Aska85
(Dragon 125)
19 Grudzień 2006 22:17
#1
Mam maly problem z wirusem Command Service… Spybot wykrywa mi ten wirus ale nie moze go usunac… Gdy wlaczam jakas aplikacje laczaca sie z internetem wlaczaja mi sie strony niechciane w Internet Explorer… Oto moje logi:
Logfile of HijackThis v1.99.1 Scan saved at 23:17:44, on 2006-12-19 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\svchosts.exe C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe C:\Program Files\Winamp\winampa.exe C:\Program Files\ATI Technologies\ATI.ACE\cli.exe C:\Program Files\D-Tools\daemon.exe C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe C:\WINDOWS\system32\p2pnetworking.exe C:\DOCUME~1\PATRYK~1.ZLO\MOJEDO~1\SSTEM~1\lsass.exe C:\Documents and Settings\Patryk.ZLOM\Dane aplikacji?ystem32\w?nspool.exe C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe C:\WINDOWS\system32\wscntfy.exe C:\Program Files\ATI Technologies\ATI.ACE\cli.exe C:\Program Files\Common Files{0CBA5338-0648-1045-1006-050508240030}\Update.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Documents and Settings\Patryk.ZLOM\Pulpit\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza R3 - URLSearchHook: (no name) - {B4F749E3-AD00-CB80-700C-881A03CD0A95} - C:\WINDOWS\system32\aaessz.dll F2 - REG:system.ini: UserInit=userinit.exe O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll O2 - BHO: (no name) - {B4F749E3-AD00-CB80-700C-881A03CD0A95} - C:\WINDOWS\system32\aaessz.dll O2 - BHO: Bar888 - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\COMMON~1{3CBA5~1\Bar888.dll O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll O3 - Toolbar: Bar888 - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\COMMON~1{3CBA5~1\Bar888.dll O4 - HKLM…\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM…\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM…\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM…\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe O4 - HKLM…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM…\Run: [kernel32] C:\WINDOWS\system32\kernel32.dlI O4 - HKLM…\Run: [outlook] C:\Program Files\outlook\outlook.exe /auto O4 - HKLM…\Run: [winlog] winlog.exe O4 - HKLM…\Run: [keyboard] c:\kybrdff_11a.exe O4 - HKLM…\Run: [defender] c:\dfndrff_11a.exe O4 - HKLM…\Run: [nqp23498] RUNDLL32.EXE w08d7ac0.dll,n 003234950000000a08d7ac0 O4 - HKLM…\Run: [ATICCC] “C:\Program Files\ATI Technologies\ATI.ACE\cli.exe” runtime O4 - HKLM…\Run: [DAEMON Tools-1033] “C:\Program Files\D-Tools\daemon.exe” -lang 1033 O4 - HKLM…\Run: [iSUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe -startup O4 - HKLM…\Run: [iSUSScheduler] “C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe” -start O4 - HKLM…\Run: [p2p networking] p2pnetworking.exe O4 - HKLM…\Run: [{0CBA5338-0648-1045-1006-050508240030}] “C:\Program Files\Common Files{0CBA5338-0648-1045-1006-050508240030}\Update.exe” mc-110-12-0000137 O4 - HKLM…\Run: [{0CBA5338-0647-1045-1006-050508240030}] “C:\Program Files\Common Files{0CBA5338-0647-1045-1006-050508240030}\Update.exe” mc-110-12-0000137 O4 - HKLM…\Run: [ipWins] C:\Program Files\ipwins\ipwins.exe O4 - HKLM…\Run: [Anti-Trojan-Watch] C:\Program Files\Anti-Trojan-55\ATWatch.exe O4 - HKLM…\RunServices: [winlog] winlog.exe O4 - HKLM…\RunServices: [p2p networking] p2pnetworking.exe O4 - HKCU…\Run: [Gadu-Gadu] “C:\Program Files\Gadu-Gadu\gg.exe” /tray O4 - HKCU…\Run: [mkir] C:\PROGRA~1\COMMON~1\mkir\mkirm.exe O4 - HKCU…\Run: [Ewlu] “C:\DOCUME~1\PATRYK~1.ZLO\MOJEDO~1\SSTEM~1\lsass.exe” -vt yazb O4 - HKCU…\Run: [Ngwr] C:\Documents and Settings\Patryk.ZLOM\Dane aplikacji?ystem32\w?nspool.exe O4 - Global Startup: ATI CATALYST – pasek zadań.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe O8 - Extra context menu item: Ściągnij przy pomocy FlashGet’a - C:\Program Files\FlashGet\jc_link.htm O8 - Extra context menu item: Ściągnij wszystko przy pomocy FlashGet’a - C:\Program Files\FlashGet\jc_all.htm O16 - DPF: {5A09E43F-A0A7-4ABF-AF80-11367CF1DC8F} (MainControl Class) - http://mks.com.pl/skaner/SkanerOnline.cab O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MainControl Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: COM+ Messages - Unknown owner - C:\WINDOWS\system32\svchosts.exe" -e mc-110-12-0000137 (file missing)
Prosilbym o szybka odpowiedz
Joan
(Joan Sunshine)
19 Grudzień 2006 23:08
#2
Użyj narzędzia WWDC , zmień znaczki z Disable na Enable (wszystkie mają być zielone lub żółte) i zresetuj sysa.
Wchodzisz w Start --> uruchom --> services.msc --> zatrzymaj i wyłącz usługe COM+ Messages
Ściągasz narzędzie KillBox , zaznaczasz Delete on Reboot, potem klikasz All Files i wklejasz do pola Full Path of File to Delete ścieżki:
C:\WINDOWS\system32\svchosts.exe
C:\WINDOWS\system32\kernel32.dlI
Klikasz X i reset sysa.
Użyj SmitFraudFix z opcji 2 w trybie awaryjnym.
Użyj Look2Me-Destroyer , następnie wrzuć log z programu L2mfix (opcja 1).
Wyłączasz przywracanie systemu (Panel sterowania -> System -> Przywracanie systemu -> zaznaczasz „Wyłącz przywracanie systemu” ).
W HJT odpalonym z trybie awaryjnym zaznaczasz wpisy i klikasz na dole “Fix checked” , to co na czerwono usuwasz ręcznie z dysku:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R3 - URLSearchHook: (no name) - {B4F749E3-AD00-CB80-700C-881A03CD0A95} - C:\WINDOWS\system32\aaessz.dll F2 - REG:system.ini: UserInit=userinit.exe O2 - BHO: (no name) - {B4F749E3-AD00-CB80-700C-881A03CD0A95} - C:\WINDOWS\system32\aaessz.dll O2 - BHO: Bar888 - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\COMMON~1{3CBA5~1\Bar888.dll O3 - Toolbar: Bar888 - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\COMMON~1{3CBA5~1\Bar888.dll O4 - HKLM…\Run: [kernel32] C:\WINDOWS\system32\kernel32.dlI O4 - HKLM…\Run: [outlook] C:\Program Files\outlook\outlook.exe /auto O4 - HKLM…\Run: [winlog] winlog.exe O4 - HKLM…\Run: [keyboard] c:\kybrdff_11a.exe O4 - HKLM…\Run: [defender] c:\dfndrff_11a.exe O4 - HKLM…\Run: [nqp23498] RUNDLL32.EXE w08d7ac0.dll,n 003234950000000a08d7ac0 O4 - HKLM…\Run: [p2p networking] p2pnetworking.exe O4 - HKLM…\Run: [{0CBA5338-0648-1045-1006-050508240030}] “C:\Program Files\Common Files{0CBA5338-0648-1045-1006-050508240030}\Update.exe” mc-110-12-0000137 O4 - HKLM…\Run: [{0CBA5338-0647-1045-1006-050508240030}] “C:\Program Files\Common Files{0CBA5338-0647-1045-1006-050508240030}\Update.exe” mc-110-12-0000137 O4 - HKLM…\Run: [ipWins] C:\Program Files\ipwins\ipwins.exe O4 - HKLM…\RunServices: [winlog] winlog.exe O4 - HKCU…\Run: [mkir] C:\PROGRA~1\COMMON~1\mkir\mkirm.exe O4 - HKCU…\Run: [Ewlu] “C:\DOCUME~1\PATRYK~1.ZLO\MOJEDO~1\SSTEM~1\lsass.exe” O23 - Service: COM+ Messages - Unknown owner - C:\WINDOWS\system32\svchosts.exe" -e mc-110-12-0000137 (file missing) -vt yazb
Folder jest dokładnie w tej lokalizacji!!
Przed usunięciem tego przeczytaj Usuwanie PurityScan .
Na koniec skan EWIDO po update.
Po zabiegach wklejasz nowe logi z HJT i Silent Runners a także raport ze SmitFraudFix – plik c:\rapport.txt.
asterisk
(Asterisk)
20 Grudzień 2006 00:18
#3
===::> rixx
W tym dziale obowiązuje zasada - całościowa
analiza loga i podanie metody kasowania.
Popatrz na modelowego posta Joan.
Na wybiórcze potraktowanie loga nie ma tu miejsca