sebusdm
27 Sierpień 2007 14:26
#1
Witam,
mój problem polega na tym, że mks wykrywa mi wirusa jak w temacie i nie chce go usunąć. Próbowałem ręcznie i mks już go nie pokazał ale za to SpyBot tak. Dodatkowo podczas szukania czegoś poprzez google przekazuje mnie na stronę daily-search i tym podobne. A jednocześnie dowiedziałem się, że spamuje na potęgę i wysyłam miliony wiadomości przez co blokuje mój adres.
Proszę o sprawdzenie logów:
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 16:18:19, on 2007-08-27 Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Boot mode: Normal Running processes: C:\windows\System32\smss.exe C:\windows\system32\winlogon.exe C:\windows\system32\services.exe C:\windows\system32\lsass.exe C:\windows\system32\svchost.exe C:\windows\System32\svchost.exe C:\windows\system32\spoolsv.exe C:\windows\System32\nvsvc32.exe C:\windows\System32\svchost.exe C:\windows\Explorer.EXE C:\Program Files\Common Files\Real\Update_OB\realsched.exe C:\windows\LTSMMSG.exe C:\windows\system32\6wm6.exe C:\Program Files\Gadu-Gadu\gg.exe C:\Program Files\OpenOffice.org 2.0.2\program\soffice.exe C:\Program Files\OpenOffice.org 2.0.2\program\soffice.BIN C:\windows\System32\wuauclt.exe C:\Program Files\Outlook Express\msimn.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.interia.pl/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0 CE\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {198B5854-DA15-4D0F-85E5-F1E415381E4B} - C:\windows\System32\eventcl.dll O2 - BHO: REALBAR - {4E7BD74F-2B8D-469E-C0FF-FD60B590A87D} - C:\PROGRA~1\COMMON~1\Real\Toolbar\realbar.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: (no name) - {F838CE6B-28CB-4F7D-A92E-B0BF7BC74F12} - c:\windows\system32\uwyshhpt.dll O2 - BHO: (no name) - {FDB0F38D-7FCA-48BA-A054-E411EFF22AF9} - c:\windows\system32\hglahgl.dll O2 - BHO: (no name) - {FFFFFEF0-5B30-21D4-945D-000000000000} - C:\PROGRA~1\STARDO~1\SDIEInt.dll O3 - Toolbar: REALBAR - {4E7BD74F-2B8D-469E-C0FF-FD60B590A87D} - C:\PROGRA~1\COMMON~1\Real\Toolbar\realbar.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM…\Run: [AQ3HelperStartUp] C:\PROGRA~1\AQUATI~1\AQ3HEL~1.EXE /partner AQ3 O4 - HKLM…\Run: [QuickTime Task] “C:\Program Files\QuickTime\qttask.exe” -atboottime O4 - HKLM…\Run: [TkBellExe] “C:\Program Files\Common Files\Real\Update_OB\realsched.exe” -osboot O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM…\Run: [LTSMMSG] LTSMMSG.exe O4 - HKLM…\Run: [6wm6] C:\windows\system32\6wm6.exe O4 - HKCU…\Run: [Gadu-Gadu] C:\Program Files\Gadu-Gadu\gg.exe /tray O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background O4 - HKCU…\Run: [sluchawka] C:\Program Files\sluchawka.pl\sluchawka.exe O4 - HKCU…\Run: [RealPlayer] “C:\Program Files\Real\RealOne Player\realplay.exe” /RunUPGToolCommandReBoot O4 - HKCU…\Run: [6wm6] C:\windows\system32\6wm6.exe O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘USŁUGA LOKALNA’) O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’) O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘SYSTEM’) O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘Default user’) O4 - Startup: OpenOffice.org 2.0.2.lnk = C:\Program Files\OpenOffice.org 2.0.2\program\quickstart.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.h … xdm080YYPL O8 - Extra context menu item: Download with Star Downloader - C:\Program Files\Star Downloader\sdie.htm O15 - Trusted Zone: http://*.mks.com.pl O16 - DPF: ING Bank Online - https://ssl.bsk.com.pl/bskonl/component/INGOnl.cab O16 - DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A} (DjVuCtl Class) - http://www.lizardtech.com/download/file … _pl_PL.cab O16 - DPF: {3D8700FB-86A4-4CB4-B738-6F0FC016AC7D} (MainControl Class) - http://arcaonline.arcabit.com/ArcaOnline.cab O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab O16 - DPF: {92ECE6FA-AC2E-4042-BFAE-0C8608E52A43} (SignActivX Control) - https://www.bph.pl/pi/components/SignActivX.cab O20 - Winlogon Notify: fgsttqhf - C:\windows\SYSTEM32\hglahgl.dll O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\windows\System32\nvsvc32.exe – End of file - 4734 bytes
jessica
27 Sierpień 2007 15:13
#2
Te w/w wpisy sfiksuj w Hijacku:
>>Hijack>>scan(Do a system scan only)>>zaznacz je >> Fix checked .
Jeśli nie masz jakiegoś narzędzia usuwającego, to ściągnij OTMoveIt
Do pola Paste List of Files/Folders to be Moved wklej poniższe ścieżki:
Następnie wciśnij przycisk MoveIt !
Pojawi się komunikat, że jest potrzebny restart do usunięcia podanych plików/folderów- wciśnij Yes .
Po restarcie usuń ręcznie folder C:* * _OTMoveIt** (Prawoklik >>> Usuń >>> Opróżnij Kosz).
Wygląda na to, że masz także infekcję “VUNDO”.
Do jej usunięcia potrzebny byłby log z ComboFixa, ale niestety dzisiaj strona ComboFixa jest niedostępna.
Na razie użyj więc VundoFix wielokrotnie , dotąd, aż w jego raporcie (C:\VundoFix Report.txt) będzie pisało, że nic już nie wykrywa i wszystko jest „deleted”.
VundoFix pewnie nie wykryje i nie usunie wszystkiego, a więc trrzeba będzie czekać, aż ComboFix będzie dostępny…
EDIT:
Można się dostać tędy do działającego ComboFix - (adres nr 3)
Log wklej na http://wklej.org/
jessi
sebusdm
28 Sierpień 2007 08:45
#3
ComboFix nie działa.
VundoFix nic nie wykrywa.
Podaje jeszcze link do loga z HJT:
http://wklej.org/id/1d88e07f90
Mam nadzieję, że teraz już będzie bez syfów?
jessica
28 Sierpień 2007 12:40
#4
Niewiele się wykonało, więc powtórka z rozrywki:
Te w/w wpisy sfiksuj w Hijacku:
>>Hijack>>scan(Do a system scan only)>>zaznacz je >> Fix checked .
Do pola Paste List of Files/Folders to be Moved wklej poniższe ścieżki:
Następnie wciśnij przycisk MoveIt !
Pojawi się komunikat, że jest potrzebny restart do usunięcia podanych plików/folderów- wciśnij Yes .
Po restarcie usuń ręcznie folder C:* * _OTMoveIt** (Prawoklik >>> Usuń >>> Opróżnij Kosz).
Potem daj tu log z Hijacka.
Daj też log z DSS
Log wklej na http://wklej.org/
jessi
sebusdm
28 Sierpień 2007 14:39
#5
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 16:36:46, on 2007-08-28 Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Boot mode: Normal Running processes: C:\windows\System32\smss.exe C:\windows\system32\winlogon.exe C:\windows\system32\services.exe C:\windows\system32\lsass.exe C:\windows\system32\svchost.exe C:\windows\System32\svchost.exe C:\windows\system32\spoolsv.exe C:\windows\System32\nvsvc32.exe C:\windows\System32\svchost.exe C:\windows\Explorer.EXE C:\Program Files\Common Files\Real\Update_OB\realsched.exe C:\windows\LTSMMSG.exe C:\Program Files\Gadu-Gadu\gg.exe C:\Program Files\OpenOffice.org 2.0.2\program\soffice.exe C:\Program Files\OpenOffice.org 2.0.2\program\soffice.BIN C:\Program Files\Internet Explorer\iexplore.exe C:\windows\System32\wuauclt.exe C:\windows\notepad.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.interia.pl/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0 CE\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: (no name) - {F838CE6B-28CB-4F7D-A92E-B0BF7BC74F12} - c:\windows\system32\uwyshhpt.dll O2 - BHO: (no name) - {FDB0F38D-7FCA-48BA-A054-E411EFF22AF9} - c:\windows\system32\hglahgl.dll O2 - BHO: (no name) - {FFFFFEF0-5B30-21D4-945D-000000000000} - C:\PROGRA~1\STARDO~1\SDIEInt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM…\Run: [QuickTime Task] “C:\Program Files\QuickTime\qttask.exe” -atboottime O4 - HKLM…\Run: [TkBellExe] “C:\Program Files\Common Files\Real\Update_OB\realsched.exe” -osboot O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM…\Run: [LTSMMSG] LTSMMSG.exe O4 - HKCU…\Run: [Gadu-Gadu] C:\Program Files\Gadu-Gadu\gg.exe /tray O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background O4 - HKCU…\Run: [sluchawka] C:\Program Files\sluchawka.pl\sluchawka.exe O4 - HKCU…\Run: [RealPlayer] “C:\Program Files\Real\RealOne Player\realplay.exe” /RunUPGToolCommandReBoot O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘USŁUGA LOKALNA’) O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’) O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘SYSTEM’) O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘Default user’) O4 - Startup: OpenOffice.org 2.0.2.lnk = C:\Program Files\OpenOffice.org 2.0.2\program\quickstart.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: Download with Star Downloader - C:\Program Files\Star Downloader\sdie.htm O15 - Trusted Zone: http://*.mks.com.pl O16 - DPF: ING Bank Online - https://ssl.bsk.com.pl/bskonl/component/INGOnl.cab O16 - DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A} (DjVuCtl Class) - http://www.lizardtech.com/download/file … _pl_PL.cab O16 - DPF: {3D8700FB-86A4-4CB4-B738-6F0FC016AC7D} (MainControl Class) - http://arcaonline.arcabit.com/ArcaOnline.cab O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab O16 - DPF: {92ECE6FA-AC2E-4042-BFAE-0C8608E52A43} (SignActivX Control) - https://www.bph.pl/pi/components/SignActivX.cab O20 - Winlogon Notify: fgsttqhf - C:\windows\SYSTEM32\hglahgl.dll O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\windows\System32\nvsvc32.exe – End of file - 4074 bytes
DSS: http://wklej.org/id/fdc22902fc
Gutek
28 Sierpień 2007 14:45
#6
Użyj w trybie awaryjnym VundoFix Trojan.Vundo Removal Tool VirtumundoBeGone
po tym nowe logi + Pobierz program SDFix
sebusdm
30 Sierpień 2007 09:39
#7
VundoFix + Trojan.Vundo Removal Tool + VirtumundoBeGone niczego nie wykryły.
Gmerem zrobiłem to co kazano - ale wyskakiwały mi komunikaty, że podczas usuwania pojawił się błąd (czy to normalne?). Na końcu napisał, że usuwanie zakończono pomyślnie.
Potem HJT oraz SDFix
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 10:55:53, on 2007-08-30 Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Boot mode: Normal Running processes: C:\windows\System32\smss.exe C:\windows\system32\winlogon.exe C:\windows\system32\services.exe C:\windows\system32\lsass.exe C:\windows\system32\svchost.exe C:\windows\System32\svchost.exe C:\windows\system32\spoolsv.exe C:\windows\System32\nvsvc32.exe C:\windows\System32\svchost.exe C:\windows\Explorer.EXE C:\Program Files\Common Files\Real\Update_OB\realsched.exe C:\windows\LTSMMSG.exe C:\Program Files\Gadu-Gadu\gg.exe C:\Program Files\OpenOffice.org 2.0.2\program\soffice.exe C:\Program Files\OpenOffice.org 2.0.2\program\soffice.BIN C:\windows\System32\wuauclt.exe C:\windows\System32\wuauclt.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.interia.pl/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0 CE\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: (no name) - {F838CE6B-28CB-4F7D-A92E-B0BF7BC74F12} - c:\windows\system32\uwyshhpt.dll O2 - BHO: (no name) - {FDB0F38D-7FCA-48BA-A054-E411EFF22AF9} - c:\windows\system32\hglahgl.dll O2 - BHO: (no name) - {FFFFFEF0-5B30-21D4-945D-000000000000} - C:\PROGRA~1\STARDO~1\SDIEInt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM…\Run: [QuickTime Task] “C:\Program Files\QuickTime\qttask.exe” -atboottime O4 - HKLM…\Run: [TkBellExe] “C:\Program Files\Common Files\Real\Update_OB\realsched.exe” -osboot O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM…\Run: [LTSMMSG] LTSMMSG.exe O4 - HKCU…\Run: [Gadu-Gadu] C:\Program Files\Gadu-Gadu\gg.exe /tray O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background O4 - HKCU…\Run: [sluchawka] C:\Program Files\sluchawka.pl\sluchawka.exe O4 - HKCU…\Run: [RealPlayer] “C:\Program Files\Real\RealOne Player\realplay.exe” /RunUPGToolCommandReBoot O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘USŁUGA LOKALNA’) O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’) O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘SYSTEM’) O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘Default user’) O4 - Startup: OpenOffice.org 2.0.2.lnk = C:\Program Files\OpenOffice.org 2.0.2\program\quickstart.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: Download with Star Downloader - C:\Program Files\Star Downloader\sdie.htm O15 - Trusted Zone: http://*.mks.com.pl O16 - DPF: ING Bank Online - https://ssl.bsk.com.pl/bskonl/component/INGOnl.cab O16 - DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A} (DjVuCtl Class) - http://www.lizardtech.com/download/file … _pl_PL.cab O16 - DPF: {3D8700FB-86A4-4CB4-B738-6F0FC016AC7D} (MainControl Class) - http://arcaonline.arcabit.com/ArcaOnline.cab O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab O16 - DPF: {92ECE6FA-AC2E-4042-BFAE-0C8608E52A43} (SignActivX Control) - https://www.bph.pl/pi/components/SignActivX.cab O20 - Winlogon Notify: fgsttqhf - C:\windows\SYSTEM32\hglahgl.dll O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\windows\System32\nvsvc32.exe – End of file - 4034 bytes
jessica
31 Sierpień 2007 12:21
#8
Widzę, że masz zarażony " winlogon.exe " , także zapasowy w “dllcache” też masz zarażony.
Musisz wgrać nowy “winlogon.exe” z płytki systemowej.
Ponieważ już ponad 28 godzin minęło i nikt nie chce tu Ci pomóc, jak to zrobić, więc radzę udać się na inne forum,
gdzie @Picasso @Wiewia
Od razu pokaż tam raport z SDFix z widocznym zarazonym “winlogon.exe”.
jessi