Goraca prosba o sprawdzenie loga

dalamar · 16 Sierpień 2006 08:58

Witam. Mam taki o to problem. Zlapalem wirusa z rodzinki Win32 trojan-gen , udalo mi sie go usunac avastem (w trybie przed startem systemu). Problem polega na tym , ze teraz moj internet starsznie zwalnia , skanowalem ad-awerem, sbybootem , microsoftowym anti-spy’em, avastem, panda , mks-em, arcawirem, i zaden skaner,pogram nic nie wykrywa. Dzwonilem do mojego operatora internetowego i dowiedzialem sie , ze moj plik wymiany jest zawalony i wyglada to tak jakbym mial wlaczony caly czas program p2p. Uzywam ale akurat internet starsznie zwalnia bez tego. Wklejam loga z hijacka

Logfile of HijackThis v1.99.1

Scan saved at 10:53:08, on 2006-08-16

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

F:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\ctfmon.exe

F:\Program Files 2\Gadu-Gadu\gg.exe

F:\Program Files 2\Corel\Graphics9\Register\Remind32.exe

F:\Program Files 2\Alwil Software\Avast4\aswUpdSv.exe

F:\Program Files 2\Alwil Software\Avast4\ashServ.exe

F:\Program Files 2\Agnitum\Outpost Firewall\outpost.exe

F:\Program Files 2\Alwil Software\Avast4\ashMaiSv.exe

F:\Program Files 2\Alwil Software\Avast4\ashWebSv.exe

F:\Program Files 2\Mozilla Firefox\firefox.exe

F:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Program Files 2\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - F:\PROGRA~1\FlashGet\jccatch.dll

O4 - HKLM…\Run: [avast!] F:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM…\Run: [Outpost Firewall] F:\Program Files 2\Agnitum\Outpost Firewall\outpost.exe /waitservice

O4 - HKLM…\Run: [OutpostFeedBack] F:\Program Files 2\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup

O4 - HKLM…\Run: [Odkurzacz-MCD] F:\Program Files 2\Odkurzacz 10.1 Pro\odk_mcd.exe

O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU…\Run: [Gadu-Gadu] “F:\Program Files 2\Gadu-Gadu\gg.exe” /tray

O4 - Startup: Rejestrowanie produktów Corela.lnk = F:\Program Files 2\Corel\Graphics9\Register\Remind32.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = F:\Program Files 2\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: Download All by FlashGet - F:\Program Files 2\FlashGet\jc_all.htm

O8 - Extra context menu item: Download using FlashGet - F:\Program Files 2\FlashGet\jc_link.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Outpost Firewall Pro Quick Tune - {44627E97-789B-40d4-B5C2-58BD171129A1} - F:\Program Files 2\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - F:\PROGRA~1\FlashGet\flashget.exe

O9 - Extra ‘Tools’ menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - F:\PROGRA~1\FlashGet\flashget.exe

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O20 - AppInit_DLLs: F:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - F:\Program Files 2\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - F:\Program Files 2\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - F:\Program Files 2\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - F:\Program Files 2\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - F:\Program Files 2\Agnitum\Outpost Firewall\outpost.exe

Nie wiem dlaczego hijack nie uwzglednil dwoch procesow ktore widac w menedzerze zadan - csrss.exe i wdfmgr.exe

Bardzo prosze o pomoc i z gory dziekuje. Pozdrawiam.

kuba-000 · 16 Sierpień 2006 15:35

Proces csrss.exe to proces wygenerowany przez robaka Backdoor.Win32.Landis.b Możliwe, że antywirusy nie wykrywały go ponieważ wyłącza on wszystkie procedury bezpieczeństwa, które uda mu sie rozpoznać.

Myszak · 16 Sierpień 2006 16:42

W logu jest ok. Podrzuć log z Silenta.

Podaj lokalizacje plików :

–> csrss.exe

–> wdfmgr.exe

kacz2n · 16 Sierpień 2006 16:43

Proszę startować do awaryjnego i otworzyć program Pocket Killbox, zaznaczyć Delete on reboot i wkleić:

C:\Windows\csrss.exe

Potem nowe logi.

Myszak · 16 Sierpień 2006 16:45

a potem kliknąć X i reset kompa

kacz2n · 16 Sierpień 2006 16:48

Dzięki zapomniałem dopisać!

dalamar · 16 Sierpień 2006 17:08

Dzieki za wszytkie posty, zaraz zabieram sie do roboty Mam tylko pytanie czy wylaczyc przywracanie systemu na czas usuwania procesu ??

lokalizacja :

csrss.exe - C:\WINDOWS\system32

C:\WINDOWS\ServicePackFiles\i386

wdfmgr.exe - C:\WINDOWS\system32

C:\WINDOWS\RegisteredPackages{981FB688-E76B-4246-987B-92083185B90A}

Złączono Posta : 16.08.2006 (Sro) 21:29

O.k. zrobione, przy czym nie wylaczylem przywracania systemu.

Taki komunikat otrzymalem

Pocket Killbox version 2.0.0.648

Running on Windows XP as Mikołaj(Administrator)

was started @ środa, sierpień 16, 2006, 8:11 PM


Killbox Closed(Exit) @ 8:12:05 PM

__________________________________________________


Pocket Killbox version 2.0.0.648

Running on Windows XP as Mikołaj(Administrator)

was started @ środa, sierpień 16, 2006, 8:18 PM


# 1 [Delete on Reboot]

Path = C:\Windows\csrss.exe



PendingFileRenameOperations Registry Data has been Removed by External Process! @ 8:18:58 PM

log z silentrunnera