CWS.Oslogo

Dla specjalistów Bezpieczeństwo
#1

Witam!

XoftSpySE wykrył w komp min. CWS.Oslogo i WarezP2P, programy wolniej się uruchamiają. CWShredder pokazuje CWS.Oslogo-not present.

Proszę o pomoc i sprawdzenie loga.

Logfile of HijackThis v1.99.1

Scan saved at 20:34:25, on 2007-05-09

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\explorer.exe

C:\Program Files\cFosSpeed\cFosSpeed.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\CHIP\mxClock 1.1.4\mxClock.exe

C:\Program Files\Ovislink\Common\TurboG-UI.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\cFosSpeed\spd.exe

C:\WINDOWS\system32\cisvc.exe

C:\Program Files\Mozy\mozybackup.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\HijackThis\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.allegro.pl/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.allegro.pl

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = file://C:\Programy\WinSweep\ws.js

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

F2 - REG:system.ini: Shell=explorer.exe 

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

O3 - Toolbar: &WINSWEEP Toolbar - {E915E62E-41DA-40D0-8106-3438B4D24394} - C:\Programy\WinSweep\SurfBar.dll

O3 - Toolbar: Webshots Toolbar - {C17590D2-ECB4-4b15-8820-F58798DCC118} - C:\Program Files\Webshots\WSToolbar4IE.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [cFosSpeed] C:\Program Files\cFosSpeed\cFosSpeed.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [mxClock] C:\CHIP\mxClock 1.1.4\mxClock.exe

O4 - Global Startup: AirLive Turbo-G Wireless Utility.lnk = C:\Program Files\Ovislink\Common\TurboG-UI.exe

O8 - Extra context menu item: &Webshots Photo Search - res://C:\Program Files\Webshots\WSToolbar4IE.dll/MENUSEARCH.HTM

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {2E12FB00-546B-4EE3-9CC2-057BF02E1C17} (Webshots Multiple Media Uploader - Container) - http://community.webshots.com/html/atx/wsaxcontrol.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)

O23 - Service: ArcaBit.Core.Configurator - Unknown owner - C:\Program Files\ArcaBit\Common\ArcaBit.Core.Configurator2.exe (file missing)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: cFosSpeed System Service (cFosSpeedS) - Unknown owner - C:\Program Files\cFosSpeed\spd.exe" -service (file missing)

O23 - Service: DiamondCS ProcessGuard Service v3.410 (DCSPGSRV) - Unknown owner - C:\Program Files\ProcessGuard\dcsuserprot.exe (file missing)

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Mozy Backup Service (MozyBackup) - Unknown owner - C:\Program Files\Mozy\mozybackup.exe

O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: SpIDer Guard for Windows NT (spidernt) - Unknown owner - C:\PROGRA~1\DrWeb\SpiderNT.exe (file missing)

:cry:

Uwaga: Jak wklejasz loga to obejmuj go znacznikiem (tagiem) CODE lub QUOTE

Pozdrawiam Gutek2222

#2

Usuń w HJT. Poza tym ok. Wrzuć jeszcze log SilentRunners.

#3

Usunąłem wpisy ale XoftSpySE dalej pokazuje, że CWS.Oslogo i Warez 2P2 są (jeszcze też Burn4Free Toolbar - High Risk). Mam problem z zainstalowaniem SilentRunners - pojawia się komunikat “Dostęp do Hosta Skryptów jest wyłączony na tym komputerze”.

Nie podobają mi się tez dwa wpisy:

ale nie wiem czy je można usunąć. podejrzewam, że są to pozostałości po odinstalowanych programach. Przepraszam jeżeli piszę coś niejasno. Jestem początkującym.

Pozdrawiam!

#4

zrób to :wink:

Start >>> Uruchom >>> services.msc >>> zatrzymaj i wyłącz DiamondCS ProcessGuard Service v3.410 i SpIDer Guard for Windows NT

Daj nowe logi

#5

Dzięki, poznałem coś nowego.

Wyłączyłem “Diamond CSProcessGuard Service” ale “SpiDerGuard for Windows NT” nie znalazłem. Nie udało mi się też uruchomić “Silent Runners”. Załaczam nowy log:

Pozdrawiam! :?

#6

Daj log z Combofix - http://download.bleepingcomputer.com/sUBs/ComboFix.exe

#7
#8

Czyszczenie rejestru:

RegCleaner - http://www.dobreprogramy.pl/index.php?dz=2&t=29&id=177

możesz rejestr przelecieć albo

jv16 PowerTools - http://www.dobreprogramy.pl/index.php?dz=2&t=29&id=509

#9

Zrobiłem czyszczenie rejestru ale XoftSpySE w dalszym ciągu wykrywa CWS.Oslogo i Warez P2P. Pozbyłem się tylko Burn4Free Toolbar. Nie wiem czy mam te dwa świństwa czy też program XoftSpySE błędnie wykrywa. Pozdrawiam. :!:

#10

Skan AVG Anti-Spyware 7.5 po update :wink:

#11

Przeskanowałem AVG Anti-Spyware (po uaktualnieniu) i usunąłem

“Trojan.Delf.mg” i “Worm.Grez”. XoftSpySE dalej wykrywa CWS.Oslogo i

Warez P2P. Podaję pełny wynik skanowania (z pominieciem obiektów

“Potentially Unwanted”

Złączono Posta : 16.05.2007 (Sro) 17:05

Przepraszm bo wynik skanowania zrobił się mniej czytelny niż zamierzałem. Pewnie niepotrzebnie użyłem Quote. :oops:

#12

Otwórz Notatnik i wklej w nim to:

Plik >>> Zapisz jako >>> Ustaw rozszerzenie z TXT na Wszystkie pliki >>> zapisz pod nazwą FIX.REG >>> kliknij podwójnie zrobiony plik i potwierdź >>> reset kompa

#13

Zrobiłem jw. ale nic się nie zmieniło (chyba, że coś pokręciłem) komputer i internet dalej muli. Daję nowego loga z HijackThis.

:cry:

#14

Usuń. Poza tym czysto.

Optymalizacja i odchudzanie Windows XP

#15

Docelowo mogę przeinstalować system. Ale póki co nurtuje mnie to dlaczego XoftSE anti-spyware v.4.31 dalej wykrywa CWS.Oslogo i Warez P2P a CWShredder pokazuje, że Oslogo nie ma. I jeszcze ciągle mi się psuje skrót do CWShredder na pulpicie. Pozdrawiam. :slight_smile:

Złączono Posta : 03.06.2007 (Nie) 21:38

Zrobiłem optymalizację i odchudzanie Windows XP ale nie pomogło. Skanowałem też komp. wszelkimi dostępnymi skanerami ale XoftSE dalej

wykrywa CWS.Oslogo iWarez P2P[/b. Komputer zwolnił jeszcze bardziej, częściowo pewno przez zainstalowane a-wirusy. Przy pomocy kolegi z forum udało mi się wreszcie odpalić SilentRunners, proszę jeszcze raz sprawdzić moje logi. Jeśli to nie pomoże to przeinstaluję system.

I drugi log:

Pozdrawiam! :shock:

#16

Daj log z Combofix

#17

Dołączam loga z ComboFix:

:shock:

#18

Dokończyć skanerami online - Skanery do wyboru