Prawdopodobnie zainfekowany komp Backdoor.IRCBot

[GIJoe]

Znalazłem na dysku katalog D:\Microsoft Office Enterprise 2007-> http://img52.imageshack.us/img52/7193/screenuf.jpg
w nim moje projekty z TMM (lol) oraz w katalogach typu 1000000b00002i zawirusowane pliki exe.
Niestety Nod32, który mam zainstalowany cześć wykrywa jako Backdoor.IRCBot a część nie wykrywa w ogóle (sprawdzałem na virustotal, wszystkie są zawirusowane trojanem Backdoor.IRCBot)

Teraz jest mi trudno stwierdzić czy to pozostałości z jakiejś infekcji którą kiedyś miałem czy wciąż wirus jest i działa, a ktoś przegląda moje pliki.

Logi:
Combofix http://www.wklej.eu/index.php?id=26f81469d6
http://www.wklej.eu/index.php?id=fa25f9b453
http://www.wklej.eu/index.php?id=5a1cfc68f3
http://www.wklej.eu/index.php?id=e025db48db
lub poprostu w pliku http://wyslijto.pl/plik/zurgtnne3w

HiJackThis-> http://www.wklej.eu/index.php?id=518a570455

Proszę o pomoc w sprawdzeniu logów i poradzeniu jakiegoś dobrego skanera online bądź antivirusa ew jakiś bootdisk, aby usunąć tego virusa. Gdyby trzeba było logów z innych programów to śmiało pisać postaram się uzupełnić je jak najszybciej.

[mateo8898]

Niestety Nod32 który mam zainstalowany cześć wykrywa jako Backdoor.IRCBot a część nie wykrywa wogule (sprawdzalem na virustotal wszystkie są zawirusowane trojanem Backdoor.IRCBot)

W takim razie usuń te pliki ręcznie.

Pobierz The Avenger w pole Input script here wklej poniższy tekst:

Kod: Zaznacz wszystko

Files to delete:
c:\windows\system32\XDva332.sys

Drivers to delete:
XDva332
gupdate1c985ea3f086108

klikasz Execute Potwierdzasz i zgadzasz się na restart klikając OK.
Po wykonaniu wklej raport na forum C:\avenger.txt

Wklej do notatnika:

Kod: Zaznacz wszystko

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"kX Mixer"=-
"Adobe Reader Speed Launcher"=-
"nwiz"=-

Plik Zapisz jako Ustaw rozszerzenie z TXT na Wszystkie pliki zapisz pod nazwą FIX.REG uruchom utworzony plik i potwierdź

Następnie podaj logi z OTL

[mateo8898]

avanger http://wyslijto.pl/plik/sfpuee3ux1

OTL http://wyslijto.pl/plik/hf95xtmj1i

Wcześniej usunąłem Combofixem XDva332 dlatego jest file not found

Jeszcze mnie martwi jedna sprawa Nod teraz się ożywil i ciągle wykrywa pliki w /System Volume Information/ http://img405.imageshack.us/img405/7366/noda.jpg
Włączałem i wyłączałem Przywracanie Systemu zresztą Combofix tez to robi ale mało to pomaga.

[mateo8898]

Combofix nie wyłącza przywracania, tylko tworzy nowy punkt.

Uruchom OTL w oknie Custom Scans/Fixes wklej:

:OTL
SRV - File not found [Disabled | Stopped] -- -- (VMware NAT Service)
SRV - File not found [Disabled | Stopped] -- -- (gusvc)
[2009-07-03 19:20:48 | 000,002,399 | ---- | M] () -- C:\Documents and Settings\gijoe\Application Data\Mozilla\Firefox\Profiles\jaw57l6u.default\searchplugins\daemon-search.xml
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {EBE9E2B5-B526-48BC-AD46-687263EDCB0E} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {EBE9E2B5-B526-48BC-AD46-687263EDCB0E} - No CLSID value found.
O18 - Protocol\Handler\AutorunsDisabled - No CLSID value found
@Alternate Data Stream - 88 bytes C:\WINDOWS\regedit.exe:SummaryInformation

:Files
C:\Documents and Settings\gijoe\DoctorWeb

:Commands
[emptytemp]

Klikasz Run Fix. Następnie:

W OTL kliknij CleanUp

Przeczyść dysk oraz rejestr CCleaner

Wyłącz i włącz przywracanie systemu na wszystkich dyskach Instrukcja

Wykonaj pełne skanowanie Malwarebytes' Anti-Malware - jeśli coś znajdzie usuń i daj raport

Zaktualizuj IE do najnowszej wersji (nawet jeśli go nie używasz) http://www.instalki.pl/programy/downloa ... _8_XP.html

[GIJoe]

Zrobione a skana mbam juz robilem wczesniej http://wklej.eu/index.php?id=9e5bae1d01

Wielkie dzieki za pomoc.

Czy teraz na 99% pozbylem sie tego dziadostwa ?

[mateo8898]

Powinno być ok.