Prosze o sprawdzenie logow - trojany

[naitsyrk]

Na poczatku padlo prawie wszystko a potem wlaczyl mi sie jakos podejrzany Security Tool z podejrzanymi pytaniami.Musialem przejsc na safe mode i tam malvaresBytes znalazl az osiem infekcji co usunal.jednak Hjack w logu tez cos ma-sprawdzalem na stronie hjacka.
Oto Logi:

HiJackthis
http://www.wklej.eu/index.php?id=bf16de5006

OTL
http://www.wklej.eu/index.php?id=79476577e4

z gory dziekuje

[mateo8898]

Odinstaluj Winamp Toolbar

Pobierz LspFix http://cybertrash.pl/images/tata/LspFix ... ckFix.html
Przenieś w nim plik lspyld.dll z okienka Keep do Remove, kliknij Finish i zrestartuj kompa.
Następnie:
Uruchom HijackThis Do a system scan only w okienku programu pokaże się log zaznacz kratki przy podanych wpisach klikasz Fix checked

Kod: Zaznacz wszystko

F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe pqrs.tmo printer
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)

W OTL wklej:

:OTL
PRC - [2008/04/14 00:12:19 | 01,033,728 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\Explorer.exe
PRC - [2009/10/29 17:50:15 | 00,023,552 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\Temp\wpv461255703227.exe
SRV - File not found -- -- (LiveUpdate [On_Demand | Stopped])
SRV - File not found -- -- (ccSetMgr [Auto | Stopped])
SRV - File not found -- -- (ccPwdSvc [On_Demand | Stopped])
SRV - File not found -- -- (ccEvtMgr [Auto | Stopped])
SRV - File not found -- -- (Automatic LiveUpdate Scheduler [Auto | Stopped])
O3 - HKU\S-1-5-21-3944068723-2271663720-3401081952-1006\..\Toolbar\ShellBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\S-1-5-21-3944068723-2271663720-3401081952-1006\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.
O3 - HKU\S-1-5-21-3944068723-2271663720-3401081952-1006\..\Toolbar\WebBrowser: (no name) - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No CLSID value found.
O3 - HKU\S-1-5-21-3944068723-2271663720-3401081952-1006\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\S-1-5-21-3944068723-2271663720-3401081952-1006\..\Toolbar\WebBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.
O3 - HKU\S-1-5-21-3944068723-2271663720-3401081952-1006\..\Toolbar\WebBrowser: (no name) - {724D43A0-0D85-11D4-9908-00400523E39A} - No CLSID value found.
O4 - HKLM..\Run: [Nbifelozuge] C:\WINDOWS\ezigotan.DLL ()
O4 - HKLM..\Run: [sysgif32] C:\WINDOWS\Temp\wpv461255703227.exe (Microsoft Corporation)
O4 - Startup: C:\Documents and Settings\yez\Start Menu\Programs\Startup\zavupd32.exe (INV Softworks)
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - Reg Error: Value error. File not found
O20 - HKLM Winlogon: Shell - (rundll32.exe) - File not found
O20 - HKLM Winlogon: Shell - (pqrs.tmo) - C:\WINDOWS\System32\pqrs.tmo ()
O20 - HKLM Winlogon: Shell - (printer) - File not found
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\sdra64.exe) - C:\WINDOWS\System32\sdra64.exe ()
O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - CLSID or File not found.

:Files
C:\WINDOWS\Temp
C:\WINDOWS\system32\sdra64.exe
C:\Documents and Settings\yez\Start Menu\Programs\Startup\zavupd32.exe
C:\WINDOWS\System32\pqrs.tmo
C:\WINDOWS\tasks\AppleSoftwareUpdate.job
C:\WINDOWS\System32\lspyld.dll

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

:Commands
[emptytemp]
[start explorer]
[Reboot]

Klikasz Run Fix. Dajesz log z usuwania + nowy log z OTL + log z GMER

Kolejność jak podałem

[naitsyrk]

Zrobione,a oto logi :

Z usuwania:
http://www.wklej.eu/index.php?id=ced616b3fb

Nowy OTL:
http://www.wklej.eu/index.php?id=1241ad5206

GMER:
http://www.wklej.eu/index.php?id=8f2b6a01d6

[mateo8898]

W OTL wklej:

:OTL
PRC - [2008/04/14 00:12:19 | 01,033,728 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\Explorer.EXE
PRC - [2009/10/30 13:27:30 | 00,294,912 | ---- | M] () -- C:\WINDOWS\System32\qtplugin.exe
O2 - BHO: (no name) - {c9d8201c-1431-9077-4090-b26f8447b27a} - C:\WINDOWS\ezigotan.dll File not found
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {ED4BD629-C1B6-4399-8A34-02CCAA921DC9} - No CLSID value found.
FF - prefs.js..browser.search.defaultenginename: "Winamp Search"
FF - prefs.js..browser.search.defaulturl: "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampie7&query="
FF - prefs.js..keyword.URL: "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampab&query="
O4 - HKLM..\Run: [RegistryMonitor1] C:\WINDOWS\System32\qtplugin.exe ()
O4 - HKCU..\Run: [RegistryMonitor1] C:\WINDOWS\System32\qtplugin.exe ()
[2009/06/03 23:03:57 | 00,001,196 | ---- | M] () -- C:\Documents and Settings\yez\Application Data\Mozilla\FireFox\Profiles\d24i0r4x.default\searchplugins\winamp-search.xml
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\sdra64.exe) - C:\WINDOWS\System32\sdra64.exe ()

:Files
C:\WINDOWS\System32\qtplugin.exe
C:\Documents and Settings\yez\Application Data\Mozilla\FireFox\Profiles\d24i0r4x.default\searchplugins\winamp-search.xml
C:\WINDOWS\Csubinaso.bin
C:\WINDOWS\Aderabobitu.dat
C:\WINDOWS\System32\sdra64.exe

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

:Commands
[emptytemp]
[start explorer]
[Reboot]

Klikasz Run Fix. Dajesz log z usuwania + nowy log z OTL

[naitsyrk]

Zrobione

Log z usuwania:
http://www.wklej.eu/index.php?id=842f252cd6

Nowy OTL;
http://www.wklej.eu/index.php?id=59460d1eca

[mateo8898]

No co za dziadostwo. Pobierz Combofix, ale nie uruchamiaj. Wklej do notatnika:

Kod: Zaznacz wszystko

File::
C:\WINDOWS\System32\sdra64.exe

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

Plik zapisz jako CFScript.txt
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe


Rozpocznie się usuwanie i powstanie log, który dajesz na forum.

[naitsyrk]

log ComboFix:
http://www.wklej.eu/index.php?id=ffa5ed0501

[mateo8898]

W końcu zeszło.

W OTL kliknij CleanUp

Przeczyść dysk oraz rejestr CCleaner

Wyłącz i włącz przywracanie systemu na wszystkich dyskach Instrukcja

Wykonaj pełne skanowanie Malwarebytes' Anti-Malware - jeśli coś znajdzie usuń i daj raport

[naitsyrk]

Zrobione,a jednak cos tam jeszcze znalazlo,oczywiscie usuniete.
A oto log:
http://www.wklej.eu/index.php?id=892c5bc811

[mateo8898]

Skoro usunięte to powinno być ok

[naitsyrk]

wielkie dzieki