Svchost.exe - koń trojański

[sb2004]

Witam. Co jakiś czas nod32 pokazuje mi komunikat:

2013-05-01 21:22:43 Skaner przy uruchamianiu plik Pamięć operacyjna » svchost.exe(940) odmiana zagrożenia Win32/Wigon koń trojański nie można wyleczyć

2013-04-30 23:58:59 Skaner przy uruchamianiu plik Pamięć operacyjna » svchost.exe(948) odmiana zagrożenia Win32/Wigon koń trojański nie można wyleczyć FH-1867E75501F9\FH

2013-04-30 14:31:44 Skaner przy uruchamianiu plik Pamięć operacyjna » svchost.exe(952) odmiana zagrożenia Win32/Wigon koń trojański nie można wyleczyć

2013-04-24 16:26:28 Skaner przy uruchamianiu plik Pamięć operacyjna » svchost.exe(944) odmiana zagrożenia Win32/Wigon koń trojański nie można wyleczyć

I dodatkowo systematycznie pojawiają się komunikaty - zmieniają się tylko cyferki i literki przy BN w plikach .tmp:

2013-05-02 20:51:19 Ochrona systemu plików w czasie rzeczywistym plik C:\WINDOWS\TEMP\BN4A.tmp odmiana zagrożenia Win32/Injector.ADYX koń trojański wyleczony przez usunięcie - poddany kwarantannie ZARZĄDZANIE NT\SYSTEM Zdarzenie wystąpiło podczas modyfikowania pliku przez aplikację: C:\WINDOWS\system32\svchost.exe.

2013-05-02 18:59:10 Ochrona systemu plików w czasie rzeczywistym plik C:\WINDOWS\TEMP\BN7.tmp odmiana zagrożenia Win32/Injector.ADYX koń trojański wyleczony przez usunięcie - poddany kwarantannie ZARZĄDZANIE NT\SYSTEM Zdarzenie wystąpiło podczas modyfikowania pliku przez aplikację: C:\WINDOWS\system32\svchost.exe.

Nie wiem kompletnie jak sobie z tym poradzić, proszę Was o pomoc.

Logi OTL:
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

GMER:
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

"Avast_2050_ZeNiX [2012-06-29]_is1" = Avast License by ZeNiX [2012-06-29]
"BitTorrentControl_v12 Toolbar" = BitTorrentControl_v12 Toolbar
"Spotify" = Spotify
"Wincore MediaBar" = Wincore MediaBar
"Update Engine" = Sony Ericsson Update Engine

Odinstaluj.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbmdm.sys -- (hwdatacard)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\CtClsFlt.sys -- (CtClsFlt)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\SystemRequirementsLab\cpudrv.sys -- (cpudrv)
IE - HKLM\..\SearchScopes,DefaultScope = {9BB47C17-9C68-4BB3-B188-DD9AF0FD22}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src={referrer:source?}
IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD22}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKU\S-1-5-21-484763869-515967899-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-484763869-515967899-839522115-1003\..\URLSearchHook: {b6ac5e3c-5ceb-4e72-b451-f0e1ba983c14} - C:\Program Files\BitTorrentControl_v12\prxtbBit0.dll (Conduit Ltd.)
IE - HKU\S-1-5-21-484763869-515967899-839522115-1003\..\SearchScopes,DefaultScope = {9BB47C17-9C68-4BB3-B188-DD9AF0FD22}
IE - HKU\S-1-5-21-484763869-515967899-839522115-1003\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKU\S-1-5-21-484763869-515967899-839522115-1003\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD22}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKU\S-1-5-21-484763869-515967899-839522115-1003\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&SearchSource=4&ctid=CT3225826
FF - prefs.js..browser.startup.homepage: "http://search.bearshare.net"
FF - prefs.js..keyword.URL: "http://dts.search-results.com/sr?src=ffb&appid=20&systemid=2&sr=0&q="
[2012-11-25 17:00:34 | 000,010,043 | ---- | M] () (No name found) -- C:\Documents and Settings\FH\Dane aplikacji\Mozilla\Firefox\Profiles\fkznuyq1.default\extensions\IplextoALL@ALLPlayer.org.xpi
CHR - Extension: No name found = C:\Documents and Settings\FH\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo\4.2.5_0\
CHR - Extension: No name found = C:\Documents and Settings\FH\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf\0.0.0.19_0\
CHR - Extension: No name found = C:\Documents and Settings\FH\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\dlmjhdpjmamellfhclijappmpedhfahg\1.0.5.1_0\
CHR - Extension: No name found = C:\Documents and Settings\FH\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\gmgjhcokclngghkncjakaigpjhfhpoek\2_0\
CHR - Extension: No name found = C:\Documents and Settings\FH\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\haebnnbpedcbhciplfhjjkbafijpncjl\1.1.2_0\
CHR - Extension: No name found = C:\Documents and Settings\FH\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\icmlaeflemplmjndnaapfdbbnpncnbda\7.0.1474_0\
CHR - Extension: No name found = C:\Documents and Settings\FH\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\nneajnkjbffgblleaoojgaacokifdkhm\2.1.2.145_0\
CHR - Extension: No name found = C:\Documents and Settings\FH\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia\7_0\
CHR - Extension: No name found = C:\Documents and Settings\FH\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\pmcdjmebmeoobmdghjbjhbifoocbcmaj\1_0\
O2 - BHO: (DataMngr) - {B939CF93-F2CB-443d-956C-DC523D85C9DB} - Reg Error: Value error. File not found
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O4 - HKLM..\Run: [StormCodec_Helper] "C:\Program Files\Ringz Studio\Storm Codec\StormSet.exe" /S /opti File not found
O4 - HKU\S-1-5-21-484763869-515967899-839522115-1003..\Run: [ALLUpdate] "C:\Program Files\ALLPlayer\ALLUpdate.exe" "sleep" File not found
O4 - HKU\S-1-5-21-484763869-515967899-839522115-1003..\Run: [ares] "C:\Program Files\Ares\Ares.exe" -h File not found
O4 - HKU\S-1-5-21-484763869-515967899-839522115-1003..\Run: [uTorrent] "C:\Program Files\uTorrent\uTorrent.exe" /MINIMIZED File not found
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} Dostępne tylko dla zarejestrowanych użytkowników (Java Plug-in 10.21.2)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} Dostępne tylko dla zarejestrowanych użytkowników (Java Plug-in 10.21.2)
O20 - AppInit_DLLs: (C:\PROGRA~1\BEARSH~1\MediaBar\Datamngr\datamngr.dll) - File not found
O20 - AppInit_DLLs: (C:\PROGRA~1\BEARSH~1\MediaBar\Datamngr\IEBHO.dll) - File not found
[2013-04-27 19:01:35 | 000,000,000 | ---D | C] -- C:\Documents and Settings\FH\Dane aplikacji\PriceGong
[2012-11-09 23:58:20 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software
[2012-04-22 12:06:49 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\boost_interprocess
[2012-11-04 18:46:02 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\muzo
[2012-11-04 18:45:53 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\RDRM
[2012-12-25 00:01:57 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\Sony
[2012-06-11 22:14:15 | 000,000,000 | ---D | M] -- C:\Documents and Settings\FH\Dane aplikacji\Audacity
[2012-12-23 01:06:41 | 000,000,000 | ---D | M] -- C:\Documents and Settings\FH\Dane aplikacji\BitTorrent
[2012-05-14 22:43:58 | 000,000,000 | ---D | M] -- C:\Documents and Settings\FH\Dane aplikacji\mediabarbs
[2012-04-10 18:38:13 | 000,000,000 | ---D | M] -- C:\Documents and Settings\FH\Dane aplikacji\NapiProjekt
[2012-07-08 21:18:21 | 000,000,000 | ---D | M] -- C:\Documents and Settings\FH\Dane aplikacji\Octoshape
[2013-04-27 19:04:08 | 000,000,000 | ---D | M] -- C:\Documents and Settings\FH\Dane aplikacji\PriceGong
[2012-04-16 19:34:25 | 000,000,000 | ---D | M] -- C:\Documents and Settings\FH\Dane aplikacji\qBittorrent
[2012-12-25 00:12:30 | 000,000,000 | ---D | M] -- C:\Documents and Settings\FH\Dane aplikacji\Sony
[2013-04-20 23:52:34 | 000,000,000 | ---D | M] -- C:\Documents and Settings\FH\Dane aplikacji\Spotify
[2012-05-14 22:43:45 | 000,000,000 | ---D | M] -- C:\Documents and Settings\FH\Dane aplikacji\wincorebsband

:Files
C:\WINDOWS\tasks\*.*
C:\WINDOWS\TEMP
C:\Documents and Settings\FH\Ustawienia lokalne\Temp

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z Dostępne tylko dla zarejestrowanych użytkowników (z opcji Delete) + log z TDSSKiller + nowe logi z OTL.

[sb2004]

Log z usuwania:
Dostępne tylko dla zarejestrowanych użytkowników

ADWCleaner:
Dostępne tylko dla zarejestrowanych użytkowników

TDSSKiller:
Dostępne tylko dla zarejestrowanych użytkowników

OTL - dwa razy skanowałem i dwa razy wyskoczył mi tylko OTL.txt, extras nie wyskakuje:
Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

22:18:19.0000 2124 C:\WINDOWS\system32\Drivers\sptd.sys - copied to quarantine
22:18:19.0687 2124 HKLM\SYSTEM\ControlSet001\services\sptd - will be deleted on reboot
22:18:19.0687 2124 HKLM\SYSTEM\ControlSet003\services\sptd - will be deleted on reboot
22:18:19.0687 2124 C:\WINDOWS\system32\Drivers\sptd.sys - will be deleted on reboot
22:18:19.0687 2124 sptd ( LockedFile.Multi.Generic ) - User select action: Delete

Reinstaluj oprogramowanie emulacji napędu.

ADWCleaner.

Odinstaluj.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = [binary data]
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,CustomizeSearch = Dostępne tylko dla zarejestrowanych użytkowników{SUB_RFC1766}/srchasst/srchcust.htm
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = Dostępne tylko dla zarejestrowanych użytkowników{SUB_RFC1766}/srchasst/srchasst.htm
IE - HKU\S-1-5-21-484763869-515967899-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-484763869-515967899-839522115-1003\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKU\S-1-5-21-484763869-515967899-839522115-1003\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
[2013-05-02 22:18:13 | 000,000,000 | ---D | C] -- C:\TDSSKiller_Quarantine

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z Autoruns.

[sb2004]

Dzięki!

Log z usuwania:
Dostępne tylko dla zarejestrowanych użytkowników

Log z Autoruns:
Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

Autoruns.

W trybie awaryjnym, w Autoruns odznacz, a następnie usuń (co się będzie dało):

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Adobe Reader Speed Launcher
DivXUpdate
IgfxTray
Persistence
RTHDCPL
SunJavaUpdateSched

HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components

Książka adresowa 6
Microsoft Outlook Express 6

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

VirtualDVD

HKCU\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components

0

HKCU\Software\Classes\*\ShellEx\ContextMenuHandlers

GGDriveMenu

HKCU\Software\Classes\Directory\ShellEx\ContextMenuHandlers

GGDriveMenu

HKCU\Software\Classes\Directory\Background\ShellEx\ContextMenuHandlers

GGDriveMenu

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers

GGDriveOverlay1
GGDriveOverlay2
GGDriveOverlay3
GGDriveOverlay4

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Wszystko.

HKLM\Software\Microsoft\Internet Explorer\Extensions

Wszystko.

HKLM\System\CurrentControlSet\Services

JavaQuickStarterService
Microsoft SharePoint Workspace Audit Service
MozillaMaintenance
ose
osppsvc
Sony PC Companion

HKLM\System\CurrentControlSet\Services

Wszystko z frazą -> File Not Found.

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

igfxcui

Następnie podajesz nowe logi z OTL.

[sb2004]

Usunąłem.

OTL.txt:
Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

FF - HKLM\Software\MozillaPlugins\@playstation.com/PsndlCheck,version=1.00: File not found
O2 - BHO: (no name) - AutorunsDisabled - No CLSID value found.
[2013-05-03 16:26:28 | 000,039,685 | ---- | M] () -- C:\Documents and Settings\FH\Pulpit\AutoRuns.rar
[2013-05-03 16:25:23 | 001,990,398 | ---- | M] () -- C:\Documents and Settings\FH\Pulpit\AutoRuns.arn

:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"MP10_EnsureFileVer"=-

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie w OTL naciśnij -> Sprzątanie.

"{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java(TM) 6 Update 37

Odinstaluj to, bo posiadasz wersję Java 7 Update 21.

"{AC76BA86-7AD7-1045-7B44-A91000000001}" = Adobe Reader 9.1 - Polish

Odinstaluj i zainstaluj Dostępne tylko dla zarejestrowanych użytkowników wersję.

"KLiteCodecPack_is1" = K-Lite Codec Pack 8.6.0 (Full)
"DivX Setup" = DivX Setup
"AVIcodec" = AVIcodec (remove only)

Odinstaluj i zainstaluj Dostępne tylko dla zarejestrowanych użytkowników wersję.

Kroki Finalizujące.

Wykonaj pełne skanowanie Dostępne tylko dla zarejestrowanych użytkowników (nie gódź się na wersję testową), jeśli coś znajdzie usuń i daj raport.
Przeczyść dysk i rejestr Dostępne tylko dla zarejestrowanych użytkowników.

[sb2004]

Log z usuwania - OTL:
Dostępne tylko dla zarejestrowanych użytkowników

Do reszty wskazówek się zastosowałem, Malwarebytes Anti-Malware niczego nie znalazł.

[kominekl]

Log z usuwania - OTL:
Dostępne tylko dla zarejestrowanych użytkowników

Do reszty wskazówek się zastosowałem, Malwarebytes Anti-Malware niczego nie znalazł.

OK. Czy są jeszcze jakieś problemy?

[sb2004]

Dzięki wielkie, już to nie wyskakuje!
Problemy są, z prędkością internetu, ale to pewnie nie ten dział i nie będę zaśmiecał

Raz jeszcze dziękuję

[kominekl]

Problemy są, z prędkością internetu, ale to pewnie nie ten dział i nie będę zaśmiecał

Możesz śmiało. Gdy ktoś się do mnie zgłasza to Go nie wypuszczam z żadnym problemem.

[sb2004]

Oo, dziękuję!
No więc komputer nadal działa powoli, Windows długo się ładuje, Firefox długo się włącza, potem już jest w miarę ok.
Co mnie najbardziej denerwuje to filmiki, np. na YouTube. Zacinają się, po zatrzymaniu "zaległe klatki" doganiają zatrzymany głos. Od kilku miesięcy tak mam, już moja cierpliwość się kończy. Obawiam się, że jedynym rozwiązaniem jest zakup nowego sprzętu.
No i nie jest najlepiej z prędkością mojego internetu. Od 1 maja mam nowego dostawcę, maksymalna deklarowana prędkość to 300 Mb/s. Oczywiście nie spodziewam się takich prędkości, wiem, że są różne ograniczenia, ale czytałem w internecie opinie użytkowników i deklarują prędkość >100 Mb/s. Ja natomiast testowałem i w porywach wychodziło 20. Dodatkowo prędkość wysyłania była większa od pobierania. Mimo, że jestem laikiem, to czuję, że to nie jest normalna sytuacja. Chwilkę temu zrobiłem: Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

Oo, dziękuję!
No więc komputer nadal działa powoli, Windows długo się ładuje, Firefox długo się włącza, potem już jest w miarę ok.
Co mnie najbardziej denerwuje to filmiki, np. na YouTube. Zacinają się, po zatrzymaniu "zaległe klatki" doganiają zatrzymany głos. Od kilku miesięcy tak mam, już moja cierpliwość się kończy. Obawiam się, że jedynym rozwiązaniem jest zakup nowego sprzętu.
No i nie jest najlepiej z prędkością mojego internetu. Od 1 maja mam nowego dostawcę, maksymalna deklarowana prędkość to 300 Mb/s. Oczywiście nie spodziewam się takich prędkości, wiem, że są różne ograniczenia, ale czytałem w internecie opinie użytkowników i deklarują prędkość >100 Mb/s. Ja natomiast testowałem i w porywach wychodziło 20. Dodatkowo prędkość wysyłania była większa od pobierania. Mimo, że jestem laikiem, to czuję, że to nie jest normalna sytuacja. Chwilkę temu zrobiłem: Dostępne tylko dla zarejestrowanych użytkowników

Na 100% konieczna będzie pełna reinstalacja/aktualizacja sterowników sieciowych.

[sb2004]

Okej, dzięki W razie czego mogę liczyć na pomoc ze znalezieniem sterowników po reinstalacji? Kilka płytek pewnie gdzieś się mi zawieruszyło.