowiedzi nie wiem co jest grane oto screen http://img705.imageshack.us/img705/8439/beznazwy1mo.jpg
i dodam ze mam system na partycji D
edit
kurde mam problem wkleiłem to co mi kazałeś tylko usunąłem linijki z tym plikiem co zawieszał program i teraz komputer się włącza tylko się explorer.exe się nie włącza(sprawdzałem w menadżerze urządzeń Alt+ctrl+delete) nie ma pasku startu tylko widać tapetę i nic więcej

[mateo8898]

Sprawdź, czy plik explorer.exe znajduje się w folderze C:\Windows. Jeśli nie ma to pobierz go stąd http://hotfile.com/dl/25330185/239622e/ ... r.exe.html i wklej do tego folderu.

Następnie użyj Combofix i daj log z niego (podczas pobierania i skanu wyłącz wszelkie programy zabezpieczające)

[jacek9223]

miałem ten plik ale był chyba zjebany ale dałem wcześniej przywrócenie systemu i jakoś się udało zrobiłem scan ComboFix
http://www.wklej.eu/index.php?id=75dec1723f
Tak ze mam problem ponieważ zrobił bym format ale ma dziwny problem gdyż chce zainstalować system to przy uruchamianiu systemu pisze zęby nacisnąć dowolny klawisz co spowoduje rozruch z CD ale mi klawa nie działa w tym monecie mam ja podłączona pod USB dlatego bo mi normalne wyjścia na mysz i klawe nie działają ale co dziwne do biosu normalnie mogę wejść i klawa działa

[mateo8898]

Jest dobrze, bo Combofix praktycznie cały syf wywalił, ale jeszcze przeskanuj te pliki:
d:\windows\system32\lsass.exe
d:\windows\system32\services.exe
d:\windows\system32\spoolsv.exe
d:\windows\system32\winlogon.exe
d:\windows\system32\svchost.exe
d:\windows\explorer.exe
na http://www.virustotal.com/pl/ i podaj wyniki

[jacek9223]

No wrzuciłem te pliki na na tą stronkę ale coś nie działa wrzuciłem na noc i dalej pisało wysyłanie no aż takie duże to te pliki nie są . Mozę jest jakiś antyvirus dobry który by to przeskanował i ochronił mnie przed ponownym zaśmieceniem? nie wiem np. Kaspersky porać coś

[mateo8898]

To dobra, jak coś to skaner je wykryje.

Wklej do notatnika:

Kod: Zaznacz wszystko

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ALLUpdate"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"=-
"NeroFilterCheck"=-
"Adobe Reader Speed Launcher"=-
"nwiz"=-
"QuickTime Task"=-
"SunJavaUpdateSched"=-
"HP Software Update"=-
"hpqSRMon"=-

Plik Zapisz jako Ustaw rozszerzenie z TXT na Wszystkie pliki zapisz pod nazwą FIX.REG uruchom utworzony plik i potwierdź

Pobierz OTC uruchom i kliknij CleanUp

Przeczyść dysk oraz rejestr CCleaner

Wyłącz i włącz przywracanie systemu na wszystkich dyskach Instrukcja

Wykonaj pełne skanowanie Dr.Web CureIt - jeśli coś znajdzie wylecz/usuń i daj raport (Plik Zapisz Listę Raportu)

[jacek9223]

Długo nie odp ale nie miałem dostępu do internetu. Tutaj jest log z tego programu ale zapisał się w formacie exela wiec wysłałem go na serwer
http://www.speedyshare.com/files/20823376/DrWeb.csv teraz wykryło 56 trojanów na wszystkich dyskach ale wcześniej miałem to szybkie skanowanie wykryło gdzieś z 30

[mateo8898]

Wylecz pamięci przenośne Flash Disinfector lub sformatuj

Wyłącz i włącz przywracanie systemu na wszystkich dyskach Instrukcja

I powinno być ok

[jacek9223]

zrobiłem już tak wcześniej. Naprawdę wielkie dzięki za twoja pomoc ocaliłeś mój komputer od formatu . I mam jeszcze jedno pytanko moze polecisz jaki antywirus żeby choć w pewnym stopniu zapowiedz ponownego zaśmiecenia tym świństwem??