Caly czas trojany mam na kompie


(Tomasz Zielony) #1

siemka

mam problem cały czas mi avast wykrywa trojany i rożne inne wirusy

daje log do sprawdzenia

a z Silent Runners nie mogę dać loga bo jakiś błąd mi wyskakuje


(Joan Sunshine) #2

plik na czerwono ręcznie z dysku w awaryjnym, wpisy usuń w hjt

daj nowe logi hijack+silentrunners (o problemach z Silentem poczytaj tutaj -> KLIK) :slight_smile:


(Tomasz Zielony) #3

zaras to usune

a jak przejść w tryb awaryjny><>??

Złączono Posta : 04.04.2007 (Sro) 8:31

usunąłem już to ci mi zaznaczyłeś w trybie awaryjnym

Złączono Posta : 04.04.2007 (Sro) 8:46

po usunięciu

Złączono Posta : 04.04.2007 (Sro) 9:24

a ja znalazłem kolejnego wirusa

Win32:Poebot-AY [Trj]

C:\System Volume Information_restore{B28C0222-D091-40F0-9C76-354A51899E89}\RP11\A0003060.exe

nie moge go usunac


(adam9870) #4

Jest Ok.

Rozumiem, że log z Silenta który wkleiłeś został wykonany jeszcze przed wykonaniem czynności, które radziła Joan.


(Tomasz Zielony) #5

dam jeszcze raz nowe logi

a po co mam wyłączyć przywracanie systemu ??

cały czas avast mi znajduje wirusy

daje scieszke do niego

C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\7XGTAVEU\84785_sedfg[1].exe

C:\upnt.exe

Złączono Posta : 04.04.2007 (Sro) 11:14

mnie jeszcze zastanawia ten wpis

O17 - HKLM\System\CCS\Services\Tcpip..{8E87CE1E-84BC-4DEC-82A5-6CEE659FF0F0}: NameServer = 194.204.159.1 217.98.63.164

wydaje mi sie ze jak by ktos jest połaczony z moim kompem

Złączono Posta : 04.04.2007 (Sro) 11:14


(adam9870) #6

Logi są Ok.

Po to aby folder System Volume Information, w którym został znaleziony szkodnik opróżnił się. W folderze System Volume Information są przechowywane punkty przywracania systemu, a wyłączenie przywracania powoduje jego wyczyszczenie, a co za tym idzie - usunięcie zarażonego pliku.

Użyj programu ATF Cleaner i przeczyść TEMP'y.

Spróbuj usunąć ten plik ręcznie, a następnie wklej log z ComboFix.


(Tomasz Zielony) #7

to taki log miał byc ??


(adam9870) #8

Ściągasz program KillBox, zaznaczasz Delete on reboot , w polu full path of file wklej ścieżki:

C:\WINDOWS\system32\dload.exe

C:\WINDOWS\System32\fofanclm.exe

C:\WINDOWS\System32\csrs.exe

Po wklejeniu każdej ścieżki z osobna klikasz na czerwonego iksa, ale dopiero po wklejeniu ostatniej zgadzasz się na restart. Jeśli po wklejeniu którejś ze ścieżek pokaże się jakiś błąd, nie przejmuj się nim tylko przejdź do wykonywania dalszych czynności.

Otwórz Notatnik i wklej w nim to:

Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG >>> kliknij dwa razy na utworzony plik FIX.REG i potwierdź dodanie do rejestru >>> restart.

Proponuję usunąć SopCast ponieważ być może jest on nośnikiem infekcji. Poczytaj:

http://www.searchengines.pl/phpbb203/in ... opic=86584

Po wykonaniu pokaż nowy log z Combo.


(Tomasz Zielony) #9

dobra

zrobiłem wszystko tak jak mi napisałeś

a avast nadal mi wywala wirusy

daj link do tego Combo. bo nie mogę znalesc

zastanawiaja mnie ten wpisy

C:\WINDOWS\system\smsc.exe

O23 - Service: System Manger Service 32 (SMSC) - Unknown owner - C:\WINDOWS\system\smsc.exe

O4 - HKLM..\RunServices: [msvccc66] svcchosst.exe

Unknown

O4 - HKLM..\Run: [msvccc66] svcchosst.exe

O17 - HKLM\System\CCS\Services\Tcpip..{8E87CE1E-84BC-4DEC-82A5-6CEE659FF0F0}: NameServer = 194.204.159.1 217.98.63.164

nie moge dac loga z Silent Runners bo jakis bład mi wyskakuje i juz 3 razy sciagałem go'12fa45bbfc6cc105m.gif


(adam9870) #10

Gdzie je wykrywa? Podaj dokładne lokalizacje do znajdowanych zainfekowanych plików.

KLIK


(Tomasz Zielony) #11

nie moge dac loga z combo

tez jakiś błąd wyskakuje

23af74b49c45fbf0m.gif


(adam9870) #12

Z tym co masz powinien być jeszcze sterownik rdriv.sys jednak go nie widzę.

Pobierz The avenger. Wypakuj => uruchom => zaznacz opcję Input script manually => kliknij w lupkę => w okienku, które się otworzy wklej:

=> Kliknij klawisz Done => teraz kliknij na zielone światełko => powinna pojawić się pewna informacja i kliknij OK (teraz restart).

Po resecie może pojawić się okienko na dosłownie kilka sekund oraz log w notatniku. Wejdź tam gdzie masz avengera i skasuj plik backup.zip czyli np. c:\avenger\backup.zip.

Usuń wpisy HJT.

Po wykonaniu wklej nowy log z hijacka, combo plus dwa logi z Gmer'a wykonane przy takich ustawieniach:

  1. Zakładka Rootkit >>> zaznaczone wszystko oprócz Pokazuj wszystko >>> kliknij Szukaj >>> czekaj cierpliwie aż skończy >>> Kopiuj >>> wklej do posta

  2. Zakładka Rootkit >>> zaznaczone tylko Usługi i Pokazuj wszystko >>> kliknij Szukaj >>> czekaj cierpliwie aż skończy >>> Kopiuj >>> wklej do posta

Jeśli wszystkie logi nie zmieszczą się bezpośrednio do posta, to umieść je w jakimś serwisie hostingowym jako pliki *.txt, a tu tylko zlinkuj.


(Tomasz Zielony) #13

log z gmera


(adam9870) #14

Teraz czynności będziesz wykonywał w Gmerze więc uruchom go, poczekaj chwilkę, kliknij na zakładkę >>> w celu otworzenia pozostałych.

  • w zakładce Procesy wybierz Gmer awaryjny. Komputer się zrestartuje i zostanie samo okienko Gmer'a

  • w zakładce Usługi skasuj z prawokliku usługę SMSC

  • w zakładce Procesy kliknij Pliki i usuń ręcznie plik:

  • w zakładce Procesy przez ... (trzy kropki) wskaż hijacka i usuń w nim wpis: (jeśli będzie)

  • zrestartuj komputer ręcznie przyciskiem na obudowie.

Po wykonaniu wklej nowy log z Gmer'a wykonany przy ustawieniu usługi + pokazuj wszystko.


(Tomasz Zielony) #15

robie wszystko tak jak kazałeś ale jak zaznaczę ten proces do zamknięcia to odrazy komp chodzi jak czołg

nic nie da sie zrobić'

i robie w awaryjnym


(adam9870) #16

Wklej komplet nowych logów, być może sytuacja się zmieniła - nie będziemy strzelać w ciemno.


(Tomasz Zielony) #17

dobra adam dzięki za pomoc

ale sie wnerwiłem i zrobiłem format

Złączono Posta : 05.04.2007 (Czw) 17:56

daje loga po formacie czy wszystko jest ok

a i jeszcze od czego jest ten proces MDM i notepad

Logfile of Trend Micro HijackThis v2.0.0 (BETA)

Scan saved at 17:56:03, on 2007-04-05

Platform: Windows XP (WinNT 5.01.2600)

Boot mode: Normal


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\LEXPPS.EXE

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Documents and Settings\Zielony\Pulpit\HiJackThis_v2.exe

C:\PROGRA~1\MOZILL~2\FIREFOX.EXE


R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKLM\..\Run: [Lexmark 2200 Series] "C:\Program Files\Lexmark 2200 Series\lxbvbmgr.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O17 - HKLM\System\CCS\Services\Tcpip\..\{3CB45462-8681-4218-9879-01A334A9A359}: NameServer = 194.204.159.1 217.98.63.164

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O22 - SharedTaskScheduler: Moduł wstępnego ładowania interfejsu Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll

O22 - SharedTaskScheduler: Demon buforu kategorii składników - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE


--

End of file - 3759 bytes