Internet dostał zadyszki

Dla specjalistów Bezpieczeństwo
#1

Pomocy! Internet chodzi mi jakby chciał, a nie mógł. Dokopanie się do jakieś strony WWW wykańcza mnie psychicznie…

Zgóry dziękuję za pomoc…

Logfile of HijackThis v1.99.1

Scan saved at 23:44:03, on 2007-08-03

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\FTRTSVC.exe

C:\Program Files\Eset\nod32krn.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Programy\Advanced Registry Doctor\RegManServ.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Eset\nod32kui.exe

C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe

C:\Programy\DAEMON Tools\daemon.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programy\Advanced Registry Doctor\RegDfrgSch.exe

C:\Programy\Gadu-Gadu\gg.exe

C:\PROGRA~1\NEOSTR~1\TaskBarIcon.exe

C:\Program Files\neostrada tp\neostradatp.exe

C:\Program Files\neostrada tp\ComComp.exe

C:\PROGRA~1\NEOSTR~1\Toaster.exe

C:\PROGRA~1\NEOSTR~1\Inactivity.exe

C:\PROGRA~1\NEOSTR~1\PollingModule.exe

C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE

C:\Program Files\neostrada tp\Watch.exe

C:\Program Files\Java\jre1.5.0_10\bin\jucheck.exe

C:\Programy\Opera7\Opera.exe

C:\Documents and Settings\Timo\Moje dokumenty\aNTIDIALER\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.eza1netsearch.com/sp2.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.95.218.172/index.php

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neostrada.pl

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.95.218.172/index.php

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.95.218.172/index.php

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.95.218.172/index.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = neostrada tp

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll

O4 - HKLM…\Run: [AutoUpdater] “C:\Program Files\AutoUpdate\AutoUpdate.exe”

O4 - HKLM…\Run: [internet Optimizer] “C:\Program Files\Internet Optimizer\optimize.exe”

O4 - HKLM…\Run: [winupdate] C:\Program Files\winupdate\winupdate.exe /auto

O4 - HKLM…\Run: [msresearch] C:\WINDOWS\tool3.exe

O4 - HKLM…\Run: [nod32kui] “C:\Program Files\Eset\nod32kui.exe” /WAITSERVICE

O4 - HKLM…\Run: [sunJavaUpdateSched] “C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe”

O4 - HKLM…\Run: [DAEMON Tools] “C:\Programy\DAEMON Tools\daemon.exe” -lang 1045

O4 - HKLM…\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon

O4 - HKLM…\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe

O4 - HKLM…\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\GestMaj.exe TaskBarIcon.exe

O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM…\Run: [nwiz] nwiz.exe /install

O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKCU…\Run: [boo] C:\WINDOWS\boo.exe

O4 - HKCU…\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU…\Run: [RegDfrgSch] C:\Programy\Advanced Registry Doctor\RegDfrgSch.exe /tray

O4 - HKCU…\Run: [Gadu-Gadu] “C:\Programy\Gadu-Gadu\gg.exe” /tray

O8 - Extra context menu item: &Search - http://kc.bar.need2find.com/KC/menusearch.html?p=KC

O8 - Extra context menu item: Download All by FlashGet - C:\Programy\FlashGet\jc_all.htm

O8 - Extra context menu item: Download using FlashGet - C:\Programy\FlashGet\jc_link.htm

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\Programy\MICROS~1\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Easy-WebPrint Add To Print List - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html

O8 - Extra context menu item: Easy-WebPrint High Speed Print - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html

O8 - Extra context menu item: Easy-WebPrint Preview - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html

O8 - Extra context menu item: Easy-WebPrint Print - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html

O8 - Extra context menu item: Web Rebates - file://C:\Program Files\Web_Rebates\Sy1150\Tp1150\scri1150a.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra button: ShopperReports - Compare travel rates - {946B3E9E-E21A-49c8-9F63-900533FAFE14} - C:\Program Files\ShopperReports\Bin\1.0.5.0\ShprRprt.dll (file missing)

O9 - Extra button: ShopperReports - Compare product prices - {E77EDA01-3C56-4a96-8D08-02B42891C169} - C:\Program Files\ShopperReports\Bin\1.0.5.0\ShprRprt.dll (file missing)

O17 - HKLM\System\CCS\Services\Tcpip…{FFEF15EB-8AF1-4844-87C0-82EFE3312564}: NameServer = 194.204.159.1 217.98.63.164

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Registry Management Service (RegManServ) - Unknown owner - C:\Programy\Advanced Registry Doctor\RegManServ.exe

O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe

#2

Użyj Windows Worms Doors Cleanera zmień znaczki z disable na enable (wszystkie znaczki maja być na zielono, jeżeli któryś z nich będzie na żółto to go zostaw). Po użyciu narzędzia wymagany jest restart.

Pliki i foldery zaznaczone na czerwono usuń ręcznie z dysku w trybie awaryjnym natomiast wpisy HijackThis.

Użyj narzędzia SmitFraudFix z opcji numer 2 w trybie awaryjnym.

Po wykonaniu wklej log z ComboFix.

#3

Głupia taka sprawa jest, że nie mogę uruchomić programu SmitFraudFix.

Dwukrotne kilknięcie nic nie daje, a jak klikam PPM to w menu pliku nie ma funkcji uruchom…

Próbowałem również uruchomić plik SmitFraudFix.cmd od razu z wiersza polecenia, ale wychodzi błąd, że brakuje pliku Process.exe mimo, że on jest. Normalnie pies za oknem wyje…

#4

SmitfraudFix został prawdopodobnie zablokowany przez Twojego Antivirusa - to się często zdarza.

W takim przypadku trzeba usunąć SmitfraudFixa, wyłączyć Antivirusa, ściągnąć znów SmitfraudFixa i po jego użyciu włączyć Antivirusa.

Nie zapomnij o daniu tu logu z ComboFixa.

.

#5

No więc ten tego…dałem sobie spokój z SmitfraudFixem…

Oto log z ComboFixa:

ComboFix 07-08-04.3 - “Timo” 2007-08-04 5:48:24.1 [GMT 2:00] - NTFS

Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.Prawda

* Created a new restore point

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

C:\DOCUME~1\Timo\DANEAP~1\install.dat

C:\Program Files\HbTools

C:\Program Files\winupdate

C:\WINDOWS\hosts

C:\WINDOWS\NDNuninstall6_38.exe

C:\WINDOWS\system32\asks~1

C:\WINDOWS\system32\bszip.dll

C:\WINDOWS\system32\cmd.com

C:\WINDOWS\system32\curity~1

C:\WINDOWS\system32\netstat.com

C:\WINDOWS\system32\ping.com

C:\WINDOWS\system32\ppatch~1

C:\WINDOWS\system32\regedit.com

C:\WINDOWS\system32\taskkill.com

C:\WINDOWS\system32\tasklist.com

C:\WINDOWS\system32\tracert.com

C:\WINDOWS\system32\tsuninst.exe

C:\WINDOWS\system32\wcpsu.exe

C:\WINDOWS\teller2.chk

C:\WINDOWS\tool4.exe

C:\WINDOWS\tool5.exe

((((((((((((((((((((((((( Files Created from 2007-07-04 to 2007-08-04 )))))))))))))))))))))))))))))))

2007-08-04 05:46 51,200 --a------ C:\WINDOWS\nircmd.exe

2007-08-01 22:32

2007-07-08 23:40

2007-07-08 23:34 208,896 --a------ C:\WINDOWS\system32\nvudisp.exe

2007-07-08 23:20 208,896 --a------ C:\WINDOWS\system32\NVUNINST.EXE

2007-07-08 23:19

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-08-04 05:06 --------- d-------- C:\Program Files\neostrada tp

2007-08-04 04:47 --------- d-------- C:\DOCUME~1\Timo\DANEAP~1\uTorrent

2007-07-09 00:02 --------- d–h----- C:\Program Files\InstallShield Installation Information

2007-06-23 16:02 --------- d-------- C:\DOCUME~1\Timo\DANEAP~1\Gadu-Gadu

2007-05-16 17:19 85504 -----c— C:\WINDOWS\system32\dllcache\wabimp.dll

2007-05-16 17:19 510976 -----c— C:\WINDOWS\system32\dllcache\wab32.dll

2007-05-16 17:19 1314816 -----c— C:\WINDOWS\system32\dllcache\msoe.dll

2007-05-16 17:18 86528 -----c— C:\WINDOWS\system32\dllcache\directdb.dll

2007-05-16 17:18 683520 --a------ C:\WINDOWS\system32\inetcomm.dll

2007-05-16 17:18 683520 -----c— C:\WINDOWS\system32\dllcache\inetcomm.dll

2007-05-04 14:55 3079680 --a–c— C:\WINDOWS\system32\dllcache\mshtml.dll

2006-11-17 02:55 34016 --a------ C:\DOCUME~1\Timo\DANEAP~1\GDIPFONTCACHEV1.DAT

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]

“{0A8CE102-FA03-4612-9BEE-7FE5452F4CB1}”= C:\WINDOWS\system32\srchbar.dll [2004-02-24 20:42 1265664]

“{825CF5BD-8862-4430-B771-0C15C5CA8DEF}”= C:\WINDOWS\EliteToolBar\EliteToolBar version 60.dll [2005-07-07 11:09 106496]

“{C109664B-CEB1-420B-B353-D55A561536DD}”= C:\WINDOWS\System32\sfi2.dll []

[HKEY_CLASSES_ROOT\CLSID{0A8CE102-FA03-4612-9BEE-7FE5452F4CB1}]

[HKEY_CLASSES_ROOT\SearchBarToolbar.SearchBar]

[HKEY_CLASSES_ROOT\TypeLib{7C9E9A74-1922-409E-AB46-E48784336C3A}]

[HKEY_CLASSES_ROOT\CLSID{825CF5BD-8862-4430-B771-0C15C5CA8DEF}]

[HKEY_CLASSES_ROOT\CLSID{C109664B-CEB1-420B-B353-D55A561536DD}]

[HKEY_CLASSES_ROOT\SYI.SYIObj.1]

[HKEY_CLASSES_ROOT\TypeLib{F43085A3-5FBD-4954-B7BF-00A8F1A1B9FE}]

[HKEY_CLASSES_ROOT\SYI.SYIObj]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“nod32kui”=“C:\Program Files\Eset\nod32kui.exe” [2005-09-01 21:10]

“SunJavaUpdateSched”=“C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe” [2006-11-09 16:07]

“DAEMON Tools”=“C:\Programy\DAEMON Tools\daemon.exe” [2005-12-10 16:57]

“Easy-PrintToolBox”=“C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.exe” [2004-01-14 03:10]

“WOOWATCH”=“C:\PROGRA~1\NEOSTR~1\Watch.exe” [2004-08-23 15:49]

“WOOTASKBARICON”=“C:\PROGRA~1\NEOSTR~1\GestMaj.exe” [2004-10-14 17:55]

“NvCplDaemon”=“C:\WINDOWS\system32\NvCpl.dll” [2006-10-22 12:22]

“nwiz”=“nwiz.exe” [2006-10-22 12:22 C:\WINDOWS\system32\nwiz.exe]

“NvMediaCenter”=“C:\WINDOWS\system32\NvMcTray.dll” [2006-10-22 12:22]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“boo”=“C:\WINDOWS\boo.exe” []

“ctfmon.exe”=“C:\WINDOWS\system32\ctfmon.exe” [2004-08-04 00:44]

“RegDfrgSch”=“C:\Programy\Advanced Registry Doctor\RegDfrgSch.exe” [2003-11-04 12:33]

“Gadu-Gadu”=“C:\Programy\Gadu-Gadu\gg.exe” [2007-05-10 16:36]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]

“NoDispAppearancePage”=0 (0x0)

“NoColorChoice”=0 (0x0)

“NoSizeChoice”=0 (0x0)

“NoDispBackgroundPage”=0 (0x0)

“NoDispScrSavPage”=0 (0x0)

“NoDispCPL”=0 (0x0)

“NoVisualStyleChoice”=0 (0x0)

“NoDispSettingsPage”=0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

“NoActiveDesktopChanges”=0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

“NoSaveSettings”=0 (0x0)

“NoThemesTab”=0 (0x0)

R1 VIAPFD;VIAPFD;C:\WINDOWS\system32\Drivers\VIAPFD.SYS

R3 ElbyCDFL;ElbyCDFL;C:\WINDOWS\system32\Drivers\ElbyCDFL.sys

R3 ms_mpu401;Sterownik portu MIDI UART Microsoft MPU-401;C:\WINDOWS\system32\drivers\msmpu401.sys

R3 msloop;Sterownik karty Microsoft Loopback;C:\WINDOWS\system32\DRIVERS\loop.sys

S3 ROOTMODEM;Microsoft Legacy Modem Driver;C:\WINDOWS\system32\Drivers\RootMdm.sys

S3 sermouse;Sterownik myszy szeregowej;C:\WINDOWS\system32\DRIVERS\sermouse.sys

S3 USB_RNDIS;ADI Remote NDIS Network Device Driver;C:\WINDOWS\system32\DRIVERS\usb8023.sys

S3 ZDCndis5;ZDCndis5 Protocol Driver;??\C:\WINDOWS\system32\ZDCndis5.SYS

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

6to4

AppMgmt

AudioSrv

Browser

CryptSvc

DMServer

DHCP

ERSvc

FastUserSwitchingCompatibility

HidServ

LanmanServer

LanmanWorkstation

Messenger

Nla

NWCWorkstation

Schedule

Seclogon

SRService

Themes

TrkWks

W32Time

Wmi

WmdmPmSp

winmgmt

TermService

wuauserv

BITS

ShellHWDetection

helpsvc

xmlprov

wscsvc

**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2007-08-04 05:51:09

Windows 5.1.2600 Dodatek Service Pack 2 NTFS

scanning hidden processes …

scanning hidden registry entries …

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache{\1u]

“SlowInfoCache”=hex:28,02,00,00,01,00,00,00,00,00,37,00,00,00,00,00,10,62,0d,a1,9f,…

“Changed”=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher]

“TracesProcessed”=dword:000000e7

scanning hidden files …

scan completed successfully

hidden files: 0

**************************************************************************

Completion time: 2007-08-04 5:53:20

C:\ComboFix-quarantined-files.txt … 2007-08-04 05:52

— E O F —

#6

ComboFix usunął Ci niezły zestaw infekcji (to wszystko, co jest widoczne w “Other Deletions”).

Zostały jeszcze “szpiegi”.

Wklej do Notatnika :

File::

C:\WINDOWS\system32\srchbar.dll 

C:\WINDOWS\EliteToolBar\EliteToolBar version 60.dll


Registry::

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] 

"{0A8CE102-FA03-4612-9BEE-7FE5452F4CB1}"=-


[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]

"{825CF5BD-8862-4430-B771-0C15C5CA8DEF}"=-


[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]

"{C109664B-CEB1-420B-B353-D55A561536DD}"=-


[-HKEY_CLASSES_ROOT\CLSID\{0A8CE102-FA03-4612-9BEE-7FE5452F4CB1}]


[-HKEY_CLASSES_ROOT\CLSID\{825CF5BD-8862-4430-B771-0C15C5CA8DEF}] 


[-HKEY_CLASSES_ROOT\CLSID\{C109664B-CEB1-420B-B353-D55A561536DD}]


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"boo"=-

>>Plik>>Zapisz jako… >>> ComboFix-Do (najwygodniej będzie,

jeśli zapiszesz w takiej lokalizacji, by ikonka ComboFix-Do znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik ComboFix-Do.txt na plik ComboFix.exe

(czyli ikonkę ComboFix-Do.txt na ikonkę ComboFix.exe )

– tak jak na tym obrazku -->http://i12.tinypic.com/4l761r5.gif

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER)

Po restarcie usuń ręcznie folder C: ** Qoobox**.

.