Wojtech Napisano Wrzesień 22, 2010 Zgłoś Share Napisano Wrzesień 22, 2010 Witam, mam kłopot z wirusem, którego niestety nie mogę wywalić. Wiem, że killbox powinien sobie poradzić, ale pisze, bo nie wiem i nie pamiętam do końca jak te czynności wykonać. Do tego mam wielką prośbę, o sprawdzenie logów z HJT. ogfile of Trend Micro HijackThis v2.0.2 Scan saved at 23:37:30, on 2010-09-22 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe D:\AVAST Home Edition PL\aswUpdSv.exe D:\AVAST Home Edition PL\ashServ.exe C:\WINDOWS\SYSTEM32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe D:\AVASTH~1\ashDisp.exe C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\FTRTSVC.exe C:\Program Files\Java\jre6\bin\jqs.exe C:\WINDOWS\runservice.exe C:\Program Files\Common Files\LightScribe\LSSrvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\UAService7.exe D:\AVAST Home Edition PL\ashWebSv.exe D:\AVAST Home Edition PL\ashMaiSv.exe C:\WINDOWS\System32\wbem\wmiapsrv.exe C:\Program Files\neostrada tp\neostradatp.exe C:\Program Files\neostrada tp\ComComp.exe C:\PROGRA~1\NEOSTR~1\Toaster.exe C:\PROGRA~1\NEOSTR~1\Inactivity.exe C:\PROGRA~1\NEOSTR~1\PollingModule.exe C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE C:\Program Files\neostrada tp\Watch.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\Mozilla Firefox\plugin-container.exe D:\guitar pro\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = neostrada tp R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O2 - BHO: IEPluginBHO - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Documents and Settings\Jan\Dane aplikacji\Nowe Gadu-Gadu\_userdata\ggbho.1.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [avast!] D:\AVASTH~1\ashDisp.exe O4 - HKLM\..\Run: [iSUSPM Startup] "C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -startup O4 - HKLM\..\Run: [speedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA LOKALNA') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA SIECIOWA') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{019125DA-29D3-45D8-B98E-1025BEC41EBC}: NameServer = 194.204.159.1 194.204.152.34 O17 - HKLM\System\CS1\Services\Tcpip\..\{019125DA-29D3-45D8-B98E-1025BEC41EBC}: NameServer = 194.204.159.1 194.204.152.34 O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\AVAST Home Edition PL\aswUpdSv.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: avast! Antivirus - ALWIL Software - D:\AVAST Home Edition PL\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - D:\AVAST Home Edition PL\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - D:\AVAST Home Edition PL\ashWebSv.exe O23 - Service: Defragmentation-Service (DfSdkS) - mst software GmbH, Germany - C:\Program Files\Ashampoo\Ashampoo WinOptimizer 6\Dfsdks.exe O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe O23 - Service: LicCtrl Service (LicCtrlService) - Unknown owner - C:\WINDOWS\runservice.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe O23 - Service: Logowanie do sieci (Netlogon) - Unknown owner - C:\WINDOWS\System32\lsass.exe O23 - Service: NMIndexingService - Unknown owner - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe (file missing) O23 - Service: Usługa NT LM Security Support Provider (NtLmSsp) - Unknown owner - C:\WINDOWS\System32\lsass.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe O23 - Service: Usługi IPSEC (PolicyAgent) - Unknown owner - C:\WINDOWS\System32\lsass.exe O23 - Service: Magazyn chroniony (ProtectedStorage) - Unknown owner - C:\WINDOWS\system32\lsass.exe O23 - Service: Menedżer kont zabezpieczeń (SamSs) - Unknown owner - C:\WINDOWS\system32\lsass.exe O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\System32\UAService7.exe -- End of file - 6990 bytes Tak na marginesie, Avast zaznacza mi jeden wirus w tym pliku: O23 - Service: Usługi IPSEC (PolicyAgent) - Unknown owner - C:\WINDOWS\System32\lsass.exe Pozdrawiam serdecznie Link do komentarza Udostępnij na innych stronach More sharing options...
Sevard Napisano Wrzesień 22, 2010 Zgłoś Share Napisano Wrzesień 22, 2010 Logi z HijackThis to już obecnie raczej przeżytek. Poproszę nieco inny zestaw logów. 1. Jeśli masz programy emulujące napędy, to ściągnij program Defogger, uruchom go i wyłącz nim emulację napędów. 2. W OTL w sekcji Rejestr - skan dodatkowy zaznacz opcję Użyj filtrowania, poza tym pozaznaczaj również opcje Infekcja LOP - Sprawdzanie oraz Infekcja Purity - Sprawdzanie, Skanuj wszystkich użytkowników i kliknij skanuj. 3. Ściągnij program GMER. Nie zmieniaj żadnych opcji i kliknij przycisk Szukaj. Po zakończeniu pracy zostaniesz poinformowany, że log został zapisany w schowku. Otwórz notatnik, wklej go i zapisz na dysku. Logi powstałe w krokach 2 oraz 3 (czyli dwa logi z OTL oraz log z GMERa) wrzuć na forum. Najlepiej jako załącznik do posta, albo na wklej.org i daj linki na forum. W razie problemów z GMERem spróbuj go odpalić w trybie awaryjnym, jeśli i tam będzie sprawiał kłopoty, to daj znać. Poza tym nie podczepiaj się do cudzych programów tematów. Link do komentarza Udostępnij na innych stronach More sharing options...
Wojtech Napisano Wrzesień 23, 2010 Autor Zgłoś Share Napisano Wrzesień 23, 2010 Witam ponownie. W załączniku są logi z OTL i GMER. Natomiast nie rozumiem Cię Sevard, że niby gdzie się podpinam pod cudzy program??? PozdrawiamOTL.TxtExtras.Txtlog_GEMRE.txt Link do komentarza Udostępnij na innych stronach More sharing options...
Sevard Napisano Wrzesień 24, 2010 Zgłoś Share Napisano Wrzesień 24, 2010 Całkiem ciekawy rootkit, zdaje się wykradające dane do banku. Zaraz go wykończymy. 1. Ściągnij program rustbfix.exe na Pulpit (to jest istotne) i go uruchom. 2. Program coś tam będzie mielił, parę razy zresetuje system. Po zakończeniu pracy programu otrzymasz dwa logi. Wrzuć je na forum i do tego dorzuć nowe logi z OTL oraz GMERa. Wszystko wygenerowane w ten sam sposób co poprzednio, tylko pomiń krok z Deffogerem. PS Miałem napisać tematów, a nie programów. Źle mi się napisało. Link do komentarza Udostępnij na innych stronach More sharing options...
Wojtech Napisano Wrzesień 25, 2010 Autor Zgłoś Share Napisano Wrzesień 25, 2010 Witam, Nie ukrywam, że troszkę mnie przestraszyłeś tym, że ten wirus może mieć dostęp do danych bankowych. Nie obawiałbym się, gdyby tam nic nie było. Czy coś mogło już nastąpić? W załączniku są logi. Jedno ale. Program rustbfix nie zadziałał tak jak napisałeś. Zapisałem na pulpicie, odpaliłem i nagle pokazał się log, z jednym zdaniem. W sumie sam zobaczysz. Pozdrawiam.pelog.txtgmer_log.txtOTL.Txt2222.txtExtras.Txt22222.txt Link do komentarza Udostępnij na innych stronach More sharing options...
Sevard Napisano Wrzesień 25, 2010 Zgłoś Share Napisano Wrzesień 25, 2010 Dziwne, bo jednocześnie po logach widać, że sam plik rootkita jest usunięty, ale są wpisy w rejestrze, które też wypada skasować. Czy w międzyczasie podejmowałeś inne akcje? Jeśli tak, to jakie? Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL SRV - File not found [On_Demand | Stopped] -- C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe -- (NMIndexingService) SRV - File not found [Disabled | Stopped] -- C:\WINDOWS\System32\hidserv.dll -- (HidServ) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\ZDPSp50.sys -- (ZDPSp50) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\ZDCndis5.SYS -- (ZDCndis5) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\PCAMPR5.SYS -- (PCAMPR5) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\ccdcmbo.sys -- (nmwcdc) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\ccdcmb.sys -- (nmwcd) O3 - HKU\S-1-5-21-1993962763-1580818891-854245398-1003\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found. O3 - HKU\S-1-5-21-1993962763-1580818891-854245398-1003\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O3 - HKU\S-1-5-21-1993962763-1580818891-854245398-1003\..\Toolbar\WebBrowser: (no name) - {29C5A3B6-9A8D-4FA0-B5AD-3E20F4AA5C00} - No CLSID value found. O3 - HKU\S-1-5-21-1993962763-1580818891-854245398-1003\..\Toolbar\WebBrowser: (no name) - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - No CLSID value found. O3 - HKU\S-1-5-21-1993962763-1580818891-854245398-1003\..\Toolbar\WebBrowser: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found. :Reg [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pe386] :Commands [clearallrestorepoints] [emptyflash] [emptytemp] i kliknij Uruchom skrypt. Po restarcie otrzymasz log. Wrzuć go na forum do tego daj nowy zestaw logów. Poza tym wykonaj skanowanie systemu programami Malwarebytes' Anti-Spyware oraz SUPERAntispyware Free i wklej na forum logi z ich pracy. Link do komentarza Udostępnij na innych stronach More sharing options...