Skocz do zawartości

r   e   k   l   a   m   a

Zdjęcie

jak tego sie pozbyc


  • Zaloguj się, aby dodać odpowiedź
17 odpowiedzi w tym temacie

#1 sajmon122

sajmon122
  • Użytkownicy
  • 10 postów

Napisano 06.02.2008 - 10:15

C:\WINDOWS\system32\mstscex.dll - prawdopodobnie odmiana Win32/TrojanDownloader.Agent trojan
C:\WINDOWS\system32\oleauth32.dll - prawdopodobnie odmiana Win32/TrojanDownloader.Agent trojan
C:\WINDOWS\system32\winlogon.exe - Win32/Patched.B wirus
C:\WINDOWS\system32\dllcache\winlogon.exe - Win32/Patched.B wirus
C:\WINDOWS\system32\drivers\kcp.sys - Win32/Agent.NHJ trojan

#2 LeszekG

LeszekG
  • Użytkownicy
  • 137 postów

Napisano 06.02.2008 - 11:25

Logi podajemy w całości.

Pozdrawiam
Życie jest piękne , Jeżeli ktoś żyć umie.

Dołączona grafika
SZUKASZ CRACKA? - KLIKNI TU!

#3 sajmon122

sajmon122
  • Użytkownicy
  • 10 postów

Napisano 06.02.2008 - 11:42

to był wynik z NODA32

a to jest log

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:09:45, on 2008-02-06
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Spark\Spark.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Program Files\TightVNC\WinVNC.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Opoznienia\OpoznieniaN.Exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.pkp.com.pl:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 10.*;
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\WINDOWS\SERVICES.EXE
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\googletoolbar1.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [WinVNC] "C:\Program Files\TightVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [crtfmon] C:\WINDOWS\sysdll.exe
O4 - HKCU\..\Run: [Spark] C:\Program Files\Spark\Spark.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky... ... nicode.cab
O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.p...kanerOnline.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3F23E612-8ABC-4147-BA53-4403337F4836}: NameServer = 172.17.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{3F23E612-8ABC-4147-BA53-4403337F4836}: NameServer = 172.17.1.1
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: VNC Server (winvnc) - Constantin Kaplinsky - C:\Program Files\TightVNC\WinVNC.exe

--
End of file - 4519 bytes

#4 LeszekG

LeszekG
  • Użytkownicy
  • 137 postów

Napisano 06.02.2008 - 11:58

Witam pobierz i przeskanuj tym http://www.pctools.c... ... Xgod4gi-YQ
Życie jest piękne , Jeżeli ktoś żyć umie.

Dołączona grafika
SZUKASZ CRACKA? - KLIKNI TU!

#5 sajmon122

sajmon122
  • Użytkownicy
  • 10 postów

Napisano 06.02.2008 - 12:36

nic sie nie zmieniło :(

#6 LeszekG

LeszekG
  • Użytkownicy
  • 137 postów

Napisano 06.02.2008 - 12:54

Jeżeli ten nie pomógł spróbuj tym
http://dobreprogramy... ... y 1.5.2.20

Po przeskanowaniu daj nowe logi.
Życie jest piękne , Jeżeli ktoś żyć umie.

Dołączona grafika
SZUKASZ CRACKA? - KLIKNI TU!

#7 sajmon122

sajmon122
  • Użytkownicy
  • 10 postów

Napisano 06.02.2008 - 12:57

tyle tego pakowac

#8 LeszekG

LeszekG
  • Użytkownicy
  • 137 postów

Napisano 06.02.2008 - 13:00

Warto spróbować będą chronić twój komputer mają skaner rezydentny
Życie jest piękne , Jeżeli ktoś żyć umie.

Dołączona grafika
SZUKASZ CRACKA? - KLIKNI TU!

#9 sajmon122

sajmon122
  • Użytkownicy
  • 10 postów

Napisano 06.02.2008 - 13:21

a nod32 miał być dobry z kasperskim nie nialem takich problemow

#10 LeszekG

LeszekG
  • Użytkownicy
  • 137 postów

Napisano 06.02.2008 - 13:24

Jeden i drugi na swój sposób jest dobry a infekcji się niestety nie uniknie ,po prostu trzeba w internecie serfować z głową.
Przeskanowałeś ?
Życie jest piękne , Jeżeli ktoś żyć umie.

Dołączona grafika
SZUKASZ CRACKA? - KLIKNI TU!

#11 sajmon122

sajmon122
  • Użytkownicy
  • 10 postów

Napisano 06.02.2008 - 13:26

skanuje

#12 sajmon122

sajmon122
  • Użytkownicy
  • 10 postów

Napisano 06.02.2008 - 13:49

nic sie nie zmieniło


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:44:41, on 2008-02-06
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Program Files\TightVNC\WinVNC.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Program Files\Eset\nod32.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.pkp.com.pl:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 10.*;
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\WINDOWS\SERVICES.EXE
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\googletoolbar1.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [WinVNC] "C:\Program Files\TightVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [crtfmon] C:\WINDOWS\sysdll.exe
O4 - HKCU\..\Run: [Spark] C:\Program Files\Spark\Spark.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky... ... nicode.cab
O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.p...kanerOnline.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3F23E612-8ABC-4147-BA53-4403337F4836}: NameServer = 172.17.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{3F23E612-8ABC-4147-BA53-4403337F4836}: NameServer = 172.17.1.1
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: VNC Server (winvnc) - Constantin Kaplinsky - C:\Program Files\TightVNC\WinVNC.exe

--
End of file - 4949 bytes

#13 sajmon122

sajmon122
  • Użytkownicy
  • 10 postów

Napisano 06.02.2008 - 13:57

ciągle NOD wywala te same wiry co w 1 post wkleilem :(

#14 Gutek

Gutek

    Uczestnik HotZlotu

  • Użytkownicy
  • 26989 postów

Napisano 06.02.2008 - 20:29

Zastosuj się do tego Tematu i zmień tytuł tematu na konkretny inaczej KOSZ
Na forum używamy polskich znaczków (ę, ą, ś, ż, ź, ć, ń, ł, ó).
Pozdrawiam Gutek2222


Zmiana zasad wklejania logów na forum - viewtopic.php?f=16&t=213350
Pobierz program SDFix

[*:2drcjchc]Dwuklik na SDFix.exe następnie program wypakuje się na dysk systemowy (standardowo C:\SDFix)
[*:2drcjchc]Zrestartuj komputer i wejdź do trybu awaryjnego (klawisz F8 przed bootem Windowsa)
[*:2drcjchc]Wejdź do folderu z SDFix kliknij dwa razy na plik RunThis.bat
[*:2drcjchc]Wciśnij Y nastąpi proces usuwania.
[*:2drcjchc]Kiedy usuwanie się ukończy wciśnij dowolny klawisz (Any Key). Nastąpi restart komputera.
[*:2drcjchc]Po restarcie SDFix uruchomi się ponownie, żeby dokończyć proces usuwania kiedy pojawi się w oknie programu Finished, wciśnij dowolny klawisz do zakończenia scryptu i załadowania ikon na pulpicie.
[*:2drcjchc]Pokaż Report.txt znajdujący się w folderze SDFix.po tym - Daj log z ComboFix
Walka do końca, nie format :-)
Proszę nie pisać na PW odpowiem na forum - dziękuję :-)

#15 sajmon122

sajmon122
  • Użytkownicy
  • 10 postów

Napisano 08.02.2008 - 09:43

http://wklej.org/id/1a6c6daf69


i został tylko Patched.B w winlogu.exe i na pamieci

#16 arekmalek

arekmalek
  • Użytkownicy
  • 589 postów

Napisano 08.02.2008 - 12:20

POdmień z płyty windowsa plik C:\Windows\System32\winlogon.exe i C:\Windows\System32\dllcache\winlogon.exe

#17 sajmon122

sajmon122
  • Użytkownicy
  • 10 postów

Napisano 08.02.2008 - 13:39

a to co zostało załatwiłem tak:


Uruchamiasz Gmer i wykonujesz te akcje:

* Przechodzisz do zakładki Procesy i klikasz w Zabij wszystko
* Przechodzisz do zakładki Pliki i kasujesz C:\WINDOWS\system32\winlogon.exe. Mimo, że SDFix tego nie pokazuje = sprawdź czy przypadkiem nie ma też pliku C:\WINDOWS\system32\dllcache\winlogon.exe (do kasacji).
* Następnie w zakładce Pliki podświetl plik C:\WINDOWS\ServicePackFiles\i386\winlogon.exe i kliknij w Kopiuj. Dostaniesz dialog zapisywania pliku. Plik zapisz pod nazwą winlogon.exe w katalogu C:\WINDOWS\system32. Sprawdź czy poprawnie się tam zapisze = bez tego pliku nie wejdziesz do Windows!
* Reset komputera.

#18 Barnaba (gość)

Barnaba (gość)
  • Goście

Napisano 08.02.2008 - 14:04

* Przechodzisz do zakładki Pliki i kasujesz C:\WINDOWS\system32\winlogon.exe. Mimo, że SDFix tego nie pokazuje = sprawdź czy przypadkiem nie ma też pliku C:\WINDOWS\system32\dllcache\winlogon.exe (do kasacji).


# Infected Winlogon.exe Found!
#
# Winlogon File Locations:
#
# "C:\WINDOWS\system32\winlogon.exe" 505344 2008-02-05 06:32
# "C:\WINDOWS\system32\dllcache\winlogon.exe" 505344 2008-02-05 06:32