Informacje o zainfekowaniu i tray icon niby z centrum zabezp

gizbar (Gasparus) 2007-10-18 16:34:33 UTC #1

generalnie zanim ktos poswieci swoj cenny czas chce powiedziec ze uzylem funkcji przywracania systemu - cofnolem mojego xp o dzien i wszystko wydaje sie byc w porzadku

ale poniewaz nie wierze w idealnosc tego rozwiazania wrzuce tu loga z HiJack

log jest aktualny znaczy pochodzi z czasu po cofnieciu systemu

sam problem opisalem w topicu zdaja sie ze nie jestem pierwszy wiec pewnie wiadomo bedzie expertom o co chodzi, dodam tylko ze klikniecie na tray'a odpala przypadkowe(chyba) strony o tematyce antyvirowej w IE oczywiscie

ja uzywam FireFoxa 2.0.0.7

no a teraz sprobuje to wkleic jak nalezy:

Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:26:07, on 2007-10-18 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe O1 - Hosts: 89.163.145.151 l2authd.lineage2.com O1 - Hosts: 89.163.145.151 l2testauthd.lineage2.com O4 - HKLM..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM..\Run: [intelAudioStudio] "C:\Program Files\Intel Audio Studio\IntelAudioStudio.exe" BOOT O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe -- End of file - 1808 bytes

adam9870 (adam9870) 2007-10-19 15:09:45 UTC #2

Log czysty. Mimo to jednak użyj narzędzia SmitFraudFix z opcji numer 2 w trybie awaryjnym, po czym wklej zawartość pliku c:\rapport.txt oraz log z ComboFix.

gizbar (Gasparus) 2007-10-19 17:03:33 UTC #3

Witam

na wstepie dzieki za odpowiedz a oto link do loga z combofixa

http://up.wklej.org/download.php?id=040 ... 8008ed2ae7

haslo: gg

podczas pracy combofix dwa razy wyskoczyl blad:

po zakonczeniu fazy 7 wywalil sie "sed.cfexe" potem wywalil sie jeszcze raz ten sam program - kropke wstawilem w dobrym miescu

no i rapport.txt z tego drugiego:

SmitFraudFix v2.240 Scan done at 18:46:26.87, 2007-10-19 Run from D:\Instalki\Antywirus\simitfraud\SmitfraudFix OS: Microsoft Windows XP [Wersja 5.1.2600] - Windows_NT The filesystem type is NTFS Fix run in safe mode »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix !Attention, following keys are not inevitably infected! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» Killing process »»»»»»»»»»»»»»»»»»»»»»»» hosts 127.0.0.1 localhost 89.163.145.151 l2authd.lineage2.com 89.163.145.151 l2testauthd.lineage2.com »»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix S!Ri's WS2Fix: LSP not Found. »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix GenericRenosFix by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files C:\DOCUME~1\Kaspa\Ulubione\Online Security Test.url Deleted »»»»»»»»»»»»»»»»»»»»»»»» DNS HKLM\SYSTEM\CCS\Services\Tcpip..{1413809D-9CF0-4FE7-AE87-E777EEF55B80}: DhcpNameServer=192.168.2.4 194.204.152.34 194.204.159.1 HKLM\SYSTEM\CS1\Services\Tcpip..{1413809D-9CF0-4FE7-AE87-E777EEF55B80}: DhcpNameServer=192.168.2.4 194.204.152.34 194.204.159.1 HKLM\SYSTEM\CS2\Services\Tcpip..{1413809D-9CF0-4FE7-AE87-E777EEF55B80}: DhcpNameServer=192.168.2.4 194.204.152.34 194.204.159.1 HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.4 194.204.152.34 194.204.159.1 HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.4 194.204.152.34 194.204.159.1 HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.4 194.204.152.34 194.204.159.1 »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !Attention, following keys are not inevitably infected! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "System"="" »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning Registry Cleaning done. »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix !Attention, following keys are not inevitably infected! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» End

jessica (jessica) 2007-10-20 13:01:07 UTC #4

Sprawdź go na --> http://virusscan.jotti.org/

Opis, jak korzystać z JOTTI --> http://otfans.pl/forums/showthread.php?tid=552

albo na http://www.virustotal.com/en/indexf.html.

(korzysta się podobnie jak z JOTTI).

Dodałam ten plik do usuwania, ale jeśli okaże się, że jest OK, to go chyba pomiń przy usuwaniu, choć ja uważam, że powinien być usunięty?

Wklej do Notatnika :

File::

C:\WINDOWS\system32\F5DE915DE8.dll


Registry::

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Steam"=-

>>Plik>>Zapisz jako... >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku -->

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: **** Qoobox.

jessi

gizbar (Gasparus) 2007-10-20 13:49:55 UTC #5

przeskanowalem ow podejzany pliczek na stronce i jest ok zostawie go wiec moze, a noz na cos sie przydaje albo jest niegroznym smieciem

chyba ze uwazacie ze mimo wszystko winien poleciec

rozumiem ze reszta wyglada ok - ja tam nic zlego nie widze w tch logach ale nie znam sie na wirusach

dzieki wielkie za wsparcie ludziska nalezy wam sie medal normalnie

wciaz otwarty jestem na sugestie odnosnie tego dll faktycznie wyglada podejzanie :roll:

na przyklad jesli jestescie pewni ze do niczego on sie nie przydaje to chetnbie go ciachne (znaczy jakis tam programik to se moge przeinstalowac ale na winde jeszcze za wczesnie )

pliczek ma zaledwie 80bajtow duzo mniej niz inne mu podobne, stwozony lub zmodyfikowany byl na poczatku lipca (wirus pojawil mi sie w zeszlym tygodniu) a w srodku jest raptem jedna linijka "krzaczkow"

Oparte na Discourse, najlepiej oglądać z włączonym JavaScriptem