Duży problem :/ Proszę o pomoc!

Dla specjalistów Bezpieczeństwo
#1

Witam! Otóż wstaję sobie dzisiaj rano, naciskam przycisk POWER i ku mojemu zdziwieniu przy pierwszym ekranie, gdzie jest wyświetlany procesor, dyski itp. komputer się zawiesza :frowning: Po 10 minutach sam włącza się bios, później jak biorę Save & Exit robi się czarny ekran, który widać przez kolejne pare minut. Po czasie ładuje się Windows i widać samą tapetę przez pare minut i dopiero wszystko wraca do normy.

Skanowałem przed chwilą system NOD-em. Oto co znalazł:

C:\Documents and Settings\Gitarre\Ustawienia lokalne\Temporary Internet Files\Content.IE5\OTAF4P6Z\index[1].php »ZIP »MagicApplet.class - Java/TrojanDownloader.OpenConnection trojan

C:\Documents and Settings\Gitarre\Ustawienia lokalne\Temporary Internet Files\Content.IE5\OTAF4P6Z\index[1].php »ZIP »OwnClassLoader.class - Java/Exploit.Bytverify trojan

C:\Documents and Settings\Gitarre\Ustawienia lokalne\Temporary Internet Files\Content.IE5\OTAF4P6Z\index[1].php »ZIP »ProxyClassLoader.class - Java/Exploit.Bytverify trojan

C:\Documents and Settings\Gitarre\Ustawienia lokalne\Temporary Internet Files\Content.IE5\OTAF4P6Z\index[1].php »ZIP »Installer.class - Java/TrojanDownloader.OpenConnection.AO trojan

C:\Documents and Settings\Gitarre\Ustawienia lokalne\Temporary Internet Files\Content.IE5\SPIJ41YN\index[2].php »ZIP »MagicApplet.class - Java/TrojanDownloader.OpenConnection trojan

C:\Documents and Settings\Gitarre\Ustawienia lokalne\Temporary Internet Files\Content.IE5\SPIJ41YN\index[2].php »ZIP »OwnClassLoader.class - Java/Exploit.Bytverify trojan

C:\Documents and Settings\Gitarre\Ustawienia lokalne\Temporary Internet Files\Content.IE5\SPIJ41YN\index[2].php »ZIP »ProxyClassLoader.class - Java/Exploit.Bytverify trojan

C:\Documents and Settings\Gitarre\Ustawienia lokalne\Temporary Internet Files\Content.IE5\SPIJ41YN\index[2].php »ZIP »Installer.class - Java/TrojanDownloader.OpenConnection.AO trojan

C:\System Volume Information_restore{F72C36B6-A50A-41B9-A9B1-B6CB627F541A}\RP179\A0056375.dll - Win32/PSW.Sinowal.NBE trojan - usunięty

C:\System Volume Information_restore{F72C36B6-A50A-41B9-A9B1-B6CB627F541A}\RP179\A0056376.dll - Win32/PSW.Sinowal.NBE trojan - nazwa zmieniona na C:\System Volume Information_restore{F72C36B6-A50A-41B9-A9B1-B6CB627F541A}\RP179\A0056376.Vdll

A oto Log z Hijacka:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 11:36:58, on 2007-08-31

Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Eset\nod32krn.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\Program Files\Analog Devices\SoundMAX\SMTray.exe

C:\WINDOWS\System32\RUNDLL32.EXE

C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe

C:\Program Files\Eset\nod32kui.exe

C:\Program Files\HyperSnap-DX 5\HprSnap5.exe

C:\Program Files\VIA\RAID\raid_tool.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Program Files\FlashGet\jccatch.dll

O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar.dll

O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Program Files\FlashGet\getflash.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: FlashGet - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\Program Files\FlashGet\fgiebar.dll

O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar.dll

O4 - HKLM…\Run: [smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe

O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM…\Run: [nwiz] nwiz.exe /install

O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM…\Run: [sunJavaUpdateSched] “C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe”

O4 - HKLM…\Run: [nod32kui] “C:\Program Files\Eset\nod32kui.exe” /WAITSERVICE

O4 - HKLM…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘USŁUGA LOKALNA’)

O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’)

O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘SYSTEM’)

O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘Default user’)

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: HyperSnap-DX 5.lnk = C:\Program Files\HyperSnap-DX 5\HprSnap5.exe

O4 - Global Startup: VIA RAID TOOL.lnk = C:\Program Files\VIA\RAID\raid_tool.exe

O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\googletoolbar.dll/cmsearch.html

O8 - Extra context menu item: &Ściągnij przy pomocy FlashGet’a - C:\Program Files\FlashGet\jc_link.htm

O8 - Extra context menu item: &Ściągnij wszystko przy pomocy FlashGet’a - C:\Program Files\FlashGet\jc_all.htm

O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\googletoolbar.dll/cmbacklinks.html

O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\googletoolbar.dll/cmcache.html

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\googletoolbar.dll/cmsimilar.html

O8 - Extra context menu item: Translate into English - res://C:\Program Files\Google\googletoolbar.dll/cmtrans.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe

O9 - Extra ‘Tools’ menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe

O16 - DPF: {631FF594-EC25-4CFF-B869-402DF294E1D6} (Instalator oprogramowania Onet.pl) - http://slimak.onet.pl/_m/kamerzysta/One … or012s.ocx

O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/aol … _en_dl.cab

O17 - HKLM\System\CCS\Services\Tcpip…{045E9248-CB3E-4CEE-8A05-3BFF401898B7}: NameServer = 194.204.159.1,194.204.152.34

O17 - HKLM\System\CCS\Services\Tcpip…{D4A77E93-7302-400D-A51C-4B103F40D7D1}: NameServer = 194.204.159.1,194.204.152.34

O17 - HKLM\System\CS1\Services\Tcpip…{045E9248-CB3E-4CEE-8A05-3BFF401898B7}: NameServer = 194.204.159.1,194.204.152.34

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe

End of file - 6709 bytes

Proszę o rady, co usunąć, zmienić

Pozdrawiam

#2

Log jest czysty.

Ja nie znam się na infekcji Jawy, więc musisz czekać na pomoc kogoś, kto się na tym zna.

Jeśli w ciągu 24 godzin nie doczekasz się tu konkretnej pomocy, to radzę udać się wtedy na forum, gdzie jest @Picasso, która bardzo dobrze zna się na takich infekcjach.

A na razie, dopóki te 24 godz. nie upłyną, to możesz dać log z ComboFix (na dole tej strony z linku) -

Log wklej na http://wklej.org/, a w poście daj tylko link.

jessi

#3

ok, dzięki ale tam jest napisane:

i trochę nie rozumiem?

#4
#5

Przecież wyraźnie napisałam, że tamten komunikat o wycofaniu Combo jest już nieaktualny!

jessi