Problem z trojanami generic agent i wiele innych

[szyszka313]

Witam jakis czas temy grajac w gre on line wyskoczyl mi blad m dos 16 bitowy ze jest nie prawidlowe dzialanie aplikacji mozna wybrac zamknij lub ignoruj po pewnym czasie ten blad sie powtarza mam komputer 1 gb ram wiec nie za bardzo moge kozystac z programow antywirusowych jedynie programy docelowe malware bytes kaspersky itp skanuje malware praktycznie co dziennie i ku mojemu zdziwieniu nw co jest kaman 3 dni temu wykryl mi 18 trojanow w tym keylogera potem 8 wczoraj 30 trojanow dzis nastepne usuwalem juz te trojany recznie potem przez malware a one po paru godz na nowo wracaja i to samo umiejscowienie wirusuw jest dysku c dane aplikacji pare logow

Kod: Zaznacz wszystko

Malwarebytes Anti-Malware 1.65.0.1400

http://www.malwarebytes.org

Wersja bazy: v2012.10.10.09

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
testerek :: OPEN [administrator]

2012-10-14 19:16:08
mbam-log-2012-10-14 (19-16-08).txt

Typ skanowania: Pełne skanowanie (C:\|)
Zaznaczone opcje skanowania: Pamięć | Rozruch | Rejestr | System plików | Heurystyka/Dodatkowe | Heuristyka/Shuriken | PUP | PUM
Odznaczone opcje skanowania: P2P
Przeskanowano obiektów: 211969
Upłynęło: 15 minut(y), 54 sekund(y)

Wykrytych procesów w pamięci: 1
C:\Documents and Settings\testerek\Dane aplikacji\1.exe (Trojan.Ransom.ANC) -> 2368 -> Usuń po ponownym uruchomieniu.

Wykrytych modułów w pamięci: 0
(Nie znaleziono zagrożeń)

Wykrytych kluczy rejestru: 0
(Nie znaleziono zagrożeń)

Wykrytych wartości rejestru: 0
(Nie znaleziono zagrożeń)

Wykryte wpisy rejestru systemowego: 0
(Nie znaleziono zagrożeń)

wykrytych folderów: 0
(Nie znaleziono zagrożeń)

Wykrytych plików: 29
C:\Documents and Settings\testerek\Dane aplikacji\1.exe (Trojan.Ransom.ANC) -> Usuń po ponownym uruchomieniu.
C:\WINDOWS\system32\LGOJXQ\AKV.exe (Spyware.Ardamax.PGen1) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
C:\WINDOWS\system32\LGOJXQ\OEI.001 (PUP.Ardamax) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
C:\WINDOWS\system32\LGOJXQ\OEI.002 (PUP.Ardamax) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
C:\WINDOWS\system32\LGOJXQ\OEI.exe (KeyLogger.Ardamax) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
C:\Documents and Settings\testerek\Dane aplikacji\12C.exe (Trojan.Ransom.ANC) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
C:\Documents and Settings\testerek\Dane aplikacji\3C.exe (Trojan.Ransom.ANC) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
C:\Documents and Settings\testerek\Dane aplikacji\3D.exe (Trojan.Ransom.ANC) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
C:\Documents and Settings\testerek\Dane aplikacji\3E.exe (Trojan.Ransom.ANC) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
C:\Documents and Settings\testerek\Dane aplikacji\3F.exe (Trojan.Ransom.ANC) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
C:\Documents and Settings\testerek\Dane aplikacji\54.exe (Trojan.Ransom.ANC) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
C:\Documents and Settings\testerek\Dane aplikacji\A5.exe (Trojan.Ransom.ANC) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
C:\Documents and Settings\testerek\Dane aplikacji\A6.exe (Trojan.Ransom.ANC) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
C:\Documents and Settings\testerek\Dane aplikacji\A7.exe (Trojan.Ransom.ANC) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
C:\Documents and Settings\testerek\Pulpit\TAPETECZKI\Antissa START.exe (Backdoor.Hupigon) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
C:\pzdr\DivineWorld\Divine.exe (Backdoor.Hupigon) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
C:\pzdr\DivineWorld\metin2.bin (Backdoor.Hupigon) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
C:\pzdr\DivineWorld\metin2client.bin (RiskWare.Tool.CK) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
C:\RECYCLER\S-1-5-21-1229272821-448539723-1801674531-1003\Dc36\XenoXMT2client_11.02.2012r_by_Pawemol\XenoxMT2 Launcher.exe (Backdoor.Xtrat) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
C:\System Volume Information\_restore{0678D19B-DF6A-4171-912F-4115926D14C7}\RP44\A0030640.exe (Backdoor.Xtrat) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
C:\System Volume Information\_restore{0678D19B-DF6A-4171-912F-4115926D14C7}\RP53\A0037559.exe (Backdoor.Hupigon) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
C:\System Volume Information\_restore{0678D19B-DF6A-4171-912F-4115926D14C7}\RP54\A0037729.exe (Backdoor.Xtrat) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
C:\System Volume Information\_restore{0678D19B-DF6A-4171-912F-4115926D14C7}\RP66\A0052948.exe (Backdoor.Hupigon) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
C:\System Volume Information\_restore{0678D19B-DF6A-4171-912F-4115926D14C7}\RP77\A0085273.exe (Backdoor.Hupigon) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
C:\System Volume Information\_restore{0678D19B-DF6A-4171-912F-4115926D14C7}\RP79\A0085407.exe (Backdoor.Hupigon) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
C:\System Volume Information\_restore{0678D19B-DF6A-4171-912F-4115926D14C7}\RP80\A0085660.exe (Backdoor.Hupigon) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
C:\System Volume Information\_restore{0678D19B-DF6A-4171-912F-4115926D14C7}\RP81\A0085767.exe (Backdoor.Hupigon) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
C:\System Volume Information\_restore{0678D19B-DF6A-4171-912F-4115926D14C7}\RP81\A0085832.exe (Trojan.Ransom.ANC) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
C:\System Volume Information\_restore{0678D19B-DF6A-4171-912F-4115926D14C7}\RP81\A0085864.exe (Trojan.Ransom.ANC) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.                              Malwarebytes Anti-Malware 1.65.0.1400
http://www.malwarebytes.org

Wersja bazy: v2012.10.10.09

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
testerek :: OPEN [administrator]

2012-10-14 15:49:54
mbam-log-2012-10-14 (15-49-54).txt

Typ skanowania: Szybkie skanowanie
Zaznaczone opcje skanowania: Pamięć | Rozruch | Rejestr | System plików | Heurystyka/Dodatkowe | Heuristyka/Shuriken | PUP | PUM
Odznaczone opcje skanowania: P2P
Przeskanowano obiektów: 188274
Upłynęło: 5 minut(y), 40 sekund(y)

Wykrytych procesów w pamięci: 0
(Nie znaleziono zagrożeń)

Wykrytych modułów w pamięci: 0
(Nie znaleziono zagrożeń)

Wykrytych kluczy rejestru: 0
(Nie znaleziono zagrożeń)

Wykrytych wartości rejestru: 0
(Nie znaleziono zagrożeń)

Wykryte wpisy rejestru systemowego: 0
(Nie znaleziono zagrożeń)

wykrytych folderów: 0
(Nie znaleziono zagrożeń)

Wykrytych plików: 27
C:\Documents and Settings\testerek\Dane aplikacji\1.exe (Trojan.Ransom.ANC) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
C:\Documents and Settings\testerek\Dane aplikacji\10.exe (Trojan.Ransom.ANC) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
C:\Documents and Settings\testerek\Dane aplikacji\1C.exe (Trojan.Ransom.ANC) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
C:\Documents and Settings\testerek\Dane aplikacji\2.exe (Trojan.Ransom.ANC) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
C:\Documents and Settings\testerek\Dane aplikacji\3.exe (Trojan.Ransom.ANC) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
C:\Documents and Settings\testerek\Dane aplikacji\331.exe (Trojan.Ransom.ANC) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
C:\Documents and Settings\testerek\Dane aplikacji\37D.exe (Trojan.Ransom.ANC) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
C:\Documents and Settings\testerek\Dane aplikacji\3B9.exe (Trojan.Ransom.ANC) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
C:\Documents and Settings\testerek\Dane aplikacji\40E.exe (Trojan.Ransom.ANC) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
C:\Documents and Settings\testerek\Dane aplikacji\75.exe (Trojan.Ransom.ANC) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
C:\Documents and Settings\testerek\Dane aplikacji\9F.exe (Trojan.Ransom.ANC) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
C:\Documents and Settings\testerek\Dane aplikacji\A0.exe (Trojan.Ransom.ANC) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
C:\Documents and Settings\testerek\Dane aplikacji\A1.exe (Trojan.Ransom.ANC) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
C:\Documents and Settings\testerek\Dane aplikacji\A2.exe (Trojan.Ransom.ANC) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
C:\Documents and Settings\testerek\Dane aplikacji\A3.exe (Trojan.Ransom.ANC) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
C:\Documents and Settings\testerek\Dane aplikacji\A4.exe (Trojan.Ransom.ANC) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
C:\Documents and Settings\testerek\Dane aplikacji\A5.exe (Trojan.Ransom.ANC) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
C:\Documents and Settings\testerek\Dane aplikacji\A6.exe (Trojan.Ransom.ANC) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
C:\Documents and Settings\testerek\Dane aplikacji\A7.exe (Trojan.Ransom.ANC) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
C:\Documents and Settings\testerek\Dane aplikacji\A8.exe (Trojan.Ransom.ANC) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
C:\Documents and Settings\testerek\Dane aplikacji\D8.exe (Trojan.Ransom.ANC) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
C:\Documents and Settings\testerek\Dane aplikacji\F3.exe (Trojan.Ransom.ANC) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
C:\Documents and Settings\testerek\Dane aplikacji\F5.exe (Trojan.Ransom.ANC) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
C:\RECYCLER\S-1-5-21-1229272821-448539723-1801674531-1003\Dc74\Divine.exe (Backdoor.Hupigon) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
C:\RECYCLER\S-1-5-21-1229272821-448539723-1801674531-1003\Dc74\metin2.bin (Backdoor.Hupigon) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
C:\RECYCLER\S-1-5-21-1229272821-448539723-1801674531-1003\Dc74\metin2client.bin (RiskWare.Tool.CK) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
C:\Documents and Settings\testerek\Dane aplikacji\F4.exe (Trojan.Agent) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.

(zakończone)

< End of report >

LOG z OTL http://wklej.org/id/849677/ moze ktos cos poradzi czy format

[mateo8898]

Jaki format

Nie podałeś drugiego najważniejszego logu OTL.txt, uzupełnij.

Poza tym dorzuć brakujący log z Gmer otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967.html#p88736

[szyszka313]

prosze http://wklej.org/id/849825/ , znalazlo rokita mam to wylaczyc przez gmer

[mateo8898]

Nic nie wyłączaj. Zastosuj TDSSKiller otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967-15.html#p120292 i podaj raport (tylko nie zmieniaj domyślnych akcji)

No i uzupełnij ten log z OTL.

[szyszka313]

i jak txt zrobic z malware ktore to jest bo nie wiem

[szyszka313]

no ok ale tdss killer wykrywa to samo i nie usuwa ani do kwarantanny i dupa

[mateo8898]

i jak txt zrobic z malware ktore to jest bo nie wiem

Nie malware tylko OTL. Gdy robisz logi to pojawiają się dwa: OTL.txt i Extras.txt, Ty podałeś tylko ten drugi.

no ok ale tdss killer wykrywa to samo i nie usuwa ani do kwarantanny i dupa

Nie dupa tylko podaj raport

[szyszka313]

http://wklej.org/id/849839/

[mateo8898]

W takim razie trzeba sięgnąć po grubszy kaliber. Użyj ComboFix otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967.html#p73687 i podaj log z niego.

[szyszka313]

http://wklej.eu/index.php?id=76a333342f prosze

[szyszka313]

jeszcze raz otl i gmer ?

[mateo8898]

ComboFix usunął sporo syfu. Ale to nie koniec.

Uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:

:OTL

:Reg
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Rsgqgh"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Smapp"=-
"SunJavaUpdateSched"=-

:Files
c:\documents and settings\testerek\Dane aplikacji\Rsgqgh.exe
c:\program files\Common Files\ApnToolbarInstaller.exe
c:\program files\Common Files\ApnStub.exe

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Zatwierdź restart. Po restarcie pojawi się log z usuwania, który podajesz na forum. Następnie wykonaj nowe logi opcją Skanuj

[szyszka313]

http://wklej.eu/index.php?id=60f4877fb1

http://wklej.eu/index.php?id=a72c32771d

prosze mi napisac co jeszcze mam zrobic czy to juz wszystko, co te logi zawieraly tak mniej wiecej , co jest podem tego bledu m dos 16 bitowy

[mateo8898]

To jeszcze nie koniec.

Odinstaluj Web Optimizer. Następnie:

Wklej w OTL:

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\XDva397.sys -- (XDva397)
DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\SBREdrv.sys -- (SBRE)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\testerek\USTAWI~1\Temp\CFcatchme.sys -- (CFcatchme)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ComboFix\catchme.sys -- (catchme)
DRV - [2012-10-18 06:02:57 | 000,026,984 | ---- | M] (AVG Technologies) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avgtpx86.sys -- (avgtp)
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = http://search.minituner.org/
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://safesearchr.lavasoft.com/?source=3336ca5f&tbp=homepage&toolbarid=adawaretb&v=2_2&u=6FC16EB744038BBF3EFAC0507DD57AB5
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&affID=113480&tt=010812_906_cln_3112_7&babsrc=SP_ss&mntrId=4454e0c1000000000000000c6e7829e4
IE - HKCU\..\SearchScopes\{3BD44F0E-0596-4008-AEE0-45D47E3A8F0E}: "URL" = http://safesearchr.lavasoft.com/?source=3336ca5f&tbp=rbox&toolbarid=adawaretb&u=6FC16EB744038BBF3EFAC0507DD57AB5&q={searchTerms}
IE - HKCU\..\SearchScopes\{7F330E9A-5F9D-4044-A2E9-406FD4053E66}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=VD&o=14778&src=crm&q={searchTerms}&locale=&apn_ptnrs=VX&apn_dtid=YYYYYYFCPL&apn_uid=532D58CA-E3DB-4900-836A-ED3C2A1289CA&apn_sauid=00B6F4E9-B000-4FC5-AEB0-0FE5CA468061&
IE - HKCU\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = http://mystart.incredibar.com/mb139/?search={searchTerms}&loc=IB_DS&a=6PQz37FVJc&i=26
FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"
FF - prefs.js..browser.startup.homepage: "http://safesearchr.lavasoft.com/?source=3336ca5f&tbp=homepage&toolbarid=adawaretb&v=2_2&u=6FC16EB744038BBF3EFAC0507DD57AB5"
FF - prefs.js..browser.search.selectedEngine: "blekko"
FF - prefs.js..browser.startup.homepage: "http://safesearchr.lavasoft.com/?source=3336ca5f&tbp=homepage&toolbarid=adawaretb&v=2_2&u=6FC16EB744038BBF3EFAC0507DD57AB5"
FF - HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin: C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll File not found
FF - HKCU\Software\MozillaPlugins\vitzo.com/VDownloader: D:\VDownloader\Addons\npVDownloader.dll File not found
[2012-10-16 23:46:38 | 000,000,616 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\adawaretb.xml
O8 - Extra context menu item: Download with &Media Finder - C:\Program Files\Media Finder\hook.html File not found
O9 - Extra Button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe File not found
O9 - Extra 'Tools' menuitem : Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe File not found
[2012-10-18 15:42:26 | 000,188,416 | ---- | C] (Skype Technologies S.A.) -- C:\Documents and Settings\testerek\Dane aplikacji\Rsgqgh.exe
[2012-10-16 23:46:46 | 000,000,000 | ---D | C] -- C:\Documents and Settings\testerek\Ustawienia lokalne\Dane aplikacji\adawarebp
[2012-10-16 23:46:38 | 000,000,000 | ---D | C] -- C:\Documents and Settings\testerek\Dane aplikacji\blekko
[2012-10-16 23:45:49 | 000,000,000 | ---D | C] -- C:\Documents and Settings\testerek\Dane aplikacji\Ad-Aware Antivirus
[2012-10-16 23:50:02 | 000,000,000 | ---D | C] -- C:\Documents and Settings\testerek\Dane aplikacji\LavasoftStatistics
[2012-10-16 23:49:56 | 000,000,000 | ---D | C] -- C:\Documents and Settings\LocalService\Dane aplikacji\Ad-Aware Antivirus
[2012-10-16 23:49:22 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\Lavasoft
[2012-10-16 23:49:19 | 000,000,000 | ---D | C] -- C:\Program Files\Ad-Aware Antivirus
[2012-10-18 15:42:28 | 000,047,104 | ---- | M] () -- C:\Documents and Settings\testerek\Dane aplikacji\1F.exe
[2012-10-18 15:36:33 | 000,047,104 | ---- | M] () -- C:\Documents and Settings\testerek\Dane aplikacji\2.exe

Klikasz Wykonaj skrypt. Dajesz log z usuwania + nowe logi z OTL.

[szyszka313]

a co to jest web optimizer