Kaspersky wykrywa trojana i nie potrafi usunąć

[Matteo]

Witam, parę dni temu po wizycie na jakiejś stronce Kaspersky Internet Security wykrył trojana- zaczęły mi się uruchamiać wszystkie programy po kolei samoczynnie, dałem żeby to przerwał i przerwał. Programy pozamykałem i było ok. Dziś włączam kompa i Kaspersky krzyczy że coś znalazł. Po dacie to by pasowało że to to co przedtem. Próby "Fix it now" bezskuteczne- nic nie robi.

P0oniżej screen z Kaspersky'ego:


Oraz logi:

http://www.wklej.org/id/384601/

http://www.wklej.org/id/384600/

http://www.wklej.org/id/384599/


Brak objawów- mulenia itd.

Proszę o pomoc, pozdrawiam.

[Andziorka]

W okienko OTL wklej poniższy skrypt i klik na Wykonaj skrypt:

:Processes
explorer.exe

:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.yahoo.com
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com
IE - HKU\S-1-5-21-1214440339-117609710-1801674531-1003\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultName = Yahoo! Search
IE - HKU\S-1-5-21-1214440339-117609710-1801674531-1003\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultURL = http://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7
IE - HKU\S-1-5-21-1214440339-117609710-1801674531-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com
O2 - BHO: (Yahoo! Companion BHO) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_6_0_1.dll (Yahoo! Inc.)
O3 - HKLM\..\Toolbar: (&Yahoo! Companion) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_6_0_1.dll (Yahoo! Inc.)
O3 - HKU\S-1-5-21-1214440339-117609710-1801674531-1003\..\Toolbar\WebBrowser: (&Yahoo! Companion) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_6_0_1.dll (Yahoo! Inc.)
O4 - HKU\.DEFAULT..\RunOnce: [nltide_2] File not found
O4 - HKU\S-1-5-18..\RunOnce: [nltide_2] File not found
O4 - HKU\S-1-5-19..\RunOnce: [nltide_2] File not found
O4 - HKU\S-1-5-20..\RunOnce: [nltide_2] File not found
O33 - MountPoints2\{3cd4e8c6-ee2d-11de-9a04-0011e6bf9815}\Shell - "" = AutoRun
O33 - MountPoints2\{3cd4e8c6-ee2d-11de-9a04-0011e6bf9815}\Shell\AutoRun\command - "" = H:\autorun.exe -- File not found

:Files
C:\Documents and Settings\Matteo\Ustawienia lokalne\Dane aplikacji\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini

:REG
[HKEY_USERS\S-1-5-21-1078081533-725345543-1409250453-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"EXPLORER.EXE"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

:Commands
[emptytemp]
[emptyflash]
[clearallrestorepoints]

Daj loga z FixIEDef: http://forum.programosy.pl/program-szukajacy-trojanow-i-malware-vt97108.html
Wykonaj skan i usuń co znajdzie programem Malware, daj powstały log: http://www.programosy.pl/program,malwarebytes-anti-malware.html
Pobierz: http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe i wybierz opcję [Deletion] podczas skanowania, daj loga.

[Matteo]

Wpisy usunięte. Logi z programów:

Kod: Zaznacz wszystko

********************************************************************************
*                                                                              *
*                                 FixIEDef Log                                 *
*                              Version 1.7.22.7525                             *
*                                                                              *
********************************************************************************

Created at 20:48:12 on Thursday, September 02, 2010

Time Zone            :

Logged On User       : Matteo

Operating System     : Microsoft Windows XP Professional Dodatek Service Pack 3
OS Architecture      : X86
System Langauge      : Polish
Keyboard Layout      : Polish
Processor            : X64 Intel(R) Core(TM)2 CPU          4400  @ 2.00GHz

System Drive         : C:\
Windows Directory    : C:\WINDOWS
System Directory     : C:\WINDOWS\system32

System Drive Type    : Fixed
System Drive Status  : READY
System Drive Label   :
System Drive Size    : 15 GB
System Drive Free    : 8.03 GB

Total Physical Memory: 2046 MB
Free Physical Memory : 1619 MB
Total Page File      : 2046 MB
Free Page File       : 3626 MB
Total Virtual Memory : 2048 MB
Free Virtual Memory  : 1963 MB

Boot State           : Normal boot

--------------------------------------------------------------------------------

!!! userinit.exe is Clean !!!

--------------------------------------------------------------------------------

!!! Files that have been deleted !!!

No malicious files found

--------------------------------------------------------------------------------

!!! Directories that have been removed !!!

No malicious directories to be removed

--------------------------------------------------------------------------------

!!! Registry entries that have been removed !!!

No malicious Registry entries found

================================================================================

All Done :)

ShadowPuterDude

Safe Surfing!!!

Kod: Zaznacz wszystko

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Wersja bazy: 4052

Windows 5.1.2600 Dodatek Service Pack 3
Internet Explorer 7.0.5730.13

2010-09-02 20:55:27
mbam-log-2010-09-02 (20-55-27).txt

Typ skanowania: Szybkie skanowanie
Przeskanowano obiektów: 115660
Upłynęło: 4 minut(y), 38 sekund(y)

Zainfekowanych procesów w pamięci: 0
Zainfekowanych modułów w pamięci: 0
Zainfekowanych kluczy rejestru: 0
Zainfekowanych wartości rejestru: 0
Zainfekowane informacje rejestru systemowego: 0
Zainfekowanych folderów: 0
Zainfekowanych plików: 0

Zainfekowanych procesów w pamięci:
(Nie znaleziono zagrożeń)

Zainfekowanych modułów w pamięci:
(Nie znaleziono zagrożeń)

Zainfekowanych kluczy rejestru:
(Nie znaleziono zagrożeń)

Zainfekowanych wartości rejestru:
(Nie znaleziono zagrożeń)

Zainfekowane informacje rejestru systemowego:
(Nie znaleziono zagrożeń)

Zainfekowanych folderów:
(Nie znaleziono zagrożeń)

Zainfekowanych plików:
(Nie znaleziono zagrożeń)


Kod: Zaznacz wszystko

############################## | UsbFix 7.023 | [Deletion]

User: Matteo (Administrator) # MATEUSZ-081109 [ ]
Updated 02/09/10 by El Desaparecido / C_XX
Started at 21:02:40 | 02/09/2010
Website: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com

CPU: Intel(R) Core(TM)2 CPU 4400 @ 2.00GHz
CPU 2: Intel(R) Core(TM)2 CPU 4400 @ 2.00GHz
Microsoft Windows XP Professional (5.1.2600 32-Bit) # Dodatek Service Pack 3
Internet Explorer 7.0.5730.13

Windows Firewall: Disabled /!\
Antivirus: Kaspersky Internet Security 11.0.1.400 [Enabled | Updated]
Firewall: Kaspersky Internet Security 11.0.1.400 [Enabled]
RAM -> 2046 Mb
C:\ (%systemdrive%) -> Fixed drive # 15 Gb (8 Mb free - 53%) [] # NTFS
D:\ -> Fixed drive # 5 Gb (2 Mb free - 34%) [Programy] # NTFS
E:\ -> Fixed drive # 29 Gb (3 Mb free - 9%) [Muza] # NTFS
F:\ -> Fixed drive # 63 Gb (7 Mb free - 12%) [Gry_Filmy] # NTFS
G:\ -> CD-ROM

################## | Files # Infected Folders |


################## | Registry |


################## | Mountpoints2 |


################## | Listing |

[02/09/2010 - 20:47:25 | D ]    C:\!FixIEDef
[08/11/2009 - 12:50:30 | A | 0]    C:\AUTOEXEC.BAT
[08/11/2009 - 12:45:09 | SH | 211]    C:\boot.ini
[22/07/2001 - 00:13:54 | RASH | 4952]    C:\Bootfont.bin
[08/11/2009 - 12:50:30 | A | 0]    C:\CONFIG.SYS
[08/11/2009 - 13:00:09 | A | 197]    C:\csb.log
[08/11/2009 - 12:54:23 | D ]    C:\Documents and Settings
[02/09/2010 - 20:47:34 | D ]    C:\ERDNT
[08/11/2009 - 12:57:04 | D ]    C:\Intel
[08/11/2009 - 12:50:30 | RASH | 0]    C:\IO.SYS
[21/11/2009 - 13:40:17 | A | 11917]    C:\MPMSetup.log
[08/11/2009 - 12:50:30 | RASH | 0]    C:\MSDOS.SYS
[13/04/2008 - 22:13:04 | RASH | 47564]    C:\NTDETECT.COM
[14/04/2008 - 00:02:00 | RASH | 251152]    C:\ntldr
[02/09/2010 - 20:43:39 | ASH | 2145386496]    C:\pagefile.sys
[02/09/2010 - 20:50:02 | RD ]    C:\Program Files
[02/09/2010 - 21:04:57 | SHD ]    C:\RECYCLER
[08/11/2009 - 13:00:09 | A | 423]    C:\RHDSetup.log
[02/09/2010 - 20:42:39 | SHD ]    C:\System Volume Information
[02/09/2010 - 21:04:57 | D ]    C:\UsbFix
[02/09/2010 - 21:04:57 | A | 2111]    C:\UsbFix.txt
[02/09/2010 - 20:47:32 | D ]    C:\WINDOWS
[02/09/2010 - 20:41:51 | D ]    C:\_OTL
[31/05/2010 - 17:04:30 | D ]    D:\Albion
[25/10/2007 - 18:28:07 | D ]    D:\AutoCad 2000
[02/09/2010 - 18:01:44 | SHD ]    D:\Config.Msi
[24/03/2008 - 14:01:23 | D ]    D:\Delphi-programy
[17/02/2010 - 20:55:00 | D ]    D:\Downloads
[30/07/2010 - 21:16:03 | D ]    D:\Hattrick organizer
[16/02/2005 - 12:06:16 | A | 218112]    D:\HijackThis.exe
[28/08/2010 - 22:10:39 | D ]    D:\HO dawnload
[04/08/2008 - 00:27:24 | A | 1927]    D:\info.txt
[30/05/2010 - 18:24:25 | D ]    D:\instalki
[25/10/2005 - 15:39:27 | D ]    D:\Install
[26/07/2008 - 13:42:00 | A | 2892]    D:\o co kaman.rtf
[02/09/2010 - 18:01:34 | D ]    D:\Program Files
[02/09/2010 - 21:04:57 | SHD ]    D:\RECYCLER
[02/09/2010 - 21:03:09 | SHD ]    D:\System Volume Information
[03/02/2010 - 19:44:50 | D ]    E:\( 2004 ) - Greatest Hits (2004)
[11/08/2010 - 17:27:02 | A | 113330848]    E:\( 2004 ) - Greatest Hits (2004).rar
[08/11/2009 - 02:06:05 | D ]    E:\bomby domowej roboty
[10/07/2010 - 19:30:20 | D ]    E:\Darkseed
[11/08/2010 - 17:18:34 | D ]    E:\Guns_N_Roses-Chinese_Democracy-RETAIL-2008-ESC
[11/08/2010 - 16:54:56 | A | 103846840]    E:\Guns_N_Roses-Chinese_Democracy-RETAIL-2008-ESC.rar
[20/09/2008 - 14:01:19 | A | 2575]    E:\Kontakty.txt
[03/07/2010 - 14:08:02 | D ]    E:\MP3
[08/03/2009 - 13:40:59 | D ]    E:\muza Robert
[07/08/2010 - 20:32:48 | A | 45814090]    E:\niech tancza aniolowie [2007].rar
[07/08/2010 - 20:44:09 | RD ]    E:\niech tańczą aniołowie [2007]
[02/09/2010 - 21:04:57 | SHD ]    E:\RECYCLER
[13/08/2008 - 14:40:43 | D ]    E:\rozne
[20/06/2005 - 15:41:34 | A | 4259998]    E:\sarkofag.avi
[06/07/2010 - 15:40:37 | D ]    E:\Strung Out
[04/07/2010 - 18:41:11 | D ]    E:\Strung_Out-Prototypes_And_Painkillers-2009-FNT
[02/09/2010 - 21:03:09 | SHD ]    E:\System Volume Information
[07/08/2010 - 21:20:39 | A | 94121297]    E:\The Bil (punksrock.info) The Biut reedycja 2000.rar
[27/03/2009 - 16:34:05 | D ]    E:\The Bill - The Biut reedycja 2000
[08/01/2010 - 00:17:06 | D ]    E:\The.Bill-2009-Historie.Prawdziwe-P24
[31/07/2010 - 21:29:53 | A | 45526042]    E:\the.bill_2009_historie.prawdziwe_p24_www.przeklej.pl.rar
[25/12/2009 - 17:25:37 | ASH | 7680]    E:\Thumbs.db
[21/10/2008 - 18:02:58 | D ]    E:\[2008] Lekcja historii
[07/08/2010 - 21:11:42 | A | 68342150]    E:\_2008__Lekcja_historii.rar
[27/06/2010 - 19:53:34 | D ]    F:\AM
[04/06/2010 - 14:22:37 | SHD ]    F:\Config.Msi
[20/01/2009 - 01:46:27 | D ]    F:\DSJ 2.1
[20/07/2009 - 13:27:27 | D ]    F:\elektronika
[03/07/2010 - 14:10:32 | D ]    F:\Filmy
[25/12/2009 - 17:31:36 | D ]    F:\Gry online
[07/11/2009 - 19:13:31 | D ]    F:\GTA San Andreas User Files
[25/12/2009 - 15:57:49 | D ]    F:\hitman
[08/11/2009 - 20:44:44 | D ]    F:\instalka pes 2010
[16/03/2010 - 14:33:30 | D ]    F:\Instalki gier
[25/09/2008 - 19:55:21 | D ]    F:\Install
[07/11/2009 - 19:17:35 | A | 2834]    F:\kontakty.txt
[17/02/2010 - 20:16:49 | HD ]    F:\moje upy rapid
[04/06/2010 - 14:28:09 | RHD ]    F:\MSOCache
[07/11/2009 - 19:13:49 | D ]    F:\Poradniki komputerowe
[03/07/2010 - 14:13:21 | D ]    F:\Praca
[04/06/2010 - 14:28:58 | D ]    F:\Program Files
[17/02/2010 - 20:14:51 | D ]    F:\pulpit zrzut
[02/09/2010 - 21:04:57 | SHD ]    F:\RECYCLER
[25/12/2009 - 17:38:41 | D ]    F:\save z gier
[17/02/2010 - 20:55:49 | D ]    F:\Siemens s65
[18/03/2010 - 23:32:52 | D ]    F:\Siłownia
[23/12/2008 - 00:23:29 | A | 2513408]    F:\Skrzyzowania_drogowe.ppt
[31/03/2010 - 10:46:18 | D ]    F:\Studia
[02/09/2010 - 21:03:10 | SHD ]    F:\System Volume Information
[07/11/2009 - 19:14:01 | D ]    F:\Szkola
[01/07/2009 - 17:20:28 | D ]    F:\Win XP SP3
[16/07/2009 - 22:03:24 | D ]    F:\WUTemp
[09/05/2010 - 14:34:40 | D ]    F:\Zdjęcia

################## | Vaccin |

C:\Autorun.inf -> Folder created by UsbFix (El Desaparecido & C_XX)
D:\Autorun.inf -> Folder created by UsbFix (El Desaparecido & C_XX)
E:\Autorun.inf -> Folder created by UsbFix (El Desaparecido & C_XX)
F:\Autorun.inf -> Folder created by UsbFix (El Desaparecido & C_XX)

################## | E.O.F |


Kaspersky wyświetla nadal to samo.

[Andziorka]

Czyli są nadal komunikaty, że explorer i smss są zainfekowane?
A przeskanuj pliki, które wyświetla Kaspersky tutaj; http://virusscan.jotti.org/pl i daj wyniki

[Matteo]

Tak komunikaty są nadal. Przeskanowałem przez tą stronkę i nic nie znaleziono. Zrobiłem pełny skan kaspersky'm to mi stanęło na 99%. Z tym że już na partycji F:/ i ze statusem braku zagrożeń.

Hmm może antywirowi się coś pomieszało bo był atak na te pliki, ale nie zdążyły zostać zainfekowane?
Bo to ja przy ataku wcisnąłem "disconnect" i może mimo że zaczynała się już rozwałka na kompie to zdążyłem.

Swoją drogą to potrzebuję nowego zestawu antywirusowego bo mi się kończy trial na tego KISa za 2 dni.

[Andziorka]

Jeśli strona nic nie wykazała to prawdopodobnie fałszywy alarm.
Na koniec uruchom OTL i kliknij Sprzątanie, posprząta po skanerach.
Co do antywirusów to polecam z doświadczenia płatny Eset Smart Security, ewentualnie z darmowych AVG, Avira lub Comodo.

Autor postu otrzymał pochwałę