Logi - Pamięć operacyjna » koń trojański

Witam wszystkich. Mój problem jest taki: robiłem skan antywirusem nod32. wykrył on wirusa w pamięci operacyjnej i za nic nie mogę go usunąć żadnym antywirusem. W dzienniku noda było napisane:
Pamięć operacyjna>> rundll32.exe (1936) prawdopodobnie odmiana zagrożenia Win32/Ponmocup.AA koń trojański- nie można usunąć.
Bardzo bym prosił o pomoc. Z góry dziękuję

Chcesz pomocy, a nie dajesz nawet żadnych szans na pomoc (logi).

.

logi z OTL
 OTL.Txt.txt   103,8 KB   323 Ilość pobrań

 Extras.Txt.txt   19,55 KB   276 Ilość pobrań

Użytkownik xmateusz edytował ten post 27 03 2012 - 15:21

Zbyt wiele to tu nie widzę do usuwania:

1) Użyj >[hide]Adw-cleaner [/hide](ściągnij na Pulpit i kliknij w nim Delete
Pokaż raport z niego C:AdwCleaner[S1].txt

2) Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL
[2012-03-27 14:49:07 | 000,000,316 | ---- | M] () -- C:WINDOWStasksInsu.job
[2012-03-22 19:50:32 | 000,126,976 | RHS- | M] () -- C:WINDOWSSystem32ntvdme.dll
O8 - Extra context menu item: Download with &Media Finder - C:Program FilesMedia Finderhook.html File not found
O2 - BHO: (Winamp Toolbar Loader) - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:Program FilesWinamp Toolbarwinamptb.dll (AOL Inc.)
O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - Reg Error: Value error. File not found
O2 - BHO: (MyAshampoo Toolbar) - {a1e75a0e-4397-4ba8-bb50-e19fb66890f4} - C:Program FilesMyAshampooprxtbMyA2.dll (Conduit Ltd.)
O2 - BHO: (DealPly) - {A6174F27-1FFF-E1D6-A93F-BA48AD5DD448} - C:Program FilesDealPlyDealPlyIE.dll (DealPly Technologies Ltd)
O2 - BHO: (IncrediMail MediaBar 2 Toolbar) - {d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0} - C:Program FilesIncrediMail_MediaBar_2prxtbInc2.dll (Conduit Ltd.)
O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found.
O3 - HKLM..Toolbar: (MyAshampoo Toolbar) - {a1e75a0e-4397-4ba8-bb50-e19fb66890f4} - C:Program FilesMyAshampooprxtbMyA2.dll (Conduit Ltd.)
O3 - HKLM..Toolbar: (IncrediMail MediaBar 2 Toolbar) - {d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0} - C:Program FilesIncrediMail_MediaBar_2prxtbInc2.dll (Conduit Ltd.)
O3 - HKLM..Toolbar: (Winamp Toolbar) - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:Program FilesWinamp Toolbarwinamptb.dll (AOL Inc.)
O3 - HKUS-1-5-21-1644491937-1303643608-839522115-1003..ToolbarWebBrowser: (MyAshampoo Toolbar) - {A1E75A0E-4397-4BA8-BB50-E19FB66890F4} - C:Program FilesMyAshampooprxtbMyA2.dll (Conduit Ltd.)
O3 - HKUS-1-5-21-1644491937-1303643608-839522115-1003..ToolbarWebBrowser: (IncrediMail MediaBar 2 Toolbar) - {D40B90B4-D3B1-4D6B-A5D7-DC041C1B76C0} - C:Program FilesIncrediMail_MediaBar_2prxtbInc2.dll (Conduit Ltd.)
O3 - HKUS-1-5-21-1644491937-1303643608-839522115-1003..ToolbarWebBrowser: (Winamp Toolbar) - {EBF2BA02-9094-4C5A-858B-BB198F3D8DE2} - C:Program FilesWinamp Toolbarwinamptb.dll (AOL Inc.)
[2012-01-19 20:33:42 | 000,000,000 | ---D | M] (Babylon) -- C:Documents and SettingsRTS WIDZEWDane aplikacjiMozillaFirefoxProfilesdggnydsd.defaultextensionsffxtlbr@babylon.com
IE - HKUS-1-5-21-1644491937-1303643608-839522115-1003SOFTWAREMicrosoftInternet ExplorerMain,Start Page = Babylon Search
IE - HKUS-1-5-21-1644491937-1303643608-839522115-1003..URLSearchHook: {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:Program FilesWinamp Toolbarwinamptb.dll (AOL Inc.)
IE - HKUS-1-5-21-1644491937-1303643608-839522115-1003..URLSearchHook: {a1e75a0e-4397-4ba8-bb50-e19fb66890f4} - C:Program FilesMyAshampooprxtbMyA2.dll (Conduit Ltd.)
IE - HKUS-1-5-21-1644491937-1303643608-839522115-1003..URLSearchHook: {d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0} - C:Program FilesIncrediMail_MediaBar_2prxtbInc2.dll (Conduit Ltd.)
IE - HKLM..URLSearchHook: {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:Program FilesWinamp Toolbarwinamptb.dll (AOL Inc.)

:Commands
[emptytemp]

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania.

Daj log z >MBRCheck
Daj log z >TDSSKiller
Co usuwał ComboFix? (jeśli masz tamten log, to go pokaż).
.

Zbyt wiele to tu nie widzę do usuwania:

1) Użyj >[hide]Adw-cleaner [/hide](ściągnij na Pulpit i kliknij w nim Delete
Pokaż raport z niego C:AdwCleaner[S1].txt

2) Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania.

Daj log z >MBRCheck
Daj log z >TDSSKiller
Zrób też log z Farbar Service Scanner >http://download.blee.../farbar/FSS.exe (do skanowania zaznacz wszystko).
Co usuwał ComboFix? (jeśli masz tamten log, to go pokaż).
.

1.raport >Adw-cleaner  AdwCleanerS1.txt   12,13 KB   239 Ilość pobrań

2. log z OTL  Nowy Dokument tekstowy (2).txt   103,64 KB   229 Ilość pobrań

3. pozostałe logi z  MBRCheck_03.27.12_17.47.24.txt   8,23 KB   243 Ilość pobrań  TDSSKiller.2.7.23.0_27.03.2012_17.50.24_log.txt   71,61 KB   228 Ilość pobrań i  FSS.txt   3,85 KB   202 Ilość pobrań

ComboFix usuwał mi innego trojana. Już nie pamiętam jaki to był. Usunął mi go bez problemu.

Użytkownik xmateusz edytował ten post 27 03 2012 - 17:59

TDSSKiller - nic nie wykrył.
MBRCheck - nic nie wykrył.
Usuwanie powiodło się.
W nowym logu OTL - nic ciekawego.

W poprzednim logu Extras:

[ System Events ]
Error - 2012-03-25 13:48:20 | Computer Name = MATEUSZ | Source = Service Control Manager | ID = 7001
Description = Usługa Klient DNS zależy od usługi Sterownik protokołu TCP/IP, której
nie można uruchomić z powodu następującego błędu: %%31

Error - 2012-03-25 13:48:20 | Computer Name = MATEUSZ | Source = Service Control Manager | ID = 7001
Description = Usługa Pomoc TCP/IP NetBIOS zależy od usługi AFD, której nie można
uruchomić z powodu następującego błędu: %%31

Error - 2012-03-25 13:48:20 | Computer Name = MATEUSZ | Source = Service Control Manager | ID = 7026
Description = Nie można załadować następujących sterowników startu rozruchowego
lub systemowego: AFD AsIO ehdrv epfwtdir Fips intelppm IPSec MRxSmb NetBIOS PCTSD RasAcd Rdbss
Tcpip
WS2IFSL

Jeśli będą jakieś problemy z powodu tych niedziałających usług, to założysz temat na >http://www.fixitpc.pl/
Tam @Picasso zna się na tym, ale nie mogę zagwarantować, że zechce się tym zająć, bo nie masz już żadnej infekcji - (gdyby była infekcja, to pewnie by się zajęła tym). Choć, z drugiej strony, Farbar Service nie wykrył żadnych nieprawidłowości, więc być może to było jednodniowe z tymi usługami ...

.

Użytkownik ordynat edytował ten post 27 03 2012 - 19:22

Dzięki bardzo za pomoc przeskanowałem kompa nodem32 i nic nie wykrył wielkie dzięki kolego

Użytkownik xmateusz edytował ten post 27 03 2012 - 20:36

Mam ten sam problem z tym wirusem wykrytym przez program NOD32. Poniżej umieszczam linki do do wygenerowanych plików z programu OTL

OTL.txt http://wklej.org/hash/48feae960b9/

Extras. txt http://wklej.org/id/823869/

Prosze o pilna pomoc

Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL
[2012-08-28 14:21:03 | 000,114,688 | RHS- | C] () -- C:\WINDOWS\System32\jobexec9.dll
[2012-08-28 14:21:03 | 000,000,310 | ---- | C] () -- C:\WINDOWS\tasks\ibzyd.job
FF - prefs.js..browser.search.defaultenginename: "v9"
FF - prefs.js..browser.search.order.1: "v9"
IE - HKU\S-1-5-21-2025429265-1958367476-1177238915-1004\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2481033

:Commands
[emptytemp]

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania Scriptem.
Użyj > MBAM
Na końcu kliknij na Usuń zaznaczone.
Podaj z tego raport.