Trojan/Zlob.IntCodec - Trojan Downloader (vyřešeno)

[kamoš]

Trojan/Zlob.IntCodec (Trojan Downloader)
Prosím,může mi někdo pomoci s tímto šmejdem?Už jsem zkoušel Spyware terminator a Search and destroy programy,ty mi to vždycky najdou a částečně zničí ale ne všechno,pak zapnu znovu PC a je to tu nanovo.
Tady je log z HiJackThis :

Logfile of HijackThis v1.99.1
Scan saved at 21:57:57, on 28.9.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\WinMediaCodec\pmsngr.exe
C:\Program Files\WinMediaCodec\isamonitor.exe
C:\WINDOWS\SiSUSBrg.exe
C:\Program Files\WinMediaCodec\pmmon.exe
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\WinMediaCodec\isamini.exe
C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Microsoft Office\Office10\msoffice.exe
C:\Program Files\Eset\nod32krn.exe
C:\Program Files\WinClamAVShield\sp_clam.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Spyware Terminator\SpywareTerminator.exe
C:\DOCUME~1\UIVATE~1\LOCALS~1\Temp\Dočasný adresář 2 pro hijackthis.zip\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programy\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {202a961f-23ae-42b1-9505-ffe3c818d717} - C:\Program Files\WinMediaCodec\isaddon.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Protection Bar - {479fd0cf-5be9-4c63-8cda-b6d371c67bd5} - C:\Program Files\WinMediaCodec\iesplugin.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\system32\sistray.EXE
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [pdfFactory Pro Dispatcher v2] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis2a.exe" /source=HKLM
O4 - HKLM\..\Run: [QuickTime Task] "D:\Quick\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Reader Speed Launch.lnk = D:\Programy\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{652D3F74-905F-4F56-B021-9D04EC3241F2}: NameServer = 192.168.154.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{652D3F74-905F-4F56-B021-9D04EC3241F2}: NameServer = 192.168.154.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{652D3F74-905F-4F56-B021-9D04EC3241F2}: NameServer = 192.168.154.1
O20 - AppInit_DLLs:
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: eeler - {1559e6c1-7e5e-4461-9457-6a2dea85eb9f} - C:\WINDOWS\system32\titiau.dll
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

Moc děkuji za pomoc

[Reklama]

[fredik]

Stáhni si odsud SmitFraudFix - a vybal obsah archívu třeba na plochu nebo někam na disk.
Poté postupuj dál dle tohoto návodu, s tím rozdílem, že SmitFraudFix si již stáhl a že po spuštění počítače v nouzovém režimu spustíš soubor smitfraudfix.cmd

Fixni v HJT
O21 - SSODL: eeler - {1559e6c1-7e5e-4461-9457-6a2dea85eb9f} - C:\WINDOWS\system32\titiau.dll

Po té vlož nový log z HJT.

[mikel]

A hlavně si pamatuj jedno pravidlo - při odstraňování nákazy si vždy vypni Obnovení systému (Tento počítač/Vlastnosti/Obnovení systému).

[kamoš]

Chlapi,zdá se, že jste mi pomohli,nechci to přechválit příliš brzy,vkládám sem nový log z HiJackThis.
Ten řádek, který jsem měl smazat tedy 021,už tam nebyl.
Je to tedy OK ?

[kamoš]

tedy,ještě ten log,jsem trochu rozhozený,tak sorry.
Logfile of HijackThis v1.99.1
Scan saved at 0:16:21, on 30.9.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\SiSUSBrg.exe
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
D:\Programy\Reader\reader_sl.exe
C:\Program Files\Microsoft Office\Office10\msoffice.exe
C:\Program Files\WinClamAVShield\sp_clam.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\DOCUME~1\UIVATE~1\LOCALS~1\Temp\Dočasný adresář 3 pro hijackthis.zip\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programy\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\system32\sistray.EXE
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [pdfFactory Pro Dispatcher v2] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis2a.exe" /source=HKLM
O4 - HKLM\..\Run: [QuickTime Task] "D:\Quick\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Reader Speed Launch.lnk = D:\Programy\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{652D3F74-905F-4F56-B021-9D04EC3241F2}: NameServer = 192.168.154.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{652D3F74-905F-4F56-B021-9D04EC3241F2}: NameServer = 192.168.154.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{652D3F74-905F-4F56-B021-9D04EC3241F2}: NameServer = 192.168.154.1
O20 - AppInit_DLLs:
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

Ještě jednou.MOC děkuju za pomoc.
kamoš

[mikel]

Ještě to není všechno.

1. Fixni ještě zbytečnosti při startu woken:
O4 - HKLM\..\Run: [QuickTime Task] "D:\Quick\qttask.exe" -atboottime
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Reader Speed Launch.lnk = D:\Programy\Reader\reader_sl.exe

2. Dej sem ještě log z MWAV.

3. Ve spuštěných procesech vidím jak NOD32, tak ještě ClamWin Antivirus. Není dobré používat 2 antiviry, protože se většinou hádají a pak vyhrávají šmejdi, kteří se ti chtějí dostat do PC. Doporučuju nechat si Noda a zbavit se ClamWinu.

4. Chybí ti firewall, takže si nainstaluj třeba Kerio.

5. Přestaň používat IE a nainstaluj si nějaký jiný prohlížeč - Firefox, Opera.

6. Přestaň používat MSN Messenger, protože je hodně děravý v bezpečnosti a používej třeba Mirandu, která zvládá více protokolů (MSN, ICQ, AIM, Jabber, SKYPE, ...).

[kamoš]

Co jsem mohl,jsem udělal.Scan z MWAW mě našel 5 objektů.Už jsem si myslel, že od včerejška to mám čisté.Docela těžko se v tom logu hledá co tam nepatří.Přikládám to.Ještě jednou prosím o radu a pomoc.
Díky,kamoš

Sat Sep 30 21:04:48 2006 => Offending Key found: HKLM\Software\microsoft\downloadmanager !!!
Sat Sep 30 21:05:01 2006 => Object "istbar Spyware/Adware" found in File System! Action Taken: No Action Taken.

Sat Sep 30 21:05:11 2006 => Offending file found: C:\WINDOWS\vb.ini
Sat Sep 30 21:05:11 2006 => System found infected with virusburst Trojan (CSat Sep 30 21:06:24 2006 => Scanning File C:\DOCUME~1\UIVATE~1\LOCALS~1\Temp\Cookies\uživatel@www.virusburst[1].txt:\WINDOWS\vb.ini)! Action taken: No Action Taken.

Sat Sep 30 21:09:57 2006 => ***** Scanning complete. *****

Sat Sep 30 21:09:57 2006 => Total Objects Scanned: 24944
Sat Sep 30 21:09:57 2006 => Total Critical Objects: 5
Sat Sep 30 21:09:57 2006 => Total Disinfected Objects: 0
Sat Sep 30 21:09:57 2006 => Total Objects Renamed: 0
Sat Sep 30 21:09:57 2006 => Total Deleted Objects: 0
Sat Sep 30 21:09:57 2006 => Total Errors: 119
Sat Sep 30 21:09:57 2006 => Time Elapsed: 00:05:29
Sat Sep 30 21:09:57 2006 => Virus Database Date: 9/30/2006
Sat Sep 30 21:09:57 2006 => Virus Database Count: 227729

Sat Sep 30 21:09:57 2006 => Scan Completed.

[kamoš]

to mikel : Hodil jsem tam podle tvé rady log z MWAW se škodlivými kódy,můžeš mi prosím poradit jak se toho zbavit?
Search and destroy a Spyware terminator po konrole hlásí, že to mám v pořádku.
Dík
kamoš

[mikel]

- pomocí CCleaneru vyčisti disk.
- pak smaž soubor C:\WINDOWS\vb.ini
- pak v editoru registrů smaž tento klíč HOT_KEY_LOCAL_MACHINE\Software\microsoft\downloadmanager

Bohužel to není všechno, takže udělěj nový log z MWAV a dej ho sem. Nejjednodušší bude vyhledávání pomocí "action taken" a dávej sem ty položky i s předcházejícím řádkem.

P.S. Že Spybot + Spy.Terminator nic neobjevili ještě nic neznamená. Spyware Terminator ještě nebyl dostatečně testovaný, takže nevíme, jak moc je dobrý. Spybot je slabý na vyhledávání malware, ale velmi dobrý na odstraňování.

[kamoš]

to mikel: udělal jsem všechno podle tvé rady a tady je nový log z MWAW.Hoď na to zkušeně oko a napiš prosím co dál. Zase to našlo něco špatného asi. Poraď jak se toho zbavit.
Dík
kamoš

Thu Oct 05 01:30:36 2006 => Offending file found: C:\Documents and Settings\Uživatel\Recent\vb.lnk
Thu Oct 05 01:30:36 2006 => System found infected with virusburst Trojan (vb.lnk)! Action taken: No Action Taken.
Thu Oct 05 01:30:38 2006 => Checking CLSID Reference Entries...
Thu Oct 05 01:30:39 2006 => Entry "HKCR\Microsoft.ActiveXPlugin" refers to invalid object "{06DD38D3-D187-11CF-A80D-00C04FD74AD8}". Action Taken: No Action Taken.
Thu Oct 05 01:30:39 2006 => Entry "HKCR\Microsoft.ActiveXPlugin.1" refers to invalid object "{06DD38D3-D187-11CF-A80D-00C04FD74AD8}". Action Taken: No Action Taken.
Thu Oct 05 01:30:39 2006 => Checking User Trusted External App Entries...
Thu Oct 05 01:30:39 2006 => Entry "HKCU\Software\Netscape\Netscape Navigator\User Trusted External Applications" refers to invalid object "d:\QuickTimePlayer.exe". Action Taken: No Action Taken.
Thu Oct 05 01:30:39 2006 => Entry "HKCU\Software\Netscape\Netscape Navigator\User Trusted External Applications" refers to invalid object "d:\PictureViewer.exe". Action Taken: No Action Taken.
Thu Oct 05 01:30:40 2006 => Checking Application Cache Entries...
Thu Oct 05 01:30:40 2006 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "AXIS Media Control Embedded". Action Taken: No Action Taken.
Thu Oct 05 01:30:40 2006 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "AXIS Media Control Embedded". Action Taken: No Action Taken.

Thu Oct 05 01:30:40 2006 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "HijackThis". Action Taken: No Action Taken.

[kamoš]

to mikel :ještě jsem zapomněl sem dát výsledek skenování.
Thu Oct 05 01:32:02 2006 => ***** Scanning complete. *****

Thu Oct 05 01:32:02 2006 => Total Objects Scanned: 19656
Thu Oct 05 01:32:02 2006 => Total Critical Objects: 1
Thu Oct 05 01:32:02 2006 => Total Disinfected Objects: 0
Thu Oct 05 01:32:03 2006 => Total Objects Renamed: 0
Thu Oct 05 01:32:03 2006 => Total Deleted Objects: 0
Thu Oct 05 01:32:03 2006 => Total Errors: 6
Thu Oct 05 01:32:03 2006 => Time Elapsed: 00:04:41
Thu Oct 05 01:32:03 2006 => Virus Database Date: 9/30/2006
Thu Oct 05 01:32:03 2006 => Virus Database Count: 227629

Thu Oct 05 01:32:03 2006 => Scan Completed.

[fredik]

Zapni si zobrazení skrytých souborů a smaž ten červený.
C:\Documents and Settings\Uživatel\Recent\vb.lnk

Už by to mělo být pak OK.