Avast wykrywa malware i trojana

[jezierska]

Witam,
Od wczoraj Avast co 20 minut pokazuje mi komunikat o wykryciu Konia Trojańskiego i Malware-gen
Zarażone sa pliki w C:\Windows\Installer\ ale ja takiego folderu u siebie na kompie nie posiadam ;/
Wklejam log z OTL: Dostępne tylko dla zarejestrowanych użytkowników

proszę o pomoc!

[djarta]

1. Uruchom [url="http://jpshortstuff.247fixes.com/SystemLook.exe"]SystemLook[/url] i w oknie wklej:

:reg
HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s

:filefind
services.exe

Klik w Look. Przedstaw wynikowy skan.

2. Wklej log OTL.txt, bo wkleiłeś Extras.txt - do poprawy.

[jezierska]

Dzieny, wklejam:
OTL: Dostępne tylko dla zarejestrowanych użytkowników
System Look: Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

"{0E543634-7E25-4B8F-8D5B-97880E5E5088}" = Bonjour
"{18455581-E099-4BA8-BC6B-F34B2F06600C}" = Google Toolbar for Internet Explorer
"{03FCC0F4-0999-4D8A-BA8D-CC1CB87FCD9B}" = VAIO Care
"{21D1464A-1C54-451E-B780-3ECB3DF8BD4E}" = VAIO Content Monitoring Settings
"{40A66DF6-22D3-44B5-A7D3-83B118A2C0DC}" = Norton Online Backup
"{44E0DB64-566D-4126-82E6-206B4D76E902}" = VAIO Original Function Settings
"{57B955CE-B5D3-495D-AF1B-FAEE0540BFEF}" = VAIO Data Restore Tool
"{5BEE8F1F-BD32-4553-8107-500439E43BD7}" = VAIO Update 5
"{5DDAFB4B-C52E-468A-9E23-3B0CEEB671BF}" = VAIO Transfer Support
"{641DD10E-47E0-4A1D-B858-EF507F948C50}" = VAIO Hardware Diagnostics
"{6B1F20F2-6321-4669-A58C-33DF8E7517FF}" = VAIO Entertainment Platform
"{6FA8BA2C-052B-4072-B8E2-2302C268BE9E}" = VAIO Movie Story Template Data
"{72042FA6-5609-489F-A8EA-3C2DD650F667}" = VAIO Control Center
"{8DE50158-80AA-4FF2-9E9F-0A7C46F71FCD}" = VAIO Media plus
"{A7C30414-2382-4086-B0D6-01A88ABA21C3}" = VAIO Gate
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{C7477742-DDB4-43E5-AC8D-0259E1E661B1}" = VAIO Event Service
"McAfee Security Scan" = McAfee Security Scan Plus
"VAIO Help and Support" =
"VAIO Premium Partners" = VAIO Premium Partners
"VAIO screensaver" = VAIO screensaver
Wszystko od Windows Live

Odinstaluj to oprogramowanie za pomocą Revo Uninstaller`a w trybie zaawansowanym (po wcześniejszym zaznaczeniu w Nim opcji -> Pokazuj Elementy Systemowe) -> Dostępne tylko dla zarejestrowanych użytkowników.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

:Reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{70991E0A-1108-437E-BA7D-085702C670C0}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{96D0B6C6-5A72-4B47-8583-A87E55F5FE81}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\VAIO Help and Support]

:Commands
[emptyflash]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL (oba!) + log z TDSSKiller -> http://www.hotfix.pl/instrukcja-obslugi ... r-a341.htm.

[jezierska]

Wszystko odinstalowane w trybie zaawansowanym oprocz Bonjour, bo RevoUninstaller nie odnalazł tego programu

Jak wklejam ten skrypt do OTL to wyskakuje mi takie powiadomienie i automatycznie wyłącza się komputer:
Dostępne tylko dla zarejestrowanych użytkowników

Udało mi sie pozyskac logi z
OTL: Dostępne tylko dla zarejestrowanych użytkowników
TDSS Killer: Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

Jak wklejam ten skrypt do OTL to wyskakuje mi takie powiadomienie i automatycznie wyłącza się komputerJak wklejam ten skrypt do OTL to wyskakuje mi takie powiadomienie i automatycznie wyłącza się komputer

Spróbuj w trybie awaryjnym, a następnie ponownie wykonaj kolejne po tym instrukcje.

[jezierska]

Oki, zrobione:
OTL: Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
TDSSK: Dostępne tylko dla zarejestrowanych użytkowników

Podaję też dokładną nazwę i lokalizację wirusa (według Avasta)
Nazwa: 00000004.@
Lokalizacja: C:\Windows\Installer\6d75fc6e-9622-c237-9dea-da8e16670fe4}\U

[djarta]

1. Uruchom Dostępne tylko dla zarejestrowanych użytkowników i w oknie wklej:

Kod: Zaznacz cały

:reg
HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s

:filefind
services.exe

Klik w Look. Przedstaw wynikowy skan.

2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

:OTL
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.

:Files
C:\Windows\Installer\{6d75fc6e-9622-c237-9dea-da8e16670fe4}
netsh firewall reset /C
netsh winsock reset /C
C:\Windows\tasks\*.job

:Commands
[Reboot]

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

3. W panelu sterowania => dodaj lub usuń programy => wykonaj deinstalację tych śmieci: Google Toolbar for Internet Explorer

4. Użyj Dostępne tylko dla zarejestrowanych użytkowników z opcji Delete. Pokaż raport który się wyświetli w notatniku po restarcie albo znajdziesz go: C:\Clean.txt

5. Po wykonaniu tych czynnośći tworzysz ponownie logi z OTL. Ale przed wciśnięciem Skanuj zahaczykuj: Rejestr - skan dodatkowy - Użyj filtrowania. Potem wciskasz przycisk Skanuj.

Końcowo przedstawiasz logi z:

• Raport z usuwania OTL'em
• Raport z czyszczenia AdwCleanerem
• Nowe logi z OTL (OTL.txt + Extras.txt)

[jezierska]

Dzieny wielkie! Avast juz mi nic nie wykrywa
Oto logi:
system look: Dostępne tylko dla zarejestrowanych użytkowników
raport z usuwania OTL'em: Dostępne tylko dla zarejestrowanych użytkowników
raport z czyszczenia AdwCleanerem: Dostępne tylko dla zarejestrowanych użytkowników
nowe logi z OTL: OTL Dostępne tylko dla zarejestrowanych użytkowników
Extras: Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

MOD - [2009/07/14 03:15:51 | 000,232,448 | ---- | M] () -- \\.\globalroot\systemroot\syswow64\mswsock.dll
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000001 - mmswsock.dll File not found

Mamy tu rootkit`a ZeroAcces.

1. Usuń wszystkie punkty przywracania -> http://www.hotfix.pl/odchudzanie-system ... tm#restore.
Zastosuj Combofix -> http://www.hotfix.pl/articles.php?article_id=41.
2. Zastosuj TDSSKiller -> http://www.hotfix.pl/instrukcja-obslugi ... r-a341.htm. Zastosuj sugerowane akcje. Z niego również przedstaw raport.
3. Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {6A1806CD-94D4-4689-BA73-E35EA1EA9990}
IE:64bit: - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7
IE - HKLM\..\SearchScopes,DefaultScope = {6A1806CD-94D4-4689-BA73-E35EA1EA9990}
IE - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKCU\..\SearchScopes,DefaultScope = {6A1806CD-94D4-4689-BA73-E35EA1EA9990}
IE - HKCU\..\SearchScopes\{3149961E-D74F-49E7-B1BF-30B00569608F}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKCU\..\SearchScopes\{35A55570-97E1-4DDE-9710-1AE103AD9EB0}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&rf=sonyslices
IE - HKCU\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7&rlz=1I7SVED_pl
IE - HKCU\..\SearchScopes\{D5638AD4-EA2C-40F4-884B-0ADEC3DE6A2F}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_3_300_271.dll File not found
FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: File not found
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=14.0.8081.0709: C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll File not found
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files (x86)\Google\Update\1.3.21.115\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files (x86)\Google\Update\1.3.21.115\npGoogleUpdate3.dll (Google Inc.)
CHR - Extension: Vividas Player Plugin = C:\Users\Jezierska\AppData\Local\Google\Chrome\User Data\Default\Extensions\choofoanehnlponopnapopbnkeldllka\4.1\
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O9 - Extra Button: Blog This - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - Reg Error: Key error. File not found
O9 - Extra 'Tools' menuitem : &Blog This in Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - Reg Error: Key error. File not found
O16:64bit: - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} Dostępne tylko dla zarejestrowanych użytkowników (Java Plug-in 1.6.0_18)
O16:64bit: - DPF: {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} Dostępne tylko dla zarejestrowanych użytkowników (Java Plug-in 1.6.0_18)
O16:64bit: - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} Dostępne tylko dla zarejestrowanych użytkowników (Java Plug-in 1.6.0_18)

:Files
C:\Program Files (x86)\Google\Update
C:\Users\Jezierska\Desktop\revosetup.exe
C:\Users\Jezierska\Desktop\eav_nt64_plk.msi

:Commands
[emptyflash]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL + log z Autoruns -> http://www.hotfix.pl/optymalizacja-auto ... s-a128.htm.

[jezierska]

log Combofix: Dostępne tylko dla zarejestrowanych użytkowników
log TDSS Killer: Dostępne tylko dla zarejestrowanych użytkowników
log OTL z usuwania: Dostępne tylko dla zarejestrowanych użytkowników
log OTL: Dostępne tylko dla zarejestrowanych użytkowników
OTL Extras: Dostępne tylko dla zarejestrowanych użytkowników
log z Autoruns: Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

c:\windows\system32\Services.exe . . . jest zainfekowany!!

Wejdź w Start -> CMD -> z prawokliku Uruchom jako Administrator. Wklej komendę -> sfc /scanfile=C:\Windows\system32\services.exe -> restart. Następnie ponownie wejdź w Start -> CMD -> z prawokliku Uruchom jako Administrator. Wklej komendę -> findstr /c:"[SR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt -> otworzy się log, który podajesz nam. Następnie powtórz szukanie w SystemLook na warunek:

:filefind
services.exe

Autoruns.

W Autoruns odznacz, a następnie usuń (co się będzie dało):

HKLM\System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\StartupPrograms

rdpclip

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

IgfxTray
Persistence
RtHDVCpl

HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run

Adobe ARM
Adobe Reader Speed Launcher
IAStorIcon
iTunesHelper
QuickTime Task
SunJavaUpdateSched

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup

Bluetooth.lnk

HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components

Microsoft Windows

HKLM\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components

Microsoft Windows

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

swg

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Wszystko.

HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Wszystko.

HKLM\Software\Microsoft\Internet Explorer\Toolbar

Wszystko.

HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Toolbar

Wszystko.

HKLM\System\CurrentControlSet\Services

Apple Mobile Device
BITCOMET_HELPER_SERVICE
Bonjour Service
btwdins
cvhsvc
gupdate
gupdatem
gusvc
IAStorDataMgrSvc
iPod Service
LMS
ose
osppsvc
sftlist
sftvsa
SOHCImp
SOHDms
SOHDs
SpfService VAIO Entertainment
UNS
VcmIAlzMgr
VcmINSMgr
VcmXmlIfHelper
WinDefend
WMPNetworkSvc

HKLM\System\CurrentControlSet\Services

catchme

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

igfxcui

Bonjour.

Pobierz to -> http://www.hotfix.pl/infusions/pro_down ... r-p987.htm i wybierz w Nim opcję -> Repair Winsock.

Combofix.

Wejdź w START -> URUCHOM -> i wklej tam -> "c:\users\Jezierska\Desktop\ComboFix.exe" /uninstall .

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE - HKCU\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7&rlz=1I7SVED_pl

:Files
$RECYCLE.BIN /alldrives
C:\Windows\temp
C:\Qoobox
C:\Windows\erdnt
C:\Users\Jezierska\Desktop\TDSSKiller.exe
c:\users\Default\AppData\Local\temp

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]

:Commands
[emptyflash]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL.

[jezierska]

Po tych wszystkich czynnościach nie mogę połączyć sie z internetem - nie wykrywa mi automatycznie sieci i komp włącza się znacznie dłużej niż zwykle, nie działają programy do otwarzania filmów, a OTL zawiesza się i wyskakuje bład: "Win32 Error. Code 1717. Interfejs jest nieznany" - nie da sie zrobic Extras

LOGI:
SFC: Dostępne tylko dla zarejestrowanych użytkowników
System Look: Dostępne tylko dla zarejestrowanych użytkowników
OTL z usuwania: Dostępne tylko dla zarejestrowanych użytkowników
OTL: Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

Reasumacja.

Jaki masz najnowszy punkt przywracania?

[jezierska]

juz probowalam, nie moge zrobic przywracania systemu, wyskakuje mi blad, ze nie moge tego zrobic