C:\WINDOWS\MS32DLL.dll.vbs

wojtekdz · 8 Październik 2007 16:37

Czesc Jestem nowym uzytkownikiem zlapalem trojana lub jeszcze inne o nazwie MS32Dll.dll.vbs poczytalem troche informacji na forum dobreprogramy

Dlatego prosze o pomoc w wyleczeniu mojego kompa

wklejam logo:

Logfile of HijackThis v1.99.1

Scan saved at 18:33:58, on 2007-10-08

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe

C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\Dassault Systemes\B08\intel_a\code\bin\CATSysDemon.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Java\jre1.5.0\bin\jusched.exe

C:\WINDOWS\system32\VTTimer.exe

C:\WINDOWS\system32\VTtrayp.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\sm56hlpr.exe

C:\Program Files\Common Files\Symantec Shared\ccApp.exe

C:\Program Files\Sony\WALKMAN Launcher\WMAAD.exe

C:\WINDOWS\System32\WScript.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Messenger\msmsgs.exe

C:\WINDOWS\System32\alg.exe

C:\Program Files\Spyware Doctor\swdoctor.exe

C:\Program Files\Common Files\Teleca Shared\Generic.exe

C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Opera\Opera.exe

C:\Program Files\Alwil Software\Avast4\setup\avast.setup

C:\Documents and Settings\karolina\Pulpit\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by Godzilla

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O4 - HKLM…\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exe

O4 - HKLM…\Run: [VTTimer] VTTimer.exe

O4 - HKLM…\Run: [VTTrayp] VTtrayp.exe

O4 - HKLM…\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM…\Run: [sMSERIAL] sm56hlpr.exe

O4 - HKLM…\Run: [ccApp] “C:\Program Files\Common Files\Symantec Shared\ccApp.exe”

O4 - HKLM…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM…\Run: [WMAAD] C:\Program Files\Sony\WALKMAN Launcher\WMAAD.exe

O4 - HKLM…\Run: [sony Ericsson PC Suite] “C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe” /startoptions

O4 - HKLM…\Run: [DAEMON Tools-1033] “C:\Program Files\D-Tools\daemon.exe” -lang 1033

O4 - HKLM…\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM…\Run: [MS32DLL] C:\WINDOWS\MS32DLL.dll.vbs

O4 - HKLM…\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU…\Run: [skype] “C:\Program Files\Skype\Phone\Skype.exe” /nosplash /minimized

O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background

O4 - HKCU…\Run: [spyware Doctor] “C:\Program Files\Spyware Doctor\swdoctor.exe” /Q

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe

O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll

O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab

O17 - HKLM\System\CCS\Services\Tcpip…{0D48D842-38E8-4A61-8CCB-9DE1F0D77E1C}: NameServer = 85.255.116.140,85.255.112.11

O17 - HKLM\System\CCS\Services\Tcpip…{1ED9734C-434F-43B9-9CA1-93F432804DA3}: NameServer = 85.255.116.140,85.255.112.11

O17 - HKLM\System\CCS\Services\Tcpip…{51CCAFEE-E888-4DF3-A891-3CDA706BBCEF}: NameServer = 85.255.116.140,85.255.112.11

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.140 85.255.112.11

O17 - HKLM\System\CS1\Services\Tcpip…{0D48D842-38E8-4A61-8CCB-9DE1F0D77E1C}: NameServer = 85.255.116.140,85.255.112.11

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.140 85.255.112.11

O17 - HKLM\System\CS2\Services\Tcpip…{0D48D842-38E8-4A61-8CCB-9DE1F0D77E1C}: NameServer = 85.255.116.140,85.255.112.11

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.140 85.255.112.11

O20 - Winlogon Notify: OdysseyClient - C:\WINDOWS\

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Backbone Service (BBDemon) - Dassault Systemes - C:\Program Files\Dassault Systemes\B08\intel_a\code\bin\CATSysDemon.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe

O23 - Service: Image Converter SCSI Service (ICScsiSV) - Sony Corporation - C:\Program Files\Sony\IMAGE CONVERTER 3\ICScsiSV.exe

O23 - Service: IcVzMonLauncher - Sony Corporation - C:\Program Files\Sony\IMAGE CONVERTER 3\IcVzMonLauncher.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: Image Converter video recording monitor for VAIO Entertainment - Sony Corporation - C:\Program Files\Sony\IMAGE CONVERTER 3\IcVzMon.exe

O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\MSCSPTISRV.exe

O23 - Service: PACSPTISVR - Unknown owner - C:\Program Files\Common Files\Sony Shared\AVLib\PACSPTISVR.exe

O23 - Service: SonicStage Back-End Service - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SsBeSvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SPTISRV.exe

O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SSScsiSV.exe

O23 - Service: Windows Management Service - Unknown owner - C:\WINDOWS\system32\dmizo.exe

LostWorld · 8 Październik 2007 16:47

Na początek infekcja z Ukrainy

Użyj Fixwareuot

Po jego użyciu może zajść potrzeba ustawiania od nowa DNS Twojego dostawcy internetowego.

wojtekdz:

O17 - HKLM\System\CCS\Services\Tcpip…{0D48D842-38E8-4A61-8CCB-9DE1F0D77E1C}: NameServer = 85.255.116.140,85.255.112.11 O17 - HKLM\System\CCS\Services\Tcpip…{1ED9734C-434F-43B9-9CA1-93F432804DA3}: NameServer = 85.255.116.140,85.255.112.11 O17 - HKLM\System\CCS\Services\Tcpip…{51CCAFEE-E888-4DF3-A891-3CDA706BBCEF}: NameServer = 85.255.116.140,85.255.112.11 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.140 85.255.112.11 O17 - HKLM\System\CS1\Services\Tcpip…{0D48D842-38E8-4A61-8CCB-9DE1F0D77E1C}: NameServer = 85.255.116.140,85.255.112.11 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.140 85.255.112.11 O17 - HKLM\System\CS2\Services\Tcpip…{0D48D842-38E8-4A61-8CCB-9DE1F0D77E1C}: NameServer = 85.255.116.140,85.255.112.11 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.140 85.255.112.11

Te wpisy po operacji wyżej wymienionym programem kasujesz.

Automat , Daj log z Combofix

Opis użycia ComboFix jest na tej stronie z linku.

Log może być długi, więc zapisz go sobie gdzieś, a potem wklej na http://wklej.org/, a tu daj tylko link.

Czy masz Pendrive itp itd?

jessica · 8 Październik 2007 16:59

No tak, masz " Godzillę", ale oprócz Godzilli masz też Rootkita i od niego zaczniemy.

Masz ukraińską infekcję czyli Rootkit “Windows Security Center”.

Użyj -->FixWareout

Po jego użyciu może zajść potrzeba ustawiania od nowa DNS Twojego dostawcy internetowego.

–>Jak przywrócić prawidłowe DNS.

Potem:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by Godzilla O4 - HKLM…\Run: [MS32DLL] C:\WINDOWS\MS32DLL.dll.vbs O17 - HKLM\System\CCS\Services\Tcpip…{0D48D842-38E8-4A61-8CCB-9DE1F0D77E1C}: NameServer = 85.255.116.140,85.255.112.11 O17 - HKLM\System\CCS\Services\Tcpip…{1ED9734C-434F-43B9-9CA1-93F432804DA3}: NameServer = 85.255.116.140,85.255.112.11 O17 - HKLM\System\CCS\Services\Tcpip…{51CCAFEE-E888-4DF3-A891-3CDA706BBCEF}: NameServer = 85.255.116.140,85.255.112.11 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.140 85.255.112.11 O17 - HKLM\System\CS1\Services\Tcpip…{0D48D842-38E8-4A61-8CCB-9DE1F0D77E1C}: NameServer = 85.255.116.140,85.255.112.11 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.140 85.255.112.11 O17 - HKLM\System\CS2\Services\Tcpip…{0D48D842-38E8-4A61-8CCB-9DE1F0D77E1C}: NameServer = 85.255.116.140,85.255.112.11 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.140 85.255.112.11

Te w/w wpisy sfiksuj w Hijacku:

>>Hijack>>scan(Do a system scan only)>>zaznacz je >> Fix checked.

Potem ściągnij -->ComboFix (na dole tej strony z linku).

Wklej do Notatnika :

File::

C:\WINDOWS\system32\dmizo.exe

C:\WINDOWS\MS32DLL.dll.vbs


Driver::

"Windows Management Service"


Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku –>

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: ** Qoobox**.

Daj tu:

raport z C:\Fixwareout.txt
log z Hijacka
log z ComboFixa

Log wklej na http://wklej.org/, a w poście daj tylko link.(czyli skopiuj adres z paska adresów).

EDIT:

Widzę, że się spóźniłam z odpowiedzią.

Ale nie jestem pewna, czy powinnam ją od razu sama usunąć, bo wg mnie moja odpowiedź trochę uzupełnia odpowiedź daną przez @Lost Worlds

Jeśli jednak @Moderator uzna moją odpowiedź za zbędną, to nie ma sprawy - może ją usunąć.

jessi

Gutek · 8 Październik 2007 22:07

jak wykonasz instrukcję daj nowe logi! Teraz OT kosz