Alert scan usunięty Smitfraudem-proszę o spr.loga

Dla specjalistów Bezpieczeństwo
#1

pozbyłam się przed chwilą (tak mi się przynajmniej wydaje) alert scan za pomocą SmitfraudFix

proszę o sprawdzenie loga

a tu jeszcze raport z SmitfraudFix

#2

Zastosuj się do tego Tematu i zmień tytuł tematu na konkretny inaczej KOSZ

Pozdrawiam Gutek2222

w trybie awaryjnym usuń pliki, a wpisy HJT

Użyj ATF-Cleaner - http://www.atribune.org/ccount/click.php?id=1 i przeczyść Current User Temp oraz All Users Temp.

#3

ups ucięło mi silent runners

#4

Ściągasz program KillBox, zaznaczasz Delete on reboot, w polu full path of file wklej ścieżki:

C:\WINDOWS\system32\UAService.exe

O23 - Service: SecuROM User Access Service (UserAccess) - Unknown owner - C:\WINDOWS\system32\UAService.exe

Wywalasz w HJT

UAService.exe is Trojan/Backdoor.

Kill the process UAService.exe and remove UAService.exe from Windows startup.

wyłącz proces w MZ, odinstaluj w Panelu sterowania, zatrzymaj i wyłącz usługę, usuń usługę z klucza Rejestru (lewy panel):

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

Start >>> Uruchom >>> services.msc >>> zatrzymaj i wyłącz Microsoft HDA Protocol, plik usuń ręcznie w trybie awaryjnym a wpisy w HJT.

Wywalasz w HJT

#5

nie wiem co to jest MZ i w nie bardzo też wiem jak te pliki wyrzucić w trybie awaryjnym mógłbyś mi to proszę jakoś tak bardziej łopatologicznie wyjaśnić

tzn ja wiem jak się otwiera tryb awaryjny tylko tych rzeczy z start>uruchom nie umiem

#6

MZ=Menadżer Zadań

Start >>> Uruchom >>> services.msc >>> zatrzymaj i wyłącz Microsoft HDA Protocol

Przechodzisz kolejno Menu Start–>Uruchom–>services.msc znajdujesz Microsoft HDA Protocol i wyłączasz

#7

Ściągasz program KillBox, zaznaczasz Delete on reboot, w polu full path of file wklej ścieżki:

C:\WINDOWS\system32\UAService.exe

Kod:

O23 - Service: SecuROM User Access Service (UserAccess) - Unknown owner - C:\WINDOWS\system32\UAService.exe

Wywalasz w HJT

  • tak zrobiłam, HJT dalej w logu ma ten kod? wyszukuję

wyłącz proces w MZ - u mnie w MZ nie ma takiego procesu

odinstaluj w Panelu sterowania, zatrzymaj i wyłącz usługę, usuń usługę z klucza Rejestru (lewy panel):

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services nie wiem jak mam to usunąć z klucza rejestru

OLENSTWOJG napisał:

O4 - HKLM…\RunServices: [service Monitor] svhda.exe

O4 - HKLM…\Run: [service Monitor] svhda.exe

Start >>> Uruchom >>> services.msc >>> zatrzymaj i wyłącz Microsoft HDA Protocol, plik usuń ręcznie w trybie awaryjnym a wpisy w HJT.

u mnie w tym services też nie ma tego Microsoft HDA Protocol

OLENSTWOJG napisał:

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O4 - HKLM…\Run: [MSN Live Messanger Windows XP] msgsxplive.exe

O4 - HKLM…\RunServices: [MSN Live Messanger Windows XP] msgsxplive.exe

O4 - HKCU…\Run: [MSN Live Messanger Windows XP] msgsxplive.exe

Wywalasz w HJT

#8

Wyszukujesz i wywalasz ten wpis jeżeli jest.

Dobrze że nie ma takiego procesu.

Wchodzisz w MenuStart–>Uruchom–>Regedit i tam kolejno przechodzisz do HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

Jeżeli nie ma to olej. Wywal te pliki

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O4 - HKLM…\Run: [MSN Live Messanger Windows XP] msgsxplive.exe

O4 - HKLM…\RunServices: [MSN Live Messanger Windows XP] msgsxplive.exe

O4 - HKCU…\Run: [MSN Live Messanger Windows XP] msgsxplive.exe

Skanujesz hijackiem, zaznaczasz je–>wybierasz fix checked.

#9

pozostaje jeszcze kwestia

O4 - HKLM…\RunServices: [service Monitor] svhda.exe

O4 - HKLM…\Run: [service Monitor] svhda.exe

Start >>> Uruchom >>> services.msc >>> zatrzymaj i wyłącz Microsoft HDA Protocol, plik usuń ręcznie w trybie awaryjnym a wpisy w HJT.

nie umiem znaleźć tego pliku tzn daję “wyszukaj” ale nic się nie wyszukuje daję nowego loga z HJT

#10

Otwórz Notatnik i wklej w nim to:

Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG i uruchom go w trybie awaryjnym.

usuń w hjt.

Po wykonaniu proszę pokazać nowy log z HijackThis plus z SilentRunners.

#11
#12

Otwórz notatnik i wklej:

Plik >>> Zapisz jako >>> Ustaw rozszerzenie z TXT na Wszystkie pliki >>> zapisz pod nazwą FIX.REG >>> kliknij podwójnie zrobiony plik i potwierdź >>> reset kompa

#13

już tak zrobiłam daję nowy log z HJT

Złączono Posta : 05.01.2007 (Pią) 16:30

aha no i serdecznie dziękuję Panom za pomoc

pozdrawiam - Ola

#14

Czy używałeś ATF-Cleaner? Wejdź do trybu awaryjnego >>> start >>> uruchom >>> cmd >>> wpisz:

RD /S /Q "C:\Documents and Settings\UZYTKO~1\Ustawienia lokalne\Temp"

Log ok.

Proszę wkleić jeszcze log z Silenta.

#15

tak używałam

a tak by the way jestem kobietą :slight_smile:

#16

Zrób jeszcze to:

Po wykonaniu wklej nowy log z silenta.

Przepraszam za pomyłkę płci.

#17

zrobiłam tak jak powiedziałeś i mi tam napisało nie można odnaleźć określonego pliku katalog nie jest pusty

#18

Mimo pojawienia się takiego komunikatu folder mógł zostać wyczyszczony.

Log jest ok, tak więc to już wszystko.

#19

dzięki wielkie :slight_smile: buziaczek :*