Svchost.exe koń trojański

[Michal1]

Witam.
Wlaczajac komputer za kazdym razem nod32 wykrywa wirusa, konkretnie:
Pamięć operacyjna » C:\WINDOWS\system32\svchost.exe
odmiana zagrożenia Win32/Agent.OBA koń trojański, nie można wyleczyć.
Prosilbym o pomoc w pozbyciu sie tego czegos.

[kominekl]

Witam.
Wlaczajac komputer za kazdym razem nod32 wykrywa wirusa, konkretnie:
Pamięć operacyjna » C:\WINDOWS\system32\svchost.exe
odmiana zagrożenia Win32/Agent.OBA koń trojański, nie można wyleczyć.
Prosilbym o pomoc w pozbyciu sie tego czegos.

Zapraszam -> bezpieczenstwo/regulamin-bezpiecze-stwa-t19001.html.

[Michal1]

LOGI OTL:
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

LOGI GMER:
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

"InstallShield_{758C8301-2696-4855-AF45-534B1200980A}" = Samsung Kies
"UnityWebPlayer" = Unity Web Player

Odinstaluj to oprogramowanie.

O33 - MountPoints2\{3b9bcec4-5eb5-11df-8b7d-004f6a012bff}\Shell - "" = AutoRun
O33 - MountPoints2\{3b9bcec4-5eb5-11df-8b7d-004f6a012bff}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL laqIg.Exe

Z podłączonymi pamięciami przenośnymi użyj USBFix z opcji Delete -> http://www.hotfix.pl/uzytkowanie-progra ... x-a310.htm.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

DRV - File not found [Kernel | Disabled | Stopped] -- C:\WINDOWS\\SystemRoot\System32\Drivers\sptd.sys -- (sptd)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\mbamswissarmy.sys -- (MBAMSwissArmy)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleXNt.sys -- (EagleXNt)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleNT.sys -- (EagleNT)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\sXe Injected\ddsxei.sys -- (ddsxeiservice)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\DXG014W2.sys -- (DCamUSBDXG014)
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src={referrer:source?}
IE - HKU\S-1-5-21-725345543-1214440339-2146968213-500\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src={referrer:source?}
IE - HKU\S-1-5-21-725345543-1214440339-2146968213-500\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB9}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKU\S-1-5-21-725345543-1214440339-2146968213-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
FF - HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin: C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll File not found
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found
FF - HKCU\Software\MozillaPlugins\@unity3d.com/UnityPlayer,version=1.0: C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Unity\WebPlayer\loader\npUnity3D32.dll (Unity Technologies ApS)
O4 - HKU\.DEFAULT..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found
O4 - HKU\S-1-5-18..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found
O4 - HKU\S-1-5-19..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found
O4 - HKU\S-1-5-20..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found
O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} Dostępne tylko dla zarejestrowanych użytkowników (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} Dostępne tylko dla zarejestrowanych użytkowników (Reg Error: Key error.)
O20 - Winlogon\Notify\dimsntfy: DllName - (Reg Error: Value error.) - Reg Error: Value error. File not found
@Alternate Data Stream - 807433 bytes -> C:\WINDOWS\Temp:temp

:Files
C:\WINDOWS\tasks\*.*
C:\WINDOWS\MusiccityDownload.exe
C:\Documents and Settings\Administrator\Dane aplikacji\AgerWebEdytor
C:\Documents and Settings\Administrator\Dane aplikacji\Samsung
C:\Documents and Settings\Administrator\Dane aplikacji\Temp
C:\Documents and Settings\Administrator\Dane aplikacji\Unity
C:\Documents and Settings\All Users\Dane aplikacji\Samsung
C:\Documents and Settings\All Users\Dane aplikacji\Temp

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

:Commands
[resethosts]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z ADWCleaner (z opcji Delete) -> Dostępne tylko dla zarejestrowanych użytkowników + nowe logi z OTL.

[Michal1]

Log z usuwania OTL
Dostępne tylko dla zarejestrowanych użytkowników

Log z AdwCleaner
Dostępne tylko dla zarejestrowanych użytkowników

Nowe logi z OTL
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

USBFix.

Po użyciu funkcji wyskoczył log, podaj Go. Znajduje się na dysku C:\USBFix.txt .

[Michal1]

Log z USBFix
Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

USBFix.

Uninstall.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

DRV - File not found [Kernel | Disabled | Unknown] -- C:\WINDOWS\\SystemRoot\System32\Drivers\sptd.sys -- (sptd)
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search bar = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = Reg Error: Value error.
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-725345543-1214440339-2146968213-500\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-725345543-1214440339-2146968213-500\..\SearchScopes\${searchCLSID}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src={referrer:source?}
IE - HKU\S-1-5-21-725345543-1214440339-2146968213-500\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
O4 - HKU\S-1-5-21-725345543-1214440339-2146968213-500..\Run: [KiesPDLR] E:\Programy\Kies\External\FirmwareUpdate\KiesPDLR.exe File not found
[2012-12-15 17:40:16 | 000,000,000 | ---D | C] -- C:\UsbFix
[2012-12-15 17:36:17 | 001,257,293 | ---- | C] (El Desaparecido) -- C:\Documents and Settings\Administrator\Pulpit\UsbFix.exe
[2012-12-15 08:04:21 | 000,302,592 | ---- | M] () -- C:\Documents and Settings\Administrator\Pulpit\qrwk29uk.exe

:Files
C:\WINDOWS\tasks\*.*
RECYCLER /alldrives
C:\temp
C:\UsbFix.txt
E:\Config.Msi
C:\Config.Msi
C:\Documents and Settings\Administrator\Dane aplikacji\Azureus
C:\Documents and Settings\Administrator\Dane aplikacji\DAEMON Tools Pro
C:\Documents and Settings\Administrator\Dane aplikacji\DAEMON Tools Lite
C:\Documents and Settings\Administrator\Dane aplikacji\DAEMON Tools
C:\Documents and Settings\Administrator\Dane aplikacji\Cream Software
C:\Documents and Settings\Administrator\Dane aplikacji\Image-Line
C:\Documents and Settings\Administrator\Dane aplikacji\Octoshape
C:\Documents and Settings\Administrator\Dane aplikacji\Publish Providers
C:\Documents and Settings\Administrator\Dane aplikacji\Sony
C:\Documents and Settings\All Users\Dane aplikacji\Azureus
C:\Documents and Settings\All Users\Dane aplikacji\BVRP Software
C:\Documents and Settings\All Users\Dane aplikacji\Codemasters
C:\Documents and Settings\All Users\Dane aplikacji\DAEMON Tools Lite
C:\Documents and Settings\All Users\Dane aplikacji\Test Drive Unlimited

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL + log z Autoruns -> http://www.hotfix.pl/optymalizacja-auto ... s-a128.htm.

[Michal1]

Podczas wykonywania skryptu OTL wiesza sie w takim momencie:
Dostępne tylko dla zarejestrowanych użytkowników


Log z AutoRuns
Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

Podczas wykonywania skryptu OTL wiesza sie w takim momencie:

Spróbuj w trybie awaryjnym, a następnie dorzuć nowy log z Autoruns.

[Michal1]

Log z usuwania OTL
Dostępne tylko dla zarejestrowanych użytkowników

Nowe logi OTL
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

Nowy log AutoRuns
Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

Autoruns.

W Autoruns odznacz, a następnie usuń (co się będzie dało):

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Adobe ARM
Alcmtr
APSDaemon
BrStsMon00
ControlCenter3
Gainward
NvCplDaemon
QuickTime Task
RTHDCPL
SkyTel
Sony Ericsson PC Suite

C:\Documents and Settings\Administrator\Menu Start\Programy\Autostart

Tworzenie wycinków ekranu i uruchamianie programu OneNote 2007.lnk

HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components

Wszystko.

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Wszystko.

HKCU\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components

Wszystko.

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Wszystko.

HKLM\Software\Microsoft\Internet Explorer\Extensions

Wszystko.

HKLM\System\CurrentControlSet\Services

BrYNSvc
FLEXnet Licensing Service
IDriverT
InCDsrv
JavaQuickStarterService
LightScribeService
MDM
Microsoft Office Groove Audit Service
NBService
nvsvc
odserv
ose
PnkBstrA
wampapache
wampmysqld
WMPNetworkSvc

HKLM\System\CurrentControlSet\Services

Wszystko z frazą -> File Not Found.

Logi.

Następnie podajesz nowe logi z OTL.

[Michal1]

To co się dało usunąłem,
Logi OTL:
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE - HKU\S-1-5-21-725345543-1214440339-2146968213-500\..\SearchScopes\${searchCLSID}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src={referrer:source?}
O2 - BHO: (no name) - AutorunsDisabled - No CLSID value found.

:Files
RECYCLER /alldrives
C:\WINDOWS\tasks\*.*
C:\Documents and Settings\Administrator\Moje dokumenty\AutoRuns.rar
C:\Documents and Settings\Administrator\Moje dokumenty\AutoRuns.arn

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie w OTL -> Sprzątanie.

Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation

Zainstaluj SP3 -> Dostępne tylko dla zarejestrowanych użytkowników.

Internet Explorer (Version = 7.0.5730.11)

Zaktualizuj IE do najnowszej wersji (nawet, jeśli Go nie używasz) -> Dostępne tylko dla zarejestrowanych użytkowników.

"{26A24AE4-039D-4CA4-87B4-2F83216012FF}" = Java(TM) 6 Update 15
"{3248F0A8-6813-11D6-A77B-00B0D0160020}" = Java(TM) 6 Update 2

Odinstaluj i zainstaluj najnowszą wersję -> Dostępne tylko dla zarejestrowanych użytkowników.

Kroki Finalizujące.

Przeczyść dysk i rejestr CCleaner`em -> Dostępne tylko dla zarejestrowanych użytkowników.
Wykonaj pełne skanowanie Malwarebytes`em Anti-Malware (nie gódź się na wersję testową) -> Dostępne tylko dla zarejestrowanych użytkowników, jeśli coś znajdzie usuń i daj raport.

[Michal1]

Ok zrobione,
Log z usuwania OTL:
Dostępne tylko dla zarejestrowanych użytkowników

Log Malwarebytes Anti-Malware (czysto)
Dostępne tylko dla zarejestrowanych użytkowników