Wigon bs koń trojański

**Posty:** 1 · przez **2gajos** 31 Mar 2009, 21:37

Nod 32 pokazuje mi non stop komunikat .../Wigon BS koń trojański.
W menadźerze zadań miałem mnóstwo plików o nazwie "svchost.exe" - po przeskanowaniu Combofixem wszystko się "uspokoiło".
Ale dla pewności wklejam log z Combofixa i proszę o sprawdzenie i ewentualne porady.

Kod: Zaznacz wszystko: ComboFix 09-03-31.01 - Dj Daro 2009-03-31 21:23:23.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.3.1250.1.1045.18.1023.453 [GMT 2:00] Uruchomiony z: e:\my downloads\PROGRAMY\ComboFix.exe AV: ESET NOD32 Antivirus 3.0 *On-access scanning disabled* (Updated) * Utworzono nowy punkt przywracania . ((((((((((((((((((((((((((((((((((((((( Usunięto ))))))))))))))))))))))))))))))))))))))))))))))))) . c:\documents and settings\Dj Daro\Dane aplikacji\wiaserva.log c:\windows\system32\msvcsv60.dll . ((((((((((((((((((((((((( Pliki utworzone od 2009-02-28 do 2009-03-31 ))))))))))))))))))))))))))))))) . 2009-03-31 17:29 . 2009-03-31 17:29 54,156 --ah----- c:\windows\QTFont.qfn 2009-03-31 17:29 . 2009-03-31 17:29 1,409 --a------ c:\windows\QTFont.for 2009-03-31 16:57 . 2009-03-31 16:57 69 --a------ c:\windows\NeroDigital.ini 2009-03-30 23:28 . 2009-03-30 23:28 <DIR> d-------- c:\documents and settings\Dj Daro\Dane aplikacji\AdobeUM 2009-03-30 23:26 . 2009-03-30 23:26 <DIR> d-------- c:\program files\Common Files\Adobe 2009-03-30 22:32 . 2009-03-30 22:32 <DIR> d-------- c:\program files\Sonnox 2009-03-30 22:32 . 2003-06-20 13:28 1,777,664 --a------ c:\windows\system32\gdiplus.dll 2009-03-30 22:06 . 2009-03-30 22:06 <DIR> d-------- c:\program files\GForce 2009-03-30 22:06 . 1999-12-17 11:13 86,016 --a------ c:\windows\unvise32.exe 2009-03-30 21:50 . 2009-03-30 21:50 <DIR> d-------- c:\documents and settings\Dj Daro\Dane aplikacji\WNR 2009-03-30 17:54 . 2009-03-30 17:54 <DIR> d-------- c:\program files\iZotope 2009-03-30 17:54 . 2009-03-30 17:54 <DIR> d-------- c:\documents and settings\Dj Daro\Dane aplikacji\iZotope 2009-03-30 16:15 . 2009-03-30 16:15 <DIR> d-------- c:\documents and settings\Dj Daro\Dane aplikacji\Nero 2009-03-30 16:12 . 2009-03-30 16:12 <DIR> d-------- c:\program files\Nero 2009-03-30 16:12 . 2009-03-30 16:14 <DIR> d-------- c:\program files\Common Files\Nero 2009-03-30 16:12 . 2009-03-30 16:12 <DIR> d-------- c:\documents and settings\All Users\Dane aplikacji\Nero 2009-03-26 21:11 . 2009-03-26 21:11 <DIR> d-------- c:\program files\Common Files\Skype 2009-03-26 21:11 . 2009-03-26 21:11 56 --ah----- c:\windows\system32\ezsidmv.dat 2009-03-26 18:41 . 2009-03-26 18:46 <DIR> d-------- c:\program files\uTorrent 2009-03-26 18:41 . 2009-03-31 04:36 <DIR> d-------- c:\documents and settings\Dj Daro\Dane aplikacji\uTorrent 2009-03-26 18:23 . 2009-03-26 18:23 <DIR> d-------- c:\documents and settings\Dj Daro\TruePianos Settings 2009-03-26 18:15 . 2006-11-30 16:49 368,640 --a------ c:\windows\system32\ReWire.dll 2009-03-26 17:33 . 2009-03-26 17:33 <DIR> d-------- c:\program files\UltraISO 2009-03-26 17:33 . 2009-03-26 17:33 <DIR> d-------- c:\program files\Common Files\EZB Systems 2009-03-26 16:59 . 2009-03-31 21:18 <DIR> d-------- c:\documents and settings\Dj Daro\Dane aplikacji\skypePM 2009-03-26 16:59 . 2009-03-26 17:00 <DIR> d-------- c:\documents and settings\Dj Daro\Dane aplikacji\Nowe Gadu-Gadu 2009-03-26 16:59 . 2009-03-26 16:59 32 --a------ c:\documents and settings\All Users\Dane aplikacji\ezsid.dat 2009-03-26 16:55 . 2009-03-26 16:55 <DIR> d-------- c:\documents and settings\Dj Daro\Dane aplikacji\vlc 2009-03-26 16:52 . 2009-03-26 16:52 <DIR> d-------- c:\program files\Wizoo 2009-03-26 16:46 . 2009-03-26 16:46 <DIR> d-------- c:\program files\ESET 2009-03-26 16:02 . 2009-03-26 16:02 <DIR> d-------- c:\documents and settings\All Users\Dane aplikacji\Pinnacle 2009-03-26 15:57 . 2009-03-26 15:57 <DIR> d-------- c:\program files\Creative 2009-03-26 15:57 . 2000-05-11 02:00 90,112 --------- c:\windows\Updreg.EXE 2009-03-26 15:57 . 1999-10-11 03:00 41,984 --------- c:\windows\Ctregrun.exe 2009-03-26 15:57 . 2006-11-20 11:31 2,319 -ra------ c:\windows\system32\emaud.ini 2009-03-26 15:57 . 2009-03-26 15:57 90 --a------ c:\windows\setuplog 2009-03-26 15:56 . 2009-03-26 18:28 <DIR> d-------- c:\program files\Creative Professional 2009-03-08 09:48 . 2009-03-08 09:48 122 --a------ c:\windows\msmmdx9.ini . (((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-04-08 18:35 --------- d-----w c:\documents and settings\Dj Daro\Dane aplikacji\Skype 2009-03-31 19:23 --------- d-----w c:\documents and settings\Dj Daro\Dane aplikacji\DMCache 2009-03-31 15:15 --------- d-----w c:\documents and settings\Dj Daro\Dane aplikacji\Cakewalk 2009-03-31 09:27 --------- d-----w c:\program files\Internet Download Manager 2009-03-26 21:10 --------- d-----w c:\documents and settings\Dj Daro\Dane aplikacji\IDM 2009-03-26 19:11 --------- d-----w c:\documents and settings\All Users\Dane aplikacji\Skype 2009-03-26 19:11 --------- d-----r c:\program files\Skype 2009-03-26 16:21 118,784 ----a-w c:\windows\dsdxirmv.exe 2009-03-26 16:21 --------- d-----w c:\documents and settings\All Users\Dane aplikacji\Cakewalk 2009-03-26 16:20 --------- d-----w c:\program files\Cakewalk 2009-03-26 15:42 --------- d-----w c:\program files\MagicDisc 2009-03-26 15:13 --------- d-----w c:\program files\Opera 2009-03-26 13:57 --------- d--h--w c:\program files\InstallShield Installation Information . ------- Sigcheck ------- 2008-05-08 20:02 361344 accf5a9a1ffaa490f33dba1c632b95e1 c:\windows\system32\drivers\tcpip.sys . ((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] "Picasa Media Detector"="c:\program files\Picasa2\PicasaMediaDetector.exe" [2007-10-23 443968] "IDMan"="c:\program files\Internet Download Manager\IDMan.exe" [2008-01-23 2577840] "MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-14 1695232] "E-MU USB Audio Control Panel"="c:\program files\Creative Professional\E-MU USB Audio\EmuUsbAudioCP.exe" [2007-11-26 274432] "IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Common Files\Nero\Lib\NMIndexStoreSvr.exe" [2007-12-13 1688872] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "PRONoMgr.exe"="c:\program files\Intel\NCS\PROSet\PRONoMgr.exe" [2003-03-11 86016] "SoundSceneTray"="c:\program files\E-mu Systems\E-mu APS Control Panel\Sscene.exe" [2003-04-09 167936] "GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 31016] "Norton Ghost 14.0"="c:\program files\Norton Ghost\Agent\VProTray.exe" [2008-01-19 2245984] "UpdReg"="c:\windows\UpdReg.EXE" [2000-05-11 90112] "CTRegRun"="c:\windows\CTRegRun.EXE" [1999-10-11 41984] "egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2008-07-01 1447168] "NeroFilterCheck"="c:\program files\Common Files\Nero\Lib\NeroCheck.exe" [2007-03-01 153136] "NBKeyScan"="c:\program files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-12-03 2213160] "CTHelper"="CTHELPER.EXE" [2003-04-07 c:\windows\system32\CTHELPER.EXE] "AsioReg"="CTASIO.DLL" [2003-04-07 c:\windows\system32\CTASIO.DLL] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce] "nltide_2"="shell32" [X] c:\documents and settings\Dj Daro\Menu Start\Programy\Autostart\ MagicDisc.lnk - c:\program files\MagicDisc\MagicDisc.exe [2009-01-08 575488] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "%windir%\\system32\\sessmgr.exe"= "c:\\WINDOWS\\system32\\fxsclnt.exe"= "c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"= "c:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE"= "c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"= "c:\\Program Files\\Nowe Gadu-Gadu\\gg.exe"= "c:\\Program Files\\uTorrent\\uTorrent.exe"= "c:\\WINDOWS\\system32\\userinit.exe"= "c:\\Program Files\\Skype\\Phone\\Skype.exe"= R1 Asapi;Asapi;c:\windows\system32\drivers\asapi.sys [2009-01-09 11264] R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [2008-07-01 34312] R2 ekrn;Eset Service;c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [2008-07-01 468224] R2 emaudsv;E-MU Audio Service;c:\windows\system32\emaudsv.exe [2006-11-20 20992] R3 emusba10;E-MU USB-Audio 1.0 Driver;c:\windows\system32\drivers\emusba10.sys [2007-11-26 163352] R3 SymSnapService;SymSnapService;c:\program files\Norton Ghost\Shared\Drivers\SymSnapService.exe [2007-12-20 1553896] S2 acpi32;acpi32;\??\c:\windows\system32\drivers\acpi32.sys --> c:\windows\system32\drivers\acpi32.sys [?] S2 amd64si;amd64si;\??\c:\windows\system32\drivers\amd64si.sys --> c:\windows\system32\drivers\amd64si.sys [?] S2 ati64si;ati64si;\??\c:\windows\system32\drivers\ati64si.sys --> c:\windows\system32\drivers\ati64si.sys [?] S2 fips32cup;fips32cup;\??\c:\windows\system32\drivers\fips32cup.sys --> c:\windows\system32\drivers\fips32cup.sys [?] S2 i386si;i386si;\??\c:\windows\system32\drivers\i386si.sys --> c:\windows\system32\drivers\i386si.sys [?] S2 ksi32sk;ksi32sk;\??\c:\windows\system32\drivers\ksi32sk.sys --> c:\windows\system32\drivers\ksi32sk.sys [?] S2 netsik;netsik;\??\c:\windows\system32\drivers\netsik.sys --> c:\windows\system32\drivers\netsik.sys [?] S2 nicsk32;nicsk32;\??\c:\windows\system32\drivers\nicsk32.sys --> c:\windows\system32\drivers\nicsk32.sys [?] S2 port135sik;port135sik;\??\c:\windows\system32\drivers\port135sik.sys --> c:\windows\system32\drivers\port135sik.sys [?] S2 securentm;securentm;\??\c:\windows\system32\drivers\securentm.sys --> c:\windows\system32\drivers\securentm.sys [?] S2 Symantec SymSnap VSS Provider;Symantec SymSnap VSS Provider;c:\windows\system32\dllhost.exe [2008-04-14 5120] S2 systemntmi;systemntmi;\??\c:\windows\system32\drivers\systemntmi.sys --> c:\windows\system32\drivers\systemntmi.sys [?] S2 ws2_32sik;ws2_32sik;\??\c:\windows\system32\drivers\ws2_32sik.sys --> c:\windows\system32\drivers\ws2_32sik.sys [?] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e68fe215-1a0c-11de-a4f5-806d6172696f}] \Shell\AutoRun\command - d:\ctrun\Start.exe . . ------- Skan uzupełniający ------- . uDefault_Search_URL = hxxp://www.google.com/ie uInternet Connection Wizard,ShellNext = hxxp://www.internetdownloadmanager.com/welcome.html uSearchURL,(Default) = hxxp://www.google.com/search?q=%s IE: E&ksportuj do programu Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000 IE: Ściągnij przez IDM - c:\program files\Internet Download Manager\IEExt.htm IE: Ściągnij wszystkie linki przez IDM - c:\program files\Internet Download Manager\IEGetAll.htm IE: Ściągnij zawartość wideo FLV przez IDM - c:\program files\Internet Download Manager\IEGetVL.htm . ************************************************************************** catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-03-31 21:24:48 Windows 5.1.2600 Dodatek Service Pack 3 NTFS skanowanie ukrytych procesów ... ? [12976] ? [13856] ? [8448] ? [11664] ? [30628] ? [28972] ? [42156] skanowanie ukrytych wpisów autostartu ... skanowanie ukrytych plików ... skanowanie pomyślnie ukończone ukryte pliki: 0 ************************************************************************** . --------------------- ZABLOKOWANE KLUCZE REJESTRU --------------------- [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{415f2923-f77c-40ee-9e80-ffb4efae44f7}] @Denied: (Full) (Everyone) "Model"=dword:00000054 "Therad"=dword:00000001 "MData"=hex(0):cb,9b,ad,ef,27,7d,29,69,f5,02,f0,76,aa,4a,f1,7c,d3,d9,67,7f,6a, 4b,7b,ad,04,7a,b1,b5,76,9b,27,47,52,7a,cb,e7,2f,23,17,21,a1,f3,23,bc,f8,39,\ [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{7B8E9164-324D-4A2E-A46D-0165FB2000EC}] @Denied: (Full) (Everyone) "scansk"=hex(0):2a,ca,ba,54,76,13,3b,14,f4,75,39,a9,d0,85,2e,a7,1e,1a,15,50,c0, 1e,7f,73,80,fc,84,8a,9b,ba,b6,f8,e2,e2,07,0e,e8,12,df,bc,00,00,00,00,00,00,\ . Czas ukończenia: 2009-03-31 21:26:04 ComboFix-quarantined-files.txt 2009-03-31 19:26:01 Przed: 14 236 205 056 bajtów wolnych Po: 15,015,178,240 bajtów wolnych WindowsXP-KB310994-SP2-Pro-BootDisk-PLK.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect multi(0)disk(0)rdisk(1)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect 187

**Posty:** 18165 · przez **wojtas** 31 Mar 2009, 21:45

1. Ściągnij OTMoveIt i go włacz i odpal go z opcji CleanUp

oraz skasuj folder C:\Qoobox
2. wykonaj optymalizację windowsa
3.sciagnij ATF_Cleaner
zaznacz
Windows Temp
All users Temp
Temporary internet files
Recycle Bin
i wcisnij EMPTY SELECTED
4.Wyłącz przywracanie systemu ( właściwości mój komputer-zakładka przywracanie - wyłącz przywracanie na wszystkich dyskach). Po chwili włącz je powrotem
5. Wykonaj skan Dr. Web CureIt
6. Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum.

i tym:

FixIEDef.