SarKter Napisano Luty 8, 2011 Zgłoś Share Napisano Luty 8, 2011 Dzisiaj AVG wykrył dwa trojany, które ukryły się w plikach brata. Antywirus przeniósł trojany do kwarantanny, skąd je skasowałem. Dla pewności proszę, abyście sprawdzili loga z programu Hijackthis. Chcę być pewien, że komputer jest bezpieczny i czysty. Czy te trojany są groźne? -Exploit_C.TTH -Agent2_CCBR Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 13:00:15, on 2011-02-08 Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\AVG\AVG9\avgchsvx.exe C:\Program Files\AVG\AVG9\avgrsx.exe C:\Program Files\AVG\AVG9\avgcsrvx.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe C:\WINDOWS\ATKKBService.exe C:\Program Files\AVG\AVG9\avgwdsvc.exe C:\Program Files\Bonjour\mDNSResponder.exe C:\Program Files\Java\jre6\bin\jqs.exe C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe C:\Program Files\Microsoft LifeCam\MSCamS32.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\AVG\AVG9\avgnsx.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\RTHDCPL.EXE C:\Program Files\ASUS\GamerOSD\GamerOSD.exe C:\Program Files\Microsoft IntelliType Pro\type32.exe C:\Program Files\Microsoft IntelliPoint\point32.exe C:\WINDOWS\vVX3000.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\Samsung\PanelMgr\SSMMgr.exe C:\WINDOWS\Twain_32\Samsung\CLX3170\Scan2pc.exe C:\PROGRA~1\AVG\AVG9\avgtray.exe C:\Program Files\iTunes\iTunesHelper.exe C:\Program Files\Common Files\Java\Java Update\jusched.exe C:\Program Files\Microsoft ActiveSync\wcescomm.exe C:\WINDOWS\system32\ctfmon.exe C:\PROGRA~1\MI3AA1~1\rapimgr.exe C:\Program Files\ASUS WiFi-AP Solo\RtWLan.exe C:\Program Files\iPod\bin\iPodService.exe C:\Documents and Settings\User\Pulpit\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza R3 - URLSearchHook: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\Search Settings\kb127\SearchSettings.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG9\avgssie.dll O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O2 - BHO: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\Search Settings\kb127\SearchSettings.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file) O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\system32\JMRaidTool.exe boot O4 - HKLM\..\Run: [GamerOSD] C:\Program Files\ASUS\GamerOSD\GamerOSD.exe O4 - HKLM\..\Run: [type32] "C:\Program Files\Microsoft IntelliType Pro\type32.exe" O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe" O4 - HKLM\..\Run: [LifeCam] "C:\Program Files\Microsoft LifeCam\LifeExp.exe" O4 - HKLM\..\Run: [VX3000] C:\WINDOWS\vVX3000.exe O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [Samsung PanelMgr] C:\WINDOWS\Samsung\PanelMgr\SSMMgr.exe /autorun O4 - HKLM\..\Run: [3170 Scan2PC] "C:\WINDOWS\Twain_32\Samsung\CLX3170\Scan2pc.exe" O4 - HKLM\..\Run: [AVG9_TRAY] C:\PROGRA~1\AVG\AVG9\avgtray.exe O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Common Files\Apple\Mobile Device Support\AppleSyncNotifier.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe" O4 - HKCU\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: ASUS WiFi-AP Solo.lnk = ? O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1181080259140 O16 - DPF: {92ECE6FA-AC2E-4042-BFAE-0C8608E52A43} (SignActivX Control) - https://www.bph.pl/sezam/components/SignActivX.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{70732D2B-F1F0-4F93-B16E-AA0ECC049E08}: NameServer = 208.67.222.222 O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG9\avgpp.dll O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: avgrsstarter - avgrsstx.dll (file missing) O22 - SharedTaskScheduler: Moduł wstępnego ładowania interfejsu Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: Demon buforu kategorii składników - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe O23 - Service: AVG Free WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG9\avgwdsvc.exe O23 - Service: Usługa Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Usługa iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe -- End of file - 8979 bytes Dzięki za pomoc. A i jeszcze jedno pytanie: W jaki sposób mogę się na 100% upewnić, że komputer nie jest zainfekowany czymś jeszcze? Te były spowodowane prawdopodobnie przez spreparowany plik PDF, który został otworzony przez brata. Link do komentarza Udostępnij na innych stronach More sharing options...
Sevard Napisano Luty 8, 2011 Zgłoś Share Napisano Luty 8, 2011 HijackThis w stanie obecnym jest już przestarzałym narzędziem i mówi niewiele. 1. Wykonaj pełne skanowanie systemu programem Malwarebytes' Anti-Malware. 2. Ściągnij i uruchom OTL. W OTL pozaznaczaj opcje Infekcja LOP - Sprawdzanie oraz Infekcja Purity - Sprawdzanie, Skanuj wszystkich użytkowników (resztę zostaw bez zmian), poza tym we wszystkich sekcjach zaznacz opcję Użyj filtrowania i kliknij skanuj. 3. Jeśli masz programy emulujące napędy, to ściągnij program Defogger, uruchom go i wyłącz nim emulację napędów. 4. Ściągnij program GMER. Nie zmieniaj żadnych opcji i kliknij przycisk Szukaj. Po zakończeniu pracy zostaniesz poinformowany, że log został zapisany w schowku. Otwórz notatnik, wklej go i zapisz na dysku. W przypadku problemów z GMERem spróbuj uruchomić go w trybie awaryjnym, jeśli i to się nie uda, to będzie trzeba kombinować inaczej. Na forum zamieść logi z Malwarebytes', OTL (otl.txt oraz extras.txt) i GMERa. Daj je albo jako załączniki do posta, albo wrzuć na wklej.org, a tu daj linka. Link do komentarza Udostępnij na innych stronach More sharing options...
SarKter Napisano Luty 8, 2011 Autor Zgłoś Share Napisano Luty 8, 2011 W programie GMER wykryło mi trojana generic21.OB. Nie zdążyłem go nawet włączyć. Dziwne, zaraz logi z OTla dam. http://wklej.org/id/472237/ Extras http://wklej.org/hash/27aed9ccf7e/ OTL Malwarebyte's wynik: Malwarebytes' Anti-Malware 1.50.1.1100 www.malwarebytes.org Wersja bazy: 5710 Windows 5.1.2600 Dodatek Service Pack 3 Internet Explorer 8.0.6001.18702 2011-02-08 15:34:40 mbam-log-2011-02-08 (15-34-40).txt Typ skanowania: Pełne skanowanie (C:\|D:\|E:\|F:\|) Przeskanowano obiektów: 399324 Upłynęło: 1 godzin(y), 11 minut(y), 8 sekund(y) Zainfekowanych procesów w pamięci: 0 Zainfekowanych modułów w pamięci: 0 Zainfekowanych kluczy rejestru: 9 Zainfekowanych wartości rejestru: 1 Zainfekowane informacje rejestru systemowego: 0 Zainfekowanych folderów: 0 Zainfekowanych plików: 1 Zainfekowanych procesów w pamięci: (Nie znaleziono zagrożeń) Zainfekowanych modułów w pamięci: (Nie znaleziono zagrożeń) Zainfekowanych kluczy rejestru: HKEY_CLASSES_ROOT\CLSID\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\TypeLib\{CD082CCA-086F-4FD8-8FD7-247A0DBBD1CC} (PUP.Dealio) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{D5A1EF9A-7948-435D-8B87-D6A598317288} (PUP.Dealio) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\SearchSettings.BHO.1 (PUP.Dealio) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\SearchSettings.BHO (PUP.Dealio) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Dealio (PUP.Dealio) -> Quarantined and deleted successfully. Zainfekowanych wartości rejestru: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAM FILES\SEARCH SETTINGS\KB127\SEARCHSETTINGS.DLL (PUP.Dealio) -> Value: SEARCHSETTINGS.DLL -> Quarantined and deleted successfully. Zainfekowane informacje rejestru systemowego: (Nie znaleziono zagrożeń) Zainfekowanych folderów: (Nie znaleziono zagrożeń) Zainfekowanych plików: c:\program files\search settings\kb127\searchsettings.dll (PUP.Dealio) -> Quarantined and deleted successfully. Link do komentarza Udostępnij na innych stronach More sharing options...
Sevard Napisano Luty 8, 2011 Zgłoś Share Napisano Luty 8, 2011 Zamieść log z GMERa, bo bez tego nie widzę co dokładnie znalazł. Link do komentarza Udostępnij na innych stronach More sharing options...
SarKter Napisano Luty 8, 2011 Autor Zgłoś Share Napisano Luty 8, 2011 Właśnie z tym problem mam. Jak pisałem wykrywa mi wirusa. Odpalić mimo to? EDIT: Pobrałem archiwum zamiast .exe i jest ok, zaraz wkleję loga. Edit: GMER skończył skan, ale po wciśnięciu kopiuj komputer całkowicie się zawiesił. Po resecie najpierw nic się nie działo, po chwili pojawił się komunikat "Reboot and select proper boot device or insert boot media". Wyłączyłem komputer i za kilka minuta włączyłem. Tym razem bardzo długo się uruchamiał i wszystko działało bardzo wolno. Tak jest za każdym razem. Bootowanie Windowsa trwa bardzo długo, potem wszystko działa normalnie. Co się stało? Link do komentarza Udostępnij na innych stronach More sharing options...
Sevard Napisano Luty 8, 2011 Zgłoś Share Napisano Luty 8, 2011 Trudno powiedzieć, bo GMER czegoś takiego sam z siebie nie powoduje, o ile użytkownik nie podejmuje w nim prób dezynfekcji na własny rachunek. Tego typu rzeczy występują przy uszkodzeniu systemu plików. Pokaż odczyty S.M.A.R.T. dysku. Ponadto sprawdź system plików w następujący sposób: 1. Otwórz wiersz polecenia (Start > Uruchom ... w pole, które się pojawi wpisz cmd). 2. W wierszu polecenia wpisz komendę chkdsk /f c: najpewniej wyświetlony zostanie komunikat, że system nie może sprawdzić partycji, gdyż jest używana. Dostaniesz pytanie, czy chcesz przeprowadzić sprawdzanie systemu plików przy następnym uruchamianiu komputera. Zgódź się na to i ponownie uruchom komputer. Napisz, czy jakieś błędy zostały znalezione. Link do komentarza Udostępnij na innych stronach More sharing options...
SarKter Napisano Luty 8, 2011 Autor Zgłoś Share Napisano Luty 8, 2011 CHKDSK już wykonałem, niestety nic nie pomogło, błędy były, ale zostały naprawione. Czy możliwe jest to, że HDD w jakiś sposób uległ uszkodzeniu po resecie? Znalazłem w internecie podobny przypadek, ale tamtej osobie windows się już nie uruchomił. Link do komentarza Udostępnij na innych stronach More sharing options...
Sevard Napisano Luty 8, 2011 Zgłoś Share Napisano Luty 8, 2011 Tak, jeśli resetujesz kompa w sposób niepoprawny, to coś takiego może się zdarzyć. Daj jeszcze S.M.A.R.T. to zobaczymy, czy sam dysk nie oberwał. Link do komentarza Udostępnij na innych stronach More sharing options...
SarKter Napisano Luty 9, 2011 Autor Zgłoś Share Napisano Luty 9, 2011 Oto wynik. Czyli chyba jest dobrze. Być może coś się z plikami systemu stało podczas resetu. Ten niebieski pasek na ekranie bootloada windowsa przesuwa się prawie 54(!!) razy zanim system się uruchomi. Wcześniej było to ok. 10 takich przejść. Próbowałem uruchomić przywracanie systemu, które nie zadziałało. Przypuszczam, że antywirus uszkodził kopie zapasowe, gdy skasował wirusa ukrytego w backupie. Link do komentarza Udostępnij na innych stronach More sharing options...
Sevard Napisano Luty 9, 2011 Zgłoś Share Napisano Luty 9, 2011 Dysk jest ok. Sprawdź, czy w Podglądzie zdarzeń nie ma jakichś dziwnych błędów, może to coś wyjaśni. Możesz też sprawdzić pliki systemowe. By to zrobić kliknij wrzuć do napędu płytę z Windowsem i następnie kliknij Start > Uruchom ... i w polu, które się pojawi wpisz komendę sfc /scannow Tu masz opis tego narzędzia. Link do komentarza Udostępnij na innych stronach More sharing options...
SarKter Napisano Luty 9, 2011 Autor Zgłoś Share Napisano Luty 9, 2011 Nie można uruchomić usługi DgiVecp z powodu następującego błędu: Nie można odnaleźć urządzenia. Nie można uruchomić usługi SSPORT z powodu następującego błędu: Nie można odnaleźć określonego pliku. Takie coś jest oznaczone jako błąd w podglądzie. Link do komentarza Udostępnij na innych stronach More sharing options...
Sevard Napisano Luty 9, 2011 Zgłoś Share Napisano Luty 9, 2011 Te błędy występowały już wcześniej. Powinno pomóc przeinstalowanie powiązanych z tymi usługami aplikacji. Link do komentarza Udostępnij na innych stronach More sharing options...