Problem z pewnym trojanem który po usunięciu się odradza

[dawid693]

witam mam problem z pewnym trojanem który po usunięciu się odradza. Polecono mi użycie programu combofix ale nie wiem co mam dalej robić oto log który mi wyświetliło:

ComboFix 10-02-10.05 - komputer 2010-02-11 17:50:06.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.2.1250.48.1045.18.2046.1571 [GMT 1:00]
Uruchomiony z: c:\documents and settings\komputer\Pulpit\ComboFix.exe
AV: System Antywirusowy NOD32 2.51 *On-access scanning enabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
* Rezydentny antywirus jest aktywny

.

((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Autorun.inf
c:\docume~1\komputer\USTAWI~1\Temp\cvasds0.dll
c:\docume~1\komputer\USTAWI~1\Temp\cvasds1.dll
c:\docume~1\komputer\USTAWI~1\Temp\herss.exe
c:\windows\system32\ieuinit.inf
c:\windows\system32\img_utils.dll
c:\windows\system32\imgscaler.dll
c:\windows\system32\videocore.dll
c:\windows\system32\videoformat.dll
E:\Autorun.inf
F:\Autorun.inf
G:\autorun.inf
H:\Autorun.inf
I:\1hqup.exe
I:\9d6tpg.exe
I:\Autorun.inf
I:\nyt9mrd3.exe
I:\pagefile.sys.vbs
I:\ws.exe
J:\1hqup.exe
J:\9d6tpg.exe
J:\autorun.inf
J:\pagefile.sys.vbs
J:\ws.exe
K:\1hqup.exe
K:\9d6tpg.exe
K:\Autorun.inf
K:\pagefile.sys.vbs
K:\ws.exe
L:\1hqup.exe
L:\9d6tpg.exe
L:\autorun.inf
L:\pagefile.sys.vbs
L:\ws.exe
M:\1hqup.exe
M:\9d6tpg.exe
M:\autorun.inf
M:\nyt9mrd3.exe
M:\pagefile.sys.vbs
M:\ws.exe

.
((((((((((((((((((((((((( Pliki utworzone od 2010-01-11 do 2010-02-11 )))))))))))))))))))))))))))))))
.

2010-02-11 16:26 . 2010-02-11 16:26 91648 --sh--r- C:\p3vwxx.exe
2010-02-09 15:50 . 2010-02-09 15:50 91136 --sh--r- C:\9qqigqwf.exe
2010-02-08 20:35 . 2010-02-08 20:36 -------- d-----w- C:\BuchWinDemo
2010-02-06 12:15 . 2009-12-11 17:05 3613560 ----a-w- c:\documents and settings\komputer\Dane aplikacji\Simply Super Software\Trojan Remover\yvq1DBA.exe
2010-02-04 19:12 . 2006-06-19 12:01 69632 ----a-w- c:\windows\system32\ztvcabinet.dll
2010-02-04 19:12 . 2006-05-25 14:52 162304 ----a-w- c:\windows\system32\ztvunrar36.dll
2010-02-04 19:12 . 2005-08-26 00:50 77312 ----a-w- c:\windows\system32\ztvunace26.dll
2010-02-04 19:12 . 2003-02-02 19:06 153088 ----a-w- c:\windows\system32\UNRAR3.dll
2010-02-04 19:12 . 2002-03-06 00:00 75264 ----a-w- c:\windows\system32\unacev2.dll
2010-02-04 19:12 . 2010-02-04 19:28 -------- d-----w- c:\program files\Trojan Remover
2010-02-04 19:12 . 2010-02-04 19:12 -------- d-----w- c:\documents and settings\komputer\Dane aplikacji\Simply Super Software
2010-02-04 19:12 . 2010-02-04 19:12 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Simply Super Software
2010-02-04 19:07 . 2010-02-06 12:15 -------- d---a-w- c:\documents and settings\All Users\Dane aplikacji\TEMP
2010-02-02 19:51 . 2010-02-02 19:51 12328 ----a-w- c:\documents and settings\komputer\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT
2010-02-02 19:48 . 2010-02-02 19:48 -------- d-----w- c:\program files\Zealot Software
2010-02-02 19:38 . 2010-02-02 19:38 -------- d-----w- c:\program files\ImTOO
2010-02-02 18:52 . 2010-02-02 18:52 -------- d-----w- c:\program files\HT NETWORKS
2010-02-02 08:01 . 2010-02-02 08:01 -------- d-----w- c:\documents and settings\komputer\Ustawienia lokalne\Dane aplikacji\Ahead
2010-01-31 18:20 . 2010-01-31 18:20 -------- d-----w- C:\Downloads
2010-01-31 17:58 . 2006-04-10 13:03 38400 ----a-w- c:\windows\system32\hpz3l054.dll
2010-01-31 17:58 . 2006-04-10 13:02 74240 ----a-w- c:\windows\system32\Spool\prtprocs\w32x86\hpzpp054.dll
2010-01-31 17:58 . 2004-08-03 21:58 15104 -c--a-w- c:\windows\system32\dllcache\usbscan.sys
2010-01-31 17:58 . 2004-08-03 21:58 15104 ----a-w- c:\windows\system32\drivers\usbscan.sys
2010-01-31 17:43 . 2010-02-11 16:48 -------- d-----w- c:\documents and settings\komputer\Dane aplikacji\Free Download Manager
2010-01-31 17:42 . 2010-01-31 17:42 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\FreeDownloadManager.ORG
2010-01-31 17:42 . 2010-01-31 17:43 -------- d-----w- c:\program files\Free Download Manager
2010-01-31 17:38 . 2010-01-31 17:42 113025 ----a-w- c:\windows\hpoins11.dat
2010-01-31 17:38 . 2006-04-13 00:04 49664 ----a-w- c:\windows\system32\drivers\HPZid412.sys
2010-01-31 17:38 . 2006-04-13 00:04 21568 ----a-w- c:\windows\system32\drivers\HPZius12.sys
2010-01-31 17:38 . 2006-04-13 00:04 16496 ----a-w- c:\windows\system32\drivers\HPZipr12.sys
2010-01-31 17:38 . 2006-04-13 00:04 282624 ----a-w- c:\windows\system32\HPZc3212.dll
2010-01-31 17:38 . 2006-04-13 00:02 659456 ----a-w- c:\windows\system32\hpowiax2.dll
2010-01-31 17:38 . 2006-04-13 00:02 254026 ----a-w- c:\windows\system32\hpovst09.dll
2010-01-31 17:38 . 2006-01-04 08:12 77824 ----a-w- c:\windows\system32\HPZIDS01.dll
2010-01-31 17:38 . 2005-07-19 01:38 98304 ----a-w- c:\windows\system32\hpzjsn01.dll
2010-01-31 17:38 . 2006-04-13 00:02 827392 ----a-w- c:\windows\system32\hpotiop2.dll
2010-01-31 17:38 . 2006-05-06 06:34 6947 ----a-w- c:\windows\hpomdl11.dat
2010-01-25 19:32 . 2010-01-25 19:32 -------- d-----w- c:\documents and settings\komputer\Dane aplikacji\Media Player Classic
2010-01-25 19:24 . 2010-01-25 19:24 -------- d-----w- c:\program files\Common Files\Wise Installation Wizard
2010-01-25 19:23 . 2010-01-25 19:23 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\NVIDIA Corporation
2010-01-25 19:23 . 2010-01-25 19:24 -------- d-----w- c:\program files\NVIDIA Corporation
2010-01-25 19:23 . 2010-01-12 04:03 61440 ----a-w- c:\windows\system32\OpenCL.dll
2010-01-25 19:23 . 2010-01-12 04:03 4104192 ----a-w- c:\windows\system32\nvcuda.dll
2010-01-25 19:23 . 2010-01-12 04:03 4077672 ----a-w- c:\windows\system32\nvcuvenc.dll
2010-01-25 19:23 . 2010-01-12 04:03 2259560 ----a-w- c:\windows\system32\nvcuvid.dll
2010-01-25 19:23 . 2010-01-12 04:03 11632640 ----a-w- c:\windows\system32\nvcompiler.dll
2010-01-25 19:23 . 2010-01-12 04:03 2283526 ----a-w- c:\windows\system32\nvdata.bin
2010-01-25 19:23 . 2010-01-25 19:23 -------- d-----w- C:\NVIDIA

.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-08 15:35 . 2010-02-08 11:57 -------- d-----w- c:\documents and settings\komputer\Dane aplikacji\PhotoFrameShow
2010-02-08 12:24 . 2010-02-08 11:57 -------- d-----w- c:\program files\FrameShow
2010-01-31 17:41 . 2010-01-31 17:41 -------- d-----w- c:\program files\Hewlett-Packard
2010-01-31 17:41 . 2010-01-31 17:41 -------- d-----w- c:\program files\Common Files\Hewlett-Packard
2010-01-31 17:41 . 2010-01-31 17:40 -------- d-----w- c:\program files\HP
2010-01-26 19:04 . 2008-12-06 22:46 -------- d-----w- c:\program files\ESET
2010-01-25 17:13 . 2008-12-06 02:30 86327 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
2010-01-12 04:03 . 2008-12-06 21:40 592488 ----a-w- c:\windows\system32\nvudisp.exe
2010-01-12 04:03 . 2008-12-06 21:39 14458880 ----a-w- c:\windows\system32\nvoglnt.dll
2010-01-12 04:03 . 2008-12-06 21:39 182888 ----a-w- c:\windows\system32\nvcodins.dll
2010-01-12 04:03 . 2008-12-06 21:39 182888 ----a-w- c:\windows\system32\nvcod.dll
2010-01-12 04:03 . 2008-12-06 21:39 6359168 ----a-w- c:\windows\system32\nv4_disp.dll
2010-01-12 04:03 . 2008-12-06 21:39 1081344 ----a-w- c:\windows\system32\nvapi.dll
2010-01-12 04:03 . 2008-12-06 21:39 10276768 ----a-w- c:\windows\system32\drivers\nv4_mini.sys
2009-11-19 20:42 . 2008-12-06 21:40 592488 ----a-w- c:\windows\system32\NVUNINST.EXE
.

((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Gadu-Gadu"="c:\program files\Gadu-Gadu\gg.exe" [2007-01-30 1716224]
"Free Download Manager"="c:\program files\Free Download Manager\fdm.exe" [2009-01-31 3399727]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Common Files\Nero\Lib\NMBgMonitor.exe" [2007-09-20 202024]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"WiseStubReboot"="MSIEXEC" [X]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2008-07-23 16804864]
"SoundMan"="SOUNDMAN.EXE" [2008-06-18 77824]
"AlcWzrd"="ALCWZRD.EXE" [2008-06-19 2808832]
"WinampAgent"="c:\program files\Winamp\winampa.exe" [2007-10-10 36352]
"nod32kui"="c:\program files\Eset\nod32kui.exe" [2008-12-06 921600]
"NeroFilterCheck"="c:\program files\Common Files\Nero\Lib\NeroCheck.exe" [2007-03-01 153136]
"NBKeyScan"="c:\program files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-09-20 1836328]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2010-01-11 110696]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-01-11 13666408]
"TrojanScanner"="c:\program files\Trojan Remover\Trjscan.exe" [2010-02-04 1070984]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Gadu-Gadu\\gg.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=

.
.
------- Skan uzupełniający -------
.
IE: Pobierz plik wideo we Free Download Manager - file://c:\program files\Free Download Manager\dlfvideo.htm
IE: Pobierz w Free Download Manager - file://c:\program files\Free Download Manager\dllink.htm
IE: Pobierz wszystkie pliki w Free Download Manager - file://c:\program files\Free Download Manager\dlall.htm
IE: Pobierz zaznaczone w Free Download Manager - file://c:\program files\Free Download Manager\dlselected.htm
LSP: c:\windows\system32\imon.dll
FF - ProfilePath - c:\documents and settings\komputer\Dane aplikacji\Mozilla\Firefox\Profiles\sol09bhp.default\
FF - component: c:\program files\Free Download Manager\Firefox\Extension\components\vmsfdmff.dll
FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll
FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll
.
- - - - USUNIĘTO PUSTE WPISY - - - -

HKLM-Run-nwiz - nwiz.exe
AddRemove-NVIDIA Display Control Panel - c:\program files\NVIDIA Corporation\Uninstall\nvuninst.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-11 17:51
Windows 5.1.2600 Dodatek Service Pack 2 NTFS

skanowanie ukrytych procesów ...

skanowanie ukrytych wpisów autostartu ...

skanowanie ukrytych plików ...

skanowanie pomyślnie ukończone
ukryte pliki: 0

**************************************************************************
.
--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------

- - - - - - - > 'lsass.exe'(776)
c:\windows\system32\imon.dll
c:\program files\Eset\pr_imon.dll
.
Czas ukończenia: 2010-02-11 17:52:26
ComboFix-quarantined-files.txt 2010-02-11 16:52

Przed: 6 816 202 752 bajtów wolnych
Po: 7 658 008 576 bajtów wolnych

WindowsXP-KB310994-SP2-Pro-BootDisk-PLK.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

- - End Of File - - E2F34F04AEA8B886F8905C042841791E

[mateo8898]

Polecono mi użycie programu combofix

Ciekawe gdzie, bo na pewno nie na tym forum. Na takie infekcje Combofixa się nie stosuje, gdyż jest to zbyt ingerujące w system narzędzie. To tak na przyszłość

Wylecz pamięci przenośne Flash Disinfector lub sformatuj

Pobierz The Avenger w pole Input script here wklej poniższy tekst:

Kod: Zaznacz wszystko

Files to delete:
C:\9qqigqwf.exe
E:\9qqigqwf.exe
F:\9qqigqwf.exe
G:\9qqigqwf.exe
H:\9qqigqwf.exe
I:\9qqigqwf.exe
J:\9qqigqwf.exe
K:\9qqigqwf.exe
L:\9qqigqwf.exe
M:\9qqigqwf.exe
C:\p3vwxx.exe
E:\p3vwxx.exe
F:\p3vwxx.exe
G:\p3vwxx.exe
H:\p3vwxx.exe
I:\p3vwxx.exe
J:\p3vwxx.exe
K:\p3vwxx.exe
L:\p3vwxx.exe
M:\p3vwxx.exe

klikasz Execute Potwierdzasz i zgadzasz się na restart klikając OK.
Po wykonaniu wklej raport na forum C:\avenger.txt

Wklej do notatnika:

Kod: Zaznacz wszystko

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"WiseStubReboot"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"=-
"SoundMan"=-
"AlcWzrd"=-
"NeroFilterCheck"=-
"WinampAgent"=-
"NBKeyScan"=-

Plik Zapisz jako Ustaw rozszerzenie z TXT na Wszystkie pliki zapisz pod nazwą FIX.REG uruchom utworzony plik i potwierdź

Logi wklejasz na wklejorg lub wklejto, a w poście dajesz tylko link.

[dawid693]

WITAM
DZIEKI ZA POMOC OTO LINK DO RAPORTU PROGRAMU AVENGER
http://wklej.org/id/277813/

[mateo8898]

Usunięte.

Pobierz OTC uruchom i kliknij CleanUp

Przeczyść dysk oraz rejestr CCleaner

Wyłącz i włącz przywracanie systemu na wszystkich dyskach Instrukcja

Wykonaj pełne skanowanie Malwarebytes' Anti-Malware - jeśli coś znajdzie usuń i daj raport

[dawid693]

zrobione
http://wklej.org/id/277826/

[mateo8898]

W porządku, możesz opróżnić jeszcze kwarantannę Malwarebytes.

[dawid693]

jaki polecacie program antywirusowy???

[mateo8898]

Darmowy czy płatny??

[dawid693]

najlepiej darmowy lub płatny w rozsądnych pieniądzach:-)

[mateo8898]

Z darmowych: Avast https://www.instalki.pl/download/programy/windows/bezpieczenstwo/antywirusy/avast-free-antivirus/
Avira http://www.instalki.pl/programy/downloa ... lassic.php
AVG http://www.instalki.pl/programy/downloa ... dition.php

Z płatnych Kaspersky, Eset (najnowsza wersja, bo Ty posiadasz obecnie dosyć starą)

[dawid693]

muszę pomyśleć nad zmianą na razie zainstaluje jakąś darmówkę a po wypłacie się pomyśli nad jakimś konkretniejszym

dzieki za pomoc mam nadzieje ze skończy się ten problem z wirusami