Wirus w sterownikach - proszę o sprawdzenie loga

[patman]

Praktycznie przy każdym uruchomieniu systemu pojawia się komunikat avasta o wirusie (trojan, rootkit) w sterownikach.
Gorąco proszę o sprawdzenie loga.

HiJackThis: http://wklej.eu/index.php?id=8bbc1a9070

[mateo8898]

Uruchom HijackThis Do a system scan only w okienku programu pokaże się log zaznacz kratki przy podanych wpisach klikasz Fix checked

Kod: Zaznacz wszystko

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\NetworkService\vhsp.exe \s
O1 - Hosts: 209.85.225.99 msnfix.changelog.fr
O1 - Hosts: 209.85.225.99 www.incodesolutions.com
O1 - Hosts: 209.85.225.99 virusinfo.prevx.com
O1 - Hosts: 209.85.225.99 download.bleepingcomputer.com
O1 - Hosts: 209.85.225.99 www.dazhizhu.cn
O1 - Hosts: 209.85.225.99 foro.noticias3d.com
O1 - Hosts: 209.85.225.99 www.spybotupdates.com
O1 - Hosts: 209.85.225.99 club.myce.com
O1 - Hosts: 209.85.225.99 www.nabble.com
O1 - Hosts: 209.85.225.99 lurker.clamav.net
O1 - Hosts: 209.85.225.99 lexikon.ikarus.at
O1 - Hosts: 209.85.225.99 research.sunbelt-software.com
O1 - Hosts: 209.85.225.99 www.virusdoctor.jp
O1 - Hosts: 209.85.225.99 www.elitepvpers.de
O1 - Hosts: 209.85.225.99 guru.avg.com
O1 - Hosts: 209.85.225.99 downloads.sophos.com
O1 - Hosts: 209.85.225.99 www.superuser.co.kr
O1 - Hosts: 209.85.225.99 ntfaq.co.kr
O1 - Hosts: 209.85.225.99 v.dreamwiz.com
O1 - Hosts: 209.85.225.99 cit.kookmin.ac.kr
O1 - Hosts: 209.85.225.99 forums.whatthetech.com
O1 - Hosts: 209.85.225.99 forum.hijackthis.de
O1 - Hosts: 209.85.225.99 avg.vo.llnwd.net
O1 - Hosts: 209.85.225.99 ftp.drweb.com
O1 - Hosts: 209.85.225.99 www.zonealarm.com
O1 - Hosts: 209.85.225.99 www.huaifai.go.th
O1 - Hosts: 209.85.225.99 www.mostz.com
O1 - Hosts: 209.85.225.99 www.krupunmai.com
O1 - Hosts: 209.85.225.99 www.cddchiangmai.net
O1 - Hosts: 209.85.225.99 forum.malekal.com
O1 - Hosts: 209.85.225.99 tech.pantip.com
O1 - Hosts: 209.85.225.99 sapcupgrades.com
O1 - Hosts: 209.85.225.99 www.elguruinformatico.com
O1 - Hosts: 209.85.225.99 www.247fixes.com
O1 - Hosts: 209.85.225.99 forum.sysinternals.com
O1 - Hosts: 209.85.225.99 forum.telecharger.01net.com
O1 - Hosts: 209.85.225.99 sophos.com
O1 - Hosts: 209.85.225.99 foros.softonic.com
O1 - Hosts: 209.85.225.99 avast-home.uptodown.com
O1 - Hosts: 209.85.225.99 dr-web-cureit.softonic.com
O1 - Hosts: 209.85.225.99 heavenward.ru
O1 - Hosts: 209.85.225.99 www.f-secure.com
O1 - Hosts: 209.85.225.99 www.chkrootkit.org
O1 - Hosts: 209.85.225.99 diamondcs.com.au
O1 - Hosts: 209.85.225.99 www.rootkit.nl
O1 - Hosts: 209.85.225.99 www.sysinternals.com
O1 - Hosts: 209.85.225.99 z-oleg.com
O1 - Hosts: 209.85.225.99 espanol.dir.groups.yahoo.com
O1 - Hosts: 209.85.225.99 ftp01net.telechargement.fr
O1 - Hosts: 209.85.225.99 www.castlecrops.com
O1 - Hosts: 209.85.225.99 www.misec.net
O1 - Hosts: 209.85.225.99 safecomputing.umn.edu
O1 - Hosts: 209.85.225.99 www.antirootkit.com
O1 - Hosts: 209.85.225.99 www.greatis.com
O1 - Hosts: 209.85.225.99 ar.answers.yahoo.com
O1 - Hosts: 209.85.225.99 www.elhacker.org
O1 - Hosts: 209.85.225.99 research.pandasecurity.com
O1 - Hosts: 209.85.225.99 www.rootkit.com
O1 - Hosts: 209.85.225.99 www.pctools.com
O1 - Hosts: 209.85.225.99 www.pcsupportadvisor.com
O1 - Hosts: 209.85.225.99 www.resplendence.com
O1 - Hosts: 209.85.225.99 www.personal.psu.edu
O1 - Hosts: 209.85.225.99 foro.ethek.com
O1 - Hosts: 209.85.225.99 foro.elhacker.net
O1 - Hosts: 209.85.225.99 download.zonealarm.com
O1 - Hosts: 209.85.225.99 vil.nail.com
O1 - Hosts: 209.85.225.99 search.mcafee.com
O1 - Hosts: 209.85.225.99 wwww.mcafee.com
O1 - Hosts: 209.85.225.99 download.nai.com
O1 - Hosts: 209.85.225.99 wwww.experts-exchange.com
O1 - Hosts: 209.85.225.99 www.bakunos.com
O1 - Hosts: 209.85.225.99 www.darkclockers.com
O1 - Hosts: 209.85.225.99 www2.gmer.net
O1 - Hosts: 209.85.225.99 ariefew.com
O1 - Hosts: 209.85.225.99 www.Merijn.org
O1 - Hosts: 209.85.225.99 www.spywareinfo.com
O1 - Hosts: 209.85.225.99 www.spybot.info
O1 - Hosts: 209.85.225.99 www.viruslist.com
O1 - Hosts: 209.85.225.99 www.hijackthis.de
O1 - Hosts: 209.85.225.99 ftp.f-secure.com
O1 - Hosts: 209.85.225.99 forum.kaspersky.com
O1 - Hosts: 209.85.225.99 es.trendmicro-europe.com
O1 - Hosts: 209.85.225.99 www.hvaonline.net
O1 - Hosts: 209.85.225.99 majorgeeks.com
O1 - Hosts: 209.85.225.99 www.avp.com
O1 - Hosts: 209.85.225.99 www.virustotal.com
O1 - Hosts: 209.85.225.99 www.sophos.com
O1 - Hosts: 209.85.225.99 linhadefensiva.uol.com.br
O1 - Hosts: 209.85.225.99 cmmings.cn
O1 - Hosts: 209.85.225.99 www.sergiwa.com
O1 - Hosts: 209.85.225.99 www.el-hacker.com
O1 - Hosts: 209.85.225.99 dl2.agnitum.com
O1 - Hosts: 209.85.225.99 forum.smadav.net
O1 - Hosts: 209.85.225.99 www.avg-antivirus.net
O1 - Hosts: 209.85.225.99 www.kaspersky-labs.com
O1 - Hosts: 209.85.225.99 www.kaspersky.com
O1 - Hosts: 209.85.225.99 www.bleepingcomputer.com
O1 - Hosts: 209.85.225.99 www.free.grisoft.com
O1 - Hosts: 209.85.225.99 alerta-antivirus.inteco.es
O1 - Hosts: 209.85.225.99 greatis.com
O1 - Hosts: 209.85.225.99 www.oprekpc.com
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SMSERIAL] C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Startup: Tworzenie wycinków ekranu i uruchamianie programu OneNote 2007.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE

Pobierz The Avenger w pole Input script here wklej poniższy tekst:

Kod: Zaznacz wszystko

Files to delete:
C:\Documents and Settings\NetworkService\vhsp.exe

klikasz Execute Potwierdzasz i zgadzasz się na restart klikając OK.
Po wykonaniu wklej raport na forum C:\avenger.txt

Następnie podaj logi z: OTL, GMER oraz System Repair Engineer

W razie problemów z pobraniem masz tu alternatywne linki do narzędzi:
OTL http://hotfile.com/dl/20562307/457f15c/OTL.exe.html
GMER http://hotfile.com/dl/20562337/129666c/gmer.zip.html
Avenger http://hotfile.com/dl/20562396/32560ce/avenger.zip.html
SREng http://hotfile.com/dl/21168840/978c352/sreng2.zip.html

[patman]

Avenger: http://wklej.eu/index.php?id=1f7871d7b0

Następnie logi:
OTL: http://wklej.eu/index.php?id=6250634afe
OTL extras: http://wklej.eu/index.php?id=e21991c9a1
GMER: http://wklej.eu/index.php?id=f2632fb967
System Repair Engineer: http://wklej.eu/index.php?id=b4e7a64cce

Dziękuje za szybką odpowiedź. Czekam na dalsze instrukcje.

[mateo8898]

Uruchom OTL w oknie Custom Scans/Fixes wklej:

:OTL
PRC - [2008-04-14 21:51:18 | 01,035,264 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
SRV - [2001-10-26 18:30:00 | 00,003,584 | ---- | M] (Microsoft Corporation) [Auto | Stopped] -- C:\WINDOWS\System32\regedt32.exe -- (NOD32FiXTemDono)
O27 - HKLM IFEO\ctfmon.exe: Debugger - wmisrdp.exe File not found

:Files
C:\WINDOWS\system32\wmisrdp.exe
C:\WINDOWS\system32\wmirpcw.exe
C:\resycled
D:\resycled
C:\Avenger

:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\WINDOWS\system32\wmirpcw.exe"=-
"C:\WINDOWS\system32\wmisrdp.exe"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

:Commands
[emptytemp]
[resethosts]
[start explorer]
[reboot]

Klikasz Run Fix.

Do Avengera wklej:

Kod: Zaznacz wszystko

Files to delete:
C:\WINDOWS\System32\Drivers\csqltogn.sys
C:\WINDOWS\System32\Drivers\htarmfkl.sys
C:\WINDOWS\System32\Drivers\ikoubhpn.sys
C:\WINDOWS\System32\Drivers\mbavdqxf.sys
C:\WINDOWS\System32\Drivers\mpadwutb.sys
C:\WINDOWS\System32\Drivers\msimiobe.sys
C:\WINDOWS\System32\Drivers\nujylikg.sys
C:\WINDOWS\System32\Drivers\phxdzmxg.sys
C:\WINDOWS\System32\Drivers\swggdkuh.sys
C:\WINDOWS\System32\Drivers\wgtqivmx.sys
C:\WINDOWS\System32\Drivers\woqxqegq.sys
C:\WINDOWS\System32\Drivers\yopmjzcp.sys
C:\WINDOWS\System32\Drivers\zcmuqtac.sys
C:\WINDOWS\System32\Drivers\zdkrjfqd.sys

Drivers to delete:
csqltogn
htarmfk
ikoubhpn
mbavdqxf
mpadwutb
msimiobe
nujylikg
phxdzmxg
swggdkuh
wgtqivmx
woqxqegq
yopmjzcp
zcmuqtac
zdkrjfqd

klikasz Execute Potwierdzasz i zgadzasz się na restart klikając OK.
Po wykonaniu wklej raport na forum C:\avenger.txt

Następnie dajesz nowe logi z OTL i SREng

[patman]

Zrobione.

Avenger: http://wklej.eu/index.php?id=93f23d49bf

Nowe logi
OTL: http://wklej.eu/index.php?id=4db6a236ad
SREng: http://wklej.eu/index.php?id=e17a0a71ee

Czekam na dalsze instrukcje.

[mateo8898]

Jeszcze mała poprawka.
Uruchom OTL w oknie Custom Scans/Fixes wklej:

:OTL
O4 - HKLM..\Run: [PCSuiteTrayApplication] File not found
O4 - HKLM..\Run: [Adobe Reader Speed Launcher] File not found

Klikasz Run Fix

Do Avengera wklej:

Kod: Zaznacz wszystko

Drivers to delete:
htarmfkl

klikasz Execute Potwierdzasz i zgadzasz się na restart klikając OK.
Po wykonaniu wklej raport na forum C:\avenger.txt

Następnie nowy log z SREng.
Sprawdź również, czy w folderze C:\WINDOWS\System32 znajduje się plik CTFMON.EXE

[patman]

Avenger: http://wklej.eu/index.php?id=f2c1fab05f
System Repair Engineer: http://wklej.eu/index.php?id=7dbdb3380b

Pliku CTFMON.EXE nie ma.

[mateo8898]

Ok, nic więcej nie widzę. Pobierz ten plik CTFMON.EXE http://hotfile.com/dl/21242336/7b9e158/ctfmon.exe.html i wrzuć do folderu C:\WINDOWS\System32

W OTL kliknij CleanUp

Przeczyść dysk oraz rejestr CCleaner

Wyłącz i włącz przywracanie systemu na wszystkich dyskach Instrukcja

Wykonaj pełne skanowanie Malwarebytes' Anti-Malware - jeśli coś znajdzie usuń i daj raport

[patman]

Nie mam dostępnej opcji przywracania systemu, przypuszczam, że w ogóle nie jest zainstalowana.

Wyniki skanowania Malwarebytes' Anti-Malware: http://wklej.eu/index.php?id=e34077e558

[mateo8898]

Ok, możesz opróżnić jeszcze kwarantannę Malwarebytes

[patman]

Dziękuje, jesteś wielki.