Atak na kompa , brak dzwieku


(Areecki 18) #1

Witam

Wczoraj ktoś albo coś chciało mi na złosc zrobic i sie udało

Około 18 zaczął wariowac mi komputer potem wyskakiwały komuniakty tego typu :

912.jpg

Potem straciłem poł int

Przeskanowałem avastem ale nic nie znalazł

Za 4h włączyłem kompa na chwile połączyłem sie z internetem znowu ten atak + jakiś error win32 + brak dzwięku ( pisało że wystąpił bład w sterownikach)

Dzisiaj jest ok narazie nic nie widze ... Net narazie jest ale co za ch** to zrobił bo dzisiaj atak też mi sie pojawił jak włączyłem komputer...

Narazie log z Hj pisac to zrobie inne i jak moge się bronic (mam tylko avasta)

I może mi powie ktoś co to za dziadostwo ...

Logfile of HijackThis v1.99.1

Scan saved at 08:33:59, on 2008-02-26

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\oodag.exe

C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\Winamp\winampa.exe

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe

C:\WINDOWS\system32\oodtray.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\AutoConnect\AutoConnect.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\Program Files\CursorXP\CursorXP.exe

C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe

C:\Program Files\TGTSoft\StyleXP\StyleXP.exe

C:\Program Files\DAEMON Tools\daemon.exe

C:\Program Files\NetMeter\NetMeter.exe

C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe

C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe

C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe

C:\Program Files\Opera\Opera.exe

C:\Program Files\PhotoFiltre\PhotoFiltre.exe

C:\Program Files\Winamp\winamp.exe

D:\akcesoria\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL (file missing)

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

R3 - URLSearchHook: (no name) - {0A94B116-4504-4e26-AB05-E61E474AA38B} - C:\Program Files\AskPBar\SrchAstt\1.bin\A9SRCHAS.DLL

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Ask Search Assistant BHO - {0A94B111-4504-4e26-AB05-E61E474AA38B} - C:\Program Files\AskPBar\SrchAstt\1.bin\A9SRCHAS.DLL

O2 - BHO: My Global Search Bar BHO - {37B85A21-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Alcohol Toolbar Helper - {8126A4A5-BFD3-46FE-BBDF-BFB5CF78E489} - C:\Program Files\Alcohol Toolbar\v3.2.0.0\Alcohol_Toolbar.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O3 - Toolbar: Alcohol Toolbar - {ED4BD629-C1B6-4399-8A34-02CCAA921DC9} - C:\Program Files\Alcohol Toolbar\v3.2.0.0\Alcohol_Toolbar.dll

O3 - Toolbar: My Global Search Bar - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [OODefragTray] C:\WINDOWS\system32\oodtray.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [Resume copy] copyfstq.exe /startup

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [AutoConnect] C:\Program Files\AutoConnect\AutoConnect.exe

O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray

O4 - HKCU\..\Run: [CursorXP] C:\Program Files\CursorXP\CursorXP.exe

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [STYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide

O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKCU\..\Run: [C] C:\Program Files\NetMeter\NetMeter.exe

O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe

O4 - Global Startup: PalTalk.lnk = C:\Program Files\Paltalk Messenger\paltalk.exe

O8 - Extra context menu item: Eksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {4EAFEF58-EEFA-4116-983D-03B49BCBFFFE} - C:\WINDOWS\system32\shdocvw.dll

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{12F3B84F-834C-42E1-A52E-A540F5D3E41E}: NameServer = 194.204.159.1 217.98.63.164

O17 - HKLM\System\CS1\Services\Tcpip\..\{12F3B84F-834C-42E1-A52E-A540F5D3E41E}: NameServer = 194.204.159.1 217.98.63.164

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe

O23 - Service: OO Defrag - OO Software GmbH - C:\WINDOWS\system32\oodag.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe

Daje jeszcze logi z avasta bo znalazlem teraz ...

2008-02-15 21:37:32	Areecki	1340	Sign of "Win32:Adware-gen [Adw]" has been found in "C:\Program Files\AskPBar\bar\1.bin\ASKPBAR.DLL" file.  

2008-02-15 21:46:58	Areecki	1340	Sign of "Win32:Adware-gen [Adw]" has been found in "C:\Program Files\AskPBar\bar\2.bin\ASKPBAR.DLL" file.  

2008-02-15 23:23:58	Areecki	1340	AAVM - scanning warning: x_AavmCheckFileDirectEx [UNI]: C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL (C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL) returning error, 0000001E.  

2008-02-16 01:29:11	Areecki	1340	AAVM - scanning warning: x_AavmCheckFileDirectEx: http://www.paltalk.com/download/0.x/pal_install_r17704.exe (C:\WINDOWS\TEMP\_avast4_\unp31416170.tmp) returning error, 0000001E.  

2008-02-16 01:29:56	Areecki	1340	AAVM - scanning warning: x_AavmCheckFileDirectEx: http://www.paltalk.com/download/0.x/pal_install_r17704.exe (C:\WINDOWS\TEMP\_avast4_\unp45925516.tmp) returning error, 0000001E.  

2008-02-16 01:45:41	Areecki	1340	AAVM - scanning warning: x_AavmCheckFileDirectEx [UNI]: C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL (C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL) returning error, 0000001E.  

2008-02-16 23:15:03	SYSTEM	1356	AAVM - scanning warning: x_AavmCheckFileDirectEx [UNI]: C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL (C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL) returning error, 0000001E.  

2008-02-21 21:32:18	Areecki	1360	AAVM - scanning warning: x_AavmCheckFileDirectEx [UNI]: C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL (C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL) returning error, 0000001E.  

2008-02-23 12:44:55	Areecki	1360	Sign of "Win32:Agent-AWB [Adw]" has been found in "C:\Program Files\DaemonTools_WhenUSave_Installer\DaemonTools_WhenUSave_Installer.exe" file.  

2008-02-25 18:19:50	Areecki	1932	Function setifaceUpdatePackages() has failed. Return code is 0x000004C7, dwRes is 000004C7.  

2008-02-25 18:24:31	Areecki	1364	AAVM - scanning warning: x_AavmCheckFileDirectEx [UNI]: C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL (C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL) returning error, 0000001E.

Usunąłem 4 pliki z avasta z kwarantanny ...

Zaktualizowałem baze wirusów może jeszcze coś zainstalowac ???

Narazie jest ok

Daje jeszcze loga z ComboFix bo widze że dużo osób o niego prosi więc może sie przydac ...

http://wklej.org/id/192b75aca3


(Johny) #2

To niekoniecznie ktoś,wystarczy że w twojej sieci krąży wirus wyszukujący niezabezpieczone komputery,a te są coraz paskudniejsze,równie dobrze z tymi 4 plikami mógł ci się do kompa dostać jakiś syf i powodować te ataki nawet z twojego IP

Sprawdz jeszcze swój komp na Secuni serwisie wyszukującym dziury w oprogramowaniu,stara wersja np. Winampa może mieć dziury które umożliwiają taki atak,Secunia wykryje jakie aplikacje mają dziury


(Arekmalek) #3

Wpisy w hijacku FIX

W trybie awaryjnym usuń foldery

C:\Program Files\ *AskPBar*

C:\Program Files\ *DaemonTools_WhenUSave_Installer*


(Areecki 18) #4

Wielkie dzięki za rade …

No ja się na tym nie znam ale dałem wszytsko co możliwe na forum żeby zobrazowac sytuacje…

Już miałem format robic ale internet mi wrócił wiec napisałem tutaj

Zaraz skasuje logi z Hj i dam z niego loga …


Po usunieciu w tr awaryjnym log z Hj

http://wklej.org/id/bd49e0be10

Zaraz sprawdze czy są jakieś luki w oprogramowaniu

Czy moge wyłączyc zapore widowsa jak mam avasta ???

Wczoraj to avast nie uratował i ostrzegł

I jak usunąc te dymki wyskakujące że nie aktualizuje kompa i te z informacjami o zaporach z paska na dole …


ZNOWU TO SAMO

Ja nie moge już z tym jak mam to powstrzymac …

daje screeny i nie dokonczylem skanowac online tym serwisem bo mi neta odcielo

46error1.jpg

41error2.jpg

85error3.jpg


(Arekmalek) #5

Nie usunąłeś wpisów w hijackthis

Usuń je i nowy log + combofix


(saturno) #6

Zapora jest po to jest żeby chroniła twój komputer.

Avast jej nie zastępuje tylko jest dodatkową ochroną.

Nawet na Linuksie gdzie powszechnie nie stosuje się antywirusów są powszechnie stosowane zapory.

Jak wszystko będzie w porządku, to dymki przestaną się pojawiać.

Przeważnie wyskakują jak długo nie aktualizuje się antywirusa.

A na tych dymkach chyba po chińsku nie pisze więc np. jak pisze, że antywirus ma starą bazę pakietów, to ją aktualizujesz i ewentualnie konfigurujesz aktualizacje (dymek nie powinien się już pojawiać).


(Areecki 18) #7

Odświeżam

http://wklej.org/id/2630c9d92c

http://wklej.org/id/dedf987368


(Gutek) #8

Proszę pobrać i użyć Malwarebytes’ Anti-Malware

Wciskamy Scan , wybieramy dyski do skanowania i czekamy, na końcu wciskamy Remove Selected i Ok  :wink:


(Areecki 18) #9

Problemy znikły już po radach twoich przedmuwców

Jednak pisałem tutaj kilka razy i jestem bardzo zadowolony z twojej pomocy

Jesteś wielki pozdrawiam i znasz sie na rzeczy !!