system
(system)
6 Grudzień 2008 20:57
#1
Witam, udało mi się zrobić tylko loga z hijacka, ani silenta ani combofixa nie można odpalić, tako samo jak żadnego dysku ( tylko można je przez exploratora podejrzeć ), wyświetla się komunikat:
Niezależnie czy konto administratora - cały czas to samo.
HJ:
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:49:54, on 2008-12-06 Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16705) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe C:\Program Files\Common Files\Real\Update_OB\realsched.exe C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\CafeAgent\CafeAgent.exe C:\WINDOWS\Microsoft.NET \Framework\v2.0.50727\mscorsvw.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\PnkBstrB.exe C:\WINDOWS\system32\SearchIndexer.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\wuauclt.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe C:\WINDOWS\system32\wbem\wmiprvse.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http:\www.google.pl R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll O4 - HKLM…\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM…\Run: [skyTel] SkyTel.EXE O4 - HKLM…\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM…\Run: [nwiz] nwiz.exe /install O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM…\Run: [RemoteControl] “C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe” O4 - HKLM…\Run: [TkBellExe] “C:\Program Files\Common Files\Real\Update_OB\realsched.exe” -osboot O4 - HKLM…\Run: [WinampAgent] “C:\Program Files\Winamp\winampa.exe” O4 - HKLM…\Run: [sunJavaUpdateSched] “C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe” O4 - HKLM…\Run: [CafeAgent] C:\Program Files\CafeAgent\CafeAgent.exe /normal O4 - HKCU…\Run: [kamsoft] C:\WINDOWS\system32\kamsoft.exe O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA LOKALNA’) O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’) O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’) O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’) O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra ‘Tools’ menuitem: @xpsp3res.dll ,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windows … 0929719343 O17 - HKLM\System\CCS\Services\Tcpip…{B42D07C9-5A74-4D9C-A987-237F27DA19D3}: NameServer = 194.204.152.34,194.204.159.1 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O23 - Service: CafeAgent - CafeSuite - C:\Program Files\CafeAgent\CafeAgent.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe – End of file - 5304 bytes
— edit —
Wyczytałem sposób aby zmienić nazwę z rozszerzeniem na com i udało mi się combofixa uruchomić - za pierwszym razem sporo pousuwał, ale po restarcie przy tworzeniu loga się wysypał. Za drugim razem taki log wygenerował:
ComboFix 08-12-06.03 - neo 17 2008-12-06 22:20:04.2 - FAT32x86 Microsoft Windows XP Home Edition 5.1.2600.3.1250.1.1045.18.708 [GMT 1:00] Uruchomiony z: c:\documents and settings\neo 17\Pulpit\dsadas.com UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA . ((((((((((((((((((((((((( Pliki utworzone od 2008-11-06 do 2008-12-06 ))))))))))))))))))))))))))))))) . 2008-12-06 22:17 . 2008-12-06 22:17 2008-12-06 22:03 . 2008-12-06 22:03 2008-12-06 21:33 . 2008-12-06 21:33 2008-12-06 21:24 . 2008-09-09 03:55 2008-12-06 21:24 . 2008-09-09 03:55 2008-12-06 21:24 . 2008-09-09 03:55 2008-12-06 21:24 . 2008-09-09 03:55 2008-12-06 21:24 . 2008-09-09 03:55 2008-12-06 21:24 . 2008-09-09 03:55 2008-12-06 21:24 . 2008-09-09 03:55 2008-12-06 21:24 . 2008-12-06 21:24 2008-12-05 22:20 . 2008-12-05 22:20 2008-12-05 22:18 . 2008-12-05 22:20 107,888 --a------ c:\windows\system32\CmdLineExt.dll 2008-12-05 22:16 . 2008-12-05 22:16 2,250,024 --a------ c:\windows\system32\pbsvc.exe 2008-12-05 22:16 . 2008-12-05 22:16 107,832 --a------ c:\windows\system32\PnkBstrB.exe 2008-12-05 22:16 . 2008-12-05 22:16 66,872 --a------ c:\windows\system32\PnkBstrA.exe 2008-12-05 22:16 . 2008-12-05 22:17 22,328 --a------ c:\windows\system32\drivers\PnkBstrK.sys 2008-12-05 22:16 . 2008-12-05 22:17 22,328 --a------ c:\documents and settings\neo 17\Dane aplikacji\PnkBstrK.sys 2008-12-05 22:13 . 2008-12-05 22:13 2008-12-05 22:11 . 2008-12-06 21:35 104,421 -r-hs---- C:\2u.com . (((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-09-10 21:02 96,047 --sh–r C:\39lpji.com 2008-09-09 06:04 499,712 ----a-w c:\windows\system32\msvcp71.dll 2008-09-09 06:04 348,160 ----a-w c:\windows\system32\msvcr71.dll . ((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “CTFMON.EXE”=“c:\windows\system32\ctfmon.exe” [2008-04-14 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “NvCplDaemon”=“c:\windows\system32\NvCpl.dll” [2008-05-16 13529088] “NvMediaCenter”=“c:\windows\system32\NvMcTray.dll” [2008-05-16 86016] “RemoteControl”=“c:\program files\CyberLink\PowerDVD\PDVDServ.exe” [2003-12-08 32768] “TkBellExe”=“c:\program files\Common Files\Real\Update_OB\realsched.exe” [2008-09-09 185896] “SunJavaUpdateSched”=“c:\program files\Java\jre1.6.0_07\bin\jusched.exe” [2008-06-10 144784] “CafeAgent”=“c:\program files\CafeAgent\CafeAgent.exe” [2008-09-11 2737968] “RTHDCPL”=“RTHDCPL.EXE” [2006-09-06 c:\windows\RTHDCPL.exe] “SkyTel”=“SkyTel.EXE” [2006-05-16 c:\windows\SkyTel.exe] “nwiz”=“nwiz.exe” [2008-05-16 c:\windows\system32\nwiz.exe] [HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] “CTFMON.EXE”=“c:\windows\system32\CTFMON.EXE” [2008-04-14 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] “DontShowLastUser”= 0 (0x0) [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks] “{56F9679E-7826-4C84-81F3-532071A8BCC5}”= “c:\program files\Windows Desktop Search\MSNLNamespaceMgr.dll” [2008-05-26 304128] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CafeAgent] @=“Service” [HKEY_LOCAL_MACHINE\software\microsoft\security center] “AntiVirusDisableNotify”=dword:00000001 “UpdatesDisableNotify”=dword:00000001 [HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] “%windir%\system32\sessmgr.exe”= “%windir%\Network Diagnostic\xpnetdiag.exe”= “c:\Program Files\MSN Messenger\msnmsgr.exe”= “c:\Program Files\Skype\Phone\Skype.exe”= “c:\Program Files\Ubisoft\Far Cry 2\bin\FarCry2.exe”= “c:\Program Files\Ubisoft\Far Cry 2\bin\FC2Launcher.exe”= “c:\Program Files\Ubisoft\Far Cry 2\bin\FC2Editor.exe”= “c:\WINDOWS\System32\PnkBstrA.exe”= “c:\WINDOWS\System32\PnkBstrB.exe”= R0 AFPAnsi;CafeSuite File Protector;c:\windows\system32\AFPAnsi.sys [2007-08-15 39456] R2 CafeAgent;CafeAgent;c:\program files\CafeAgent\CafeAgent.exe /service [2008-09-11 2737968] S3 SetupNTGLM7X;SetupNTGLM7X;??\F:\NTGLM7X.sys [] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{3a7c06da-7f73-11dd-a84e-001617d59545}] \Shell\AutoRun\command - G:\39lpji.com \Shell\explore\Command - G:\39lpji.com \Shell\open\Command - G:\39lpji.com . - - - - USUNIĘTO PUSTE WPISY - - - - HKLM-Run-WinampAgent - c:\program files\Winamp\winampa.exe ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-12-06 22:21:18 Windows 5.1.2600 Dodatek Service Pack 3 FAT NTAPI skanowanie ukrytych procesów … skanowanie ukrytych wpisów autostartu … skanowanie ukrytych plików … skanowanie pomyślnie ukończone ukryte pliki: 0 ************************************************************************** . Czas ukończenia: 2008-12-06 22:22:51 ComboFix-quarantined-files.txt 2008-12-06 21:21:50 Przed: 5,129,445,376 bajtów wolnych Po: 5,126,873,088 bajtów wolnych 97 Dyski już można otworzyć, ale blokuje otwieranie plików.
huber2t
(huber2t)
7 Grudzień 2008 07:58
#2
Do wyleczenia pendrive z wirusów użyj
Perlovg Removal Tool
Flash Disinfector
lub format
fix w hijackthis
Pobierz ComboFix , ale nie uruchamiaj
Wklej do notatnika:
File::
C:\39lpji.com
C:\2u.com
Driver::
SetupNTGLM7X
Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3a7c06da-7f73-11dd-a84e-001617d59545}]
Plik -> zapisz jako -> CFScript.txt .
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->
Rozpocznie się usuwanie i powstanie log, który dasz na forum.
Logi dajesz na http://wklej.eu lub na http://wklej.org a w poście dajesz tylko link
Gutek
(Gutek)
7 Grudzień 2008 10:15
#3
Zmiana zasad wklejania logów na forum - viewtopic.php?f=16&t=253052