Trojan Agent - jak usunąć?

[wisznu01 0]

Witam też mam problem z Trojanem.Agent, załączam wynik z programu Malware, bardzo proszę o odpowiedź jak mam się tego wirusa pozbyć.

 

Malwarebytes Anti-Malware (Okres testowy) 1.75.0.1300

www.malwarebytes.org

 

Wersja bazy: v2013.08.10.01

 

Windows 7 Service Pack 1 x64 NTFS

Internet Explorer 10.0.9200.16635

user :: USER-KOMPUTER [administrator]

 

Ochrona: Włączona

 

2013-08-10 17:23:16

mbam-log-2013-08-10 (17-23-16).txt

 

Typ skanowania: Szybkie skanowanie

Zaznaczone opcje skanowania: Pamięć | Rozruch | Rejestr | System plików | Heurystyka/Dodatkowe | Heuristyka/Shuriken | PUP | PUM

Odznaczone opcje skanowania: P2P

Przeskanowano obiektów: 239995

Upłynęło: 1 minut(y), 31 sekund(y)

 

Wykrytych procesów w pamięci: 0

(Nie znaleziono zagrożeń)

 

Wykrytych modułów w pamięci: 0

(Nie znaleziono zagrożeń)

 

Wykrytych kluczy rejestru: 0

(Nie znaleziono zagrożeń)

 

Wykrytych wartości rejestru: 1

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|45781 (Trojan.Agent) -> Data: C:\PROGRA~3\LOCALS~1\Temp\msuuul.cmd -> Usuń po ponownym uruchomieniu.

 

Wykryte wpisy rejestru systemowego: 0

(Nie znaleziono zagrożeń)

 

wykrytych folderów: 0

(Nie znaleziono zagrożeń)

 

Wykrytych plików: 0

(Nie znaleziono zagrożeń)

 

(zakończone)

[DillGang 1]

Zrób logi: KLIK .

[Qjol 0]

witam mam na komputerze wirusa trojan agent gen auto run swisyn i chciałbym to usunąć

 

Pomimo tego dodam że nie mogę się zlogować na programy pocztowe takie jak Outlok czy thunderbird i od jakegoś czasu na pocztę przychodził mi pusty mail w spamie. Proszę o szybką pomoć z góry dzięki.

 

 

 

 

 

oto logo z hijacks

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Logfile of HijackThis v1.99.1

Scan saved at 19:41:21, on 2014-04-23

Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.21376)

 

Running processes:

C:\windows\System32\smss.exe

C:\windows\system32\csrss.exe

C:\windows\system32\winlogon.exe

C:\windows\system32\services.exe

C:\windows\system32\lsass.exe

C:\windows\system32\Ati2evxx.exe

C:\windows\system32\svchost.exe

C:\windows\system32\svchost.exe

C:\windows\System32\svchost.exe

C:\windows\system32\svchost.exe

C:\windows\system32\svchost.exe

C:\Program Files\AVAST Software\Avast\AvastSvc.exe

C:\windows\system32\Ati2evxx.exe

C:\windows\Explorer.EXE

C:\windows\system32\spoolsv.exe

C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe

C:\windows\RTHDCPL.EXE

C:\Program Files\AVAST Software\Avast\AvastUI.exe

C:\windows\system32\ctfmon.exe

C:\Program Files\Spybot - Search & Destroy 2\SDUpdate.exe

C:\Program Files\Java\jre7\bin\jqs.exe

C:\Program Files\Spybot - Search & Destroy 2\SDFSSvc.exe

C:\windows\system32\svchost.exe

C:\windows\System32\alg.exe

C:\windows\system32\wuauclt.exe

C:\Program Files\Steam\steam.exe

C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\windows\system32\wscntfy.exe

C:\Program Files\Mozilla Firefox\plugin-container.exe

C:\Program Files\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.pl/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy 2\SDHelper.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll

O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre7\bin\ssv.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre7\bin\jp2ssv.dll

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [AvastUI.exe] "C:\Program Files\AVAST Software\Avast\AvastUI.exe" /nogui

O4 - HKCU\..\Run: [CTFMON.EXE] C:\windows\system32\ctfmon.exe

O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000

O9 - Extra button: Wyślij do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: Wyślij &do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy 2\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy 2\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O11 - Options group: [iNTERNATIONAL] International*

O11 - Options group: [TABS] Tabbed Browsing

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll

O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)

O20 - Winlogon Notify: SDWinLogon - SDWinLogon.dll (file missing)

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\wpdshserviceobj.dll

O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\windows\system32\Ati2evxx.exe

O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\AVAST Software\Avast\AvastSvc.exe

O23 - Service: Usługa Google Update (gupdate) (gupdate) - Unknown owner - C:\Program Files\Google\Update\GoogleUpdate.exe" /svc (file missing)

O23 - Service: Usługa Google Update (gupdatem) (gupdatem) - Unknown owner - C:\Program Files\Google\Update\GoogleUpdate.exe" /medsvc (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: IMF Service (IMFservice) - IObit - C:\Program Files\IObit\IObit Malware Fighter\IMFsrv.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Program Files\Java\jre7\bin\jqs.exe" -service -config "C:\Program Files\Java\jre7\lib\deploy\jqs\jqs.conf (file missing)

O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe

O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe

O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)

O23 - Service: Spybot-S&D 2 Scanner Service (SDScannerService) - Safer-Networking Ltd. - C:\Program Files\Spybot - Search & Destroy 2\SDFSSvc.exe

O23 - Service: Spybot-S&D 2 Updating Service (SDUpdateService) - Safer-Networking Ltd. - C:\Program Files\Spybot - Search & Destroy 2\SDUpdSvc.exe

O23 - Service: Spybot-S&D 2 Security Center Service (SDWSCService) - Safer-Networking Ltd. - C:\Program Files\Spybot - Search & Destroy 2\SDWSCSvc.exe

O23 - Service: Skype Updater (SkypeUpdate) - Skype Technologies - C:\Program Files\Skype\Updater\Updater.exe

O23 - Service: Sony PC Companion - Avanquest Software - C:\Program Files\Sony\Sony PC Companion\PCCService.exe

[filutka78 11]

-------------->>@Qjol

 

HijackThis to starożytne narzędzie, od kilku lat nie używane już do wykrywania infekcji (bo infekcje nauczyły się go omijać.

 

Jeśli używałeś pendrive, to teraz użyj >USBFix

Kliknij w nim na: DELETION.

Daj raport z tego usuwania.

 

Zrób logi z OTL > http://forum.pclab.pl/topic/893302-WA%C5%BBNE-Wymagane-logi-systemowe-w-tym-dziale/page__p__11808005entry11808005

 

F.

[Qjol 0]

Oto logo z OTL http://www.wklej.org/id/1341112/

 

OTL Extras http://www.wklej.org/id/1341114/

 

USB fiX po usunieciu http://www.wklej.org/id/1341117/

[filutka78 11]

Oto logo z OTL http://www.wklej.org/id/1341112/

 

OTL Extras http://www.wklej.org/id/1341114/

 

USB fiX po usunieciu http://www.wklej.org/id/1341117/

USBFix miał być użyty z opcji DELETION.

Potórz to.

 

F.

(zajrzę tu dopiero jutro)

[Qjol 0]

http://www.wklej.org/id/1341766/ Deletion

[filutka78 11]

Masz jeszcze starą infekcję z Facebook - aż dziwne, że nie wykrył jej MBAM, którego używałeś.

 

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL

[2013-12-27 18:51:13 | 000,000,000 | ---D | M] -- C:\Documents and Settings\adam\Dane aplikacji\systweak

[2011-11-19 10:36:21 | 000,000,000 | -HSD | M] -- C:\Documents and Settings\adam\Dane aplikacji\.#

[2011-07-10 17:08:50 | 000,000,002 | ---- | C] () -- C:\Documents and Settings\All Users\timerxfile

[2011-07-10 17:08:50 | 000,000,002 | ---- | C] () -- C:\Documents and Settings\All Users\datesavefile

[2011-07-10 17:08:50 | 000,000,001 | ---- | C] () -- C:\Documents and Settings\All Users\varsavefile

[2011-07-10 17:08:49 | 000,004,768 | ---- | C] () -- C:\Documents and Settings\All Users\operaprefs.ini

[2014-04-23 20:02:16 | 000,000,342 | ---- | M] () -- C:\windows\tasks\ROC_JAN2013_TB_rmv.job

[2012-03-28 20:32:07 | 000,347,136 | RHS- | C] (NirSoft) -- C:\Documents and Settings\All Users\nircmd.exe

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 10.51.2)

O16 - DPF: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 10.51.2)

O4 - HKU\.DEFAULT..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe File not found

O4 - HKU\S-1-5-18..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe File not found

O3 - HKU\S-1-5-21-796845957-1957994488-1801674531-1003\..\Toolbar\ShellBrowser: (no name) - {10921475-03CE-4E04-90CE-E2E7EF20C814} - No CLSID value found.

FF - HKCU\Software\MozillaPlugins\ubisoft.com/uplaypc: File not found

FF - HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin: File not found

DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\WinUSB.sys -- (WinUSB)

DRV - File not found [Kernel | On_Demand | Stopped] -- -- (WDICA)

DRV - File not found [Kernel | Boot | Stopped] -- System32\drivers\gtwwinr.sys -- (uaokf)

DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\RTL8139.SYS -- (rtl8139)

 

:Reg

[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"=-

[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"=-

[HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"=-

[HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"=-

[HKEY_USERS\S-1-5-21-796845957-1957994488-1801674531-1003\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\JavaSoft]

"SPONSORS"="DISABLE"

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}]

 

:Commands

[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.

Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

 

Czy "Trojan Agent" jest dalej wykrywany?

 

F.

[Qjol 0]

Po skrypcie http://www.wklej.org/id/1341983/

 

OTL http://www.wklej.org/id/1341984/

 

Mam jeszcze pytanie:

 

Czy ta infekcja mogła powodować że nie mogłem się zalogować na outloka a po wejściu na moje konto w interi było napisane że w bardzo krótkim czasie wysłałem dużo wiadomości i konto zaostało zablokowane ?

[filutka78 11]

Czy ta infekcja mogła powodować że nie mogłem się zalogować na outloka

Raczej bez żadnego związku.

 

a po wejściu na moje konto w interi było napisane że w bardzo krótkim czasie wysłałem dużo wiadomości i konto zaostało zablokowane ?

Tak, mogło tak być.

 

Kończymy:

W USBFix kliknij na przycisk UNINSTALL.

W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.

 

F.

[Qjol 0]

Dzięki wielkie. Pomogło.