Bardzo proszę o sprawdzenie loga(pilnie potrzebny komp)


(Wiktoria1) #1

Bardzo prosze o pomoc uruchamia mi się połączenie które blokuje żeby nie ściągał mi smieci C:/windows/System32/winlogon.exe Avast i Adware nic nie pomogło.Usunołem rock.exe mam nadzieję że dobrze zrobiłem, zamieszczam logi z Avasta:

[quote]2006-05-06 17:05:00	SYSTEM	1648	Sign of "Win32:Istbar-AV [Trj]" has been found in "http://www.ysbweb.com/ist/softwares/v4.0/ysb_regular.cab\ysbactivex.dll" file.  

2006-05-06 18:24:00	SYSTEM	1648	Sign of "VBS:Malware [Encrypted]" has been found in "http://zllin.info/e/us36//main.chm\main.htm" file.  

2006-05-06 19:10:00	SYSTEM	1648	Sign of "Win32:Trojano-027 [Trj]" has been found in "http://217.73.66.1/del/loader.cab\loader.exe" file.  

2006-05-06 19:18:56	SYSTEM	1648	Sign of "Win32:Trojano-027 [Trj]" has been found in "http://217.73.66.1/del/loader.cab\loader.exe" file.  

2006-05-06 19:19:08	SYSTEM	1648	Sign of "Win32:Trojano-027 [Trj]" has been found in "http://217.73.66.1/del/loader.cab\loader.exe" file.  

2006-05-06 19:19:13	SYSTEM	1648	Sign of "Win32:Trojano-027 [Trj]" has been found in "http://217.73.66.1/del/loader.cab\loader.exe" file.  

2006-05-06 19:25:13	SYSTEM	1648	Sign of "VBS:Malware [Script]" has been found in "http://traffnew.biz/dl/adv661/x.chm\x.htm" file.  

2006-05-06 19:26:04	SYSTEM	1648	Sign of "JS:Classloader-6" has been found in "http://traffnew.biz/dl/loaderadv661.jar\Counter.class" file.  

2006-05-06 19:26:04	SYSTEM	1648	Sign of "JS:OpenConnection-I" has been found in "http://traffnew.biz/dl/java.jar\GetAccess.class" file.  

2006-05-06 19:26:09	SYSTEM	1648	Sign of "JS:OpenConnection-I" has been found in "C:\Documents and Settings\Janusz\Dane aplikacji\Sun\Java\Deployment\cache\javapi\v1.0\jar\java.jar-76d25779-18a4898d.zip" file.  

2006-05-06 19:26:47	SYSTEM	1648	Sign of "MS06-001 WMF Exploit" has been found in "C:\Documents and Settings\Janusz\Ustawienia lokalne\Temporary Internet Files\Content.IE5\X7R351SE\xpladv661[1].wmf" file.  

2006-05-07 12:17:30	SYSTEM	200	Sign of "Win32:Istbar-AU [Trj]" has been found in "http://www.esimetrija.com/ysbinstall_1002755_3.exe\[UPX]" file.  

2006-05-07 12:17:31	SYSTEM	200	Sign of "Win32:Istbar-AU [Trj]" has been found in "http://www.esimetrija.com/ysbinstall_1002755_3.exe\[UPX]" file.  

2006-05-07 12:23:52	SYSTEM	200	Sign of "Win32:Trojano-CL [Trj]" has been found in "C:\WINDOWS\System32\1024\ldDF03.tmp\[UPX]" file.  

2006-05-07 12:49:21	SYSTEM	200	Sign of "Win32:Trojano-CL [Trj]" has been found in "C:\WINDOWS\System32\1024\ld3198.tmp\[UPX]" file. [/quote]

A tu logi z HijackThis:

Logfile of HijackThis v1.99.1

Scan saved at 16:44:18, on 2006-05-07

Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\Kerio\Personal Firewall\persfw.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\dcomcfg.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\Winamp\winampa.exe

C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Internet Explorer\iexplore.exe

D:\Instalki\programy\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: Nothing - {b0398eca-0bcd-4645-8261-5e9dc70248d0} - C:\WINDOWS\System32\hp1632.tmp

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray

O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: Analizuj za pomocą LeechGet - file://C:\Program Files\LeechGet 2004\\Parser.html

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Pobierz używając kreatora LeechGet - file://C:\Program Files\LeechGet 2004\\Wizard.html

O8 - Extra context menu item: Pobierz używając LeechGet - file://C:\Program Files\LeechGet 2004\\AddUrl.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll (file missing)

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll (file missing)

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1146830468421

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall\persfw.exe

(Kuz5) #2

Widziałeś ten komunikat Ważny komunikat dotyczący tytułowania tematów zastosuj sie do niego => inaczej temat poleci do śmietnika :evil:

Tak szczerze, to ja nie wiem o co ci w ogóle chodzi

Twój opis problemu jest niezrozumiały

Usuń: (wszystko oczywiście robisz w trybie awaryjnym z wyłączonym przywracaniem systemu)

Pliki na czerwono usun ręcznie z dysku

Usun jeszcze ten plik:

Użyj Smitrem po tej czynności daj oba logi

Wklej loga SilentRunners


(Wiktoria1) #3

Kerio mi zablokował ściąganie zaraz po tym jak winlogon.exe wykazywał dziwną aktywność. Próbuje coś ściągać np:

'Aplikacja logowania systemu Windows NT' z twojego kompa próbuje się połączyć z 69.50.164.50-custblock.intercage.com [69.50.164.50], port 80

'Aplikacja logowania systemu Windows NT' z twojego kompa próbuje się połączyć z 85.255.113.238, port 80

Złączono Posta : 07.05.2006 (Nie) 19:43

Niby co mam napisać w temacie napisałem wszystko co zauważyłem jakie są objawy itd. mogłem tylko dopisać że chodzi o winlogon i jego dziwną aktywność. Zastosowałem się do rady wszystko zrobiłem zgodnie z instrukcją zamieszczam loga i proszę o dalszą pomoc.

Dzięki tym zmianą nie otwiera mi się przeglądarka na stronach reklamowych zaraz po jej otworzeniu.

[quote][code] "Silent Runners.vbs", revision 45, http://www.silentrunners.org/

Operating System: Windows XP

Output limited to non-default values, except where indicated by "{++}"



Startup items buried in registry:

---------------------------------


HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}

"CTFMON.EXE" = "C:\WINDOWS\System32\ctfmon.exe" [MS]

"Gadu-Gadu" = ""C:\Program Files\Gadu-Gadu\gg.exe" /tray" ["Gadu-Gadu Sp. z oo"]

"Skype" = ""C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized" ["Skype Technologies S.A."]

"MSMSGS" = ""C:\Program Files\Messenger\msmsgs.exe" /background" [MS]

"LeechGet" = (empty string)


HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ {++}

"dcomcfg.exe" = "dcomcfg.exe" [file not found]

"wininet.dll" = "regperf.exe" [null data]


HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}

"ATIPTA" = "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" ["ATI Technologies, Inc."]

"WinampAgent" = "C:\Program Files\Winamp\winampa.exe" [null data]

"RemoteControl" = ""C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"" ["Cyberlink Corp."]

"avast!" = "C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [null data]

"SunJavaUpdateSched" = "C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe" ["Sun Microsystems, Inc."]


HKLM\Software\Microsoft\Active Setup\Installed Components\

{306D6C21-C1B6-4629-986C-E59E1875B8AF}\(Default) = (no title provided)

                                       \StubPath = ""C:\WINDOWS\System32\rundll32.exe" "C:\Program Files\Messenger\msgsc.dll",ShowIconsUser" [MS]


HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\

"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Rozszerzenie CPL kadrowania wyświetlania"

  -> {HKLM...CLSID} = "Rozszerzenie CPL kadrowania wyświetlania"

                   \InProcServer32\(Default) = "deskpan.dll" [file not found]

"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Rozszerzenie ikony HyperTerminalu"

  -> {HKLM...CLSID} = "HyperTerminal Icon Ext"

                   \InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]

"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"

  -> {HKLM...CLSID} = "WinRAR"

                   \InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]

"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"

  -> {HKLM...CLSID} = "Rozszerzenie ikon plików programu Outlook"

                   \InProcServer32\(Default) = "C:\Program Files\Microsoft Office\Office10\OLKFSTUB.DLL" [MS]

"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"

  -> {HKLM...CLSID} = (no title provided)

                   \InProcServer32\(Default) = "C:\Program Files\Microsoft Office\Office10\msohev.dll" [MS]

"{472083B0-C522-11CF-8763-00608CC02F24}" = "avast"

  -> {HKLM...CLSID} = "avast"

                   \InProcServer32\(Default) = "C:\Program Files\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]

"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"

  -> {HKLM...CLSID} = "Portable Media Devices"

                   \InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS]

"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"

  -> {HKLM...CLSID} = "Portable Media Devices Menu"

                   \InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS]


HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\

INFECTION WARNING! AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]


HKLM\Software\Classes\*\shellex\ContextMenuHandlers\

avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"

  -> {HKLM...CLSID} = "avast"

                   \InProcServer32\(Default) = "C:\Program Files\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]

LeechGet\(Default) = "{EBDF1F20-C829-14D1-8234-1420AF3E97A9}"

  -> {HKLM...CLSID} = "LeechGet "Copy Here" Shell Extension"

                   \InProcServer32\(Default) = "C:\Program Files\LeechGet 2004\ShellExtension.dll" [null data]

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

  -> {HKLM...CLSID} = "WinRAR"

                   \InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]


HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\

LeechGet\(Default) = "{EBDF1F20-C829-14D1-8234-1420AF3E97A9}"

  -> {HKLM...CLSID} = "LeechGet "Copy Here" Shell Extension"

                   \InProcServer32\(Default) = "C:\Program Files\LeechGet 2004\ShellExtension.dll" [null data]

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

  -> {HKLM...CLSID} = "WinRAR"

                   \InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]


HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\

avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"

  -> {HKLM...CLSID} = "avast"

                   \InProcServer32\(Default) = "C:\Program Files\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]

LeechGet\(Default) = "{EBDF1F20-C829-14D1-8234-1420AF3E97A9}"

  -> {HKLM...CLSID} = "LeechGet "Copy Here" Shell Extension"

                   \InProcServer32\(Default) = "C:\Program Files\LeechGet 2004\ShellExtension.dll" [null data]

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

  -> {HKLM...CLSID} = "WinRAR"

                   \InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]



Active Desktop and Wallpaper:

-----------------------------


Active Desktop is disabled at this entry:

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState



Enabled Screen Saver:

---------------------


HKCU\Control Panel\Desktop\

"SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS]



Startup items in "Janusz" & "All Users" startup folders:

--------------------------------------------------------


C:\Documents and Settings\All Users\Menu Start\Programy\Autostart

"Microsoft Office" -> shortcut to: "C:\Program Files\Microsoft Office\Office10\OSA.EXE -b -l" [MS]



Winsock2 Service Provider DLLs:

-------------------------------


Namespace Service Providers


HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}

000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]

000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]


Transport Service Providers


HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}

0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:

%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 11

%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05



Toolbars, Explorer Bars, Extensions:

------------------------------------


Extensions (Tools menu items, main toolbar menu buttons)


HKLM\Software\Microsoft\Internet Explorer\Extensions\

{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\

"MenuText" = "Sun Java Console"

"CLSIDExtension" = "{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBC}"

  -> {HKCU...CLSID} = "Java Plug-in"

                   \InProcServer32\(Default) = "C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll" [file not found]

  -> {HKLM...CLSID} = "Java Plug-in 1.5.0_06"

                   \InProcServer32\(Default) = "C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll" ["Sun Microsystems, Inc."]



Running Services (Display Name, Service Name, Path {Service DLL}):

------------------------------------------------------------------


Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\System32\Ati2evxx.exe" ["ATI Technologies Inc."]

avast! Antivirus, avast! Antivirus, ""C:\Program Files\Alwil Software\Avast4\ashServ.exe"" [null data]

avast! iAVS4 Control Service, aswUpdSv, ""C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe"" [null data]

avast! Mail Scanner, avast! Mail Scanner, ""C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service" ["ALWIL Software"]

avast! Web Scanner, avast! Web Scanner, ""C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service" ["ALWIL Software"]

Kerio Personal Firewall, PersFw, ""C:\Program Files\Kerio\Personal Firewall\persfw.exe"" ["Kerio Technologies"]

Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\System32\wdfmgr.exe" [MS]



----------

+ This report excludes default entries except where indicated.

+ To see *everywhere* the script checks and *everything* it finds,

  launch it from a command prompt or a shortcut with the -all parameter.

+ To search all directories of local fixed drives for DESKTOP.INI

  DLL launch points and all Registry CLSIDs for dormant Explorer Bars,

  use the -supp parameter or answer "No" at the first message box.

---------- (total run time: 439 seconds, including 18 seconds for message boxes)

(Gblade) #4

Otwóz notatnik i wklej:

Plik>>>zapisz jako>>zmień rozszerzenie z .txt na wszystkie pliki>>>zapisz pod nazwą FIX.REG i odpal w trybie awaryjnym

Skasuj plik (również w awaryjnym)

C:\WINDOWS\system32\ regperf.exe

Przeskanuj http://www.ewido.net i daj nowego loga z silenta

Nie, to jest ok.

EDIT:

Wrócił by, gdyby po wykonaniu fixa zrobił reset kompa.

Ale ok i tak miałem napisać "po skasowaniu uruchomić fix.."


(Bbieniol) #5

Wydaje mi się, że najpierw trzeba skasować plik, a dopiero później odpalić FIX.REG :slight_smile:

Bo przecież jeżeli plik zostanie, to wpis wróci :slight_smile:


(Wiktoria1) #6

Po tych instrukcjach wygląda tak:


(Bbieniol) #7

W logu czysto :slight_smile:

Jak wygląda teraz sytuacja?


(Wiktoria1) #8

Teraz działa wszystko super. W jaki sposób mogę się odwdzięczyć?

Złączono Posta : 07.05.2006 (Nie) 21:56

Dzięki wszystkim za pomoc teraz mogę normalnie pracować.

Złączono Posta : 07.05.2006 (Nie) 22:01

Temat uważam za zamknięty i pozdro