Broda23
(Henryk Pietrzak)
6 Czerwiec 2007 15:06
#1
Otóż po wielu skanach wszelkimi antywirami, antyspaywerami i antyrootkitami. Po sprawdzeniu logów w HJT , Combo i potwierdzeniu przez fachowców, ze komp jest czysty - jeden a-sguared Free 2.1 twierdzi inaczej.
Wkejam jego raporty aby mądre oko forumowiczów mogło potwierdzić lub zaprzeczyć realności niebezpieczeństwa. Szczerze mówiąc sam nigdy nie podejrzewałbym Commabder Pro czy Combo o planowanie ataku na mój system. Oto raporty:
a-squared Free - Version 2.1 Skanowanie ustawień: Obiekty: Pamięć, Ślady, Ciasteczka, C:, G:\ Skanowanie archiwów: Wł. Heurystyka: Wł. Skanowanie reklam: Wł. Uruchomione skanowanie: 2007-06-04 07:57:39 Key: HKEY_CURRENT_USER\software\microsoft\windows\currentversion\ext\stats{014da6c1-189f-421a-88cd-07cfe51cff10} wykryto: Trace.Registry.MySearch C:\WINDOWS\system32\sstunst3.exe wykryto: Trace.File.Tropical Sea Life Scenic Reflections Screen Saver G:\System Volume Information_restore{5A0649BE-2986-4F37-8943-9F1B66B242A3}\RP197\A0105297.exe wykryto: Heuristic.Dialer G:\System Volume Information_restore{5A0649BE-2986-4F37-8943-9F1B66B242A3}\RP197\A0105298.EXE wykryto: Trojan.Win32.RC5_Dropper.e G:\programytv\programy\simjagen\simjagen.EXE wykryto: Trojan.Win32.RC5_Dropper.e G:\Program Files\Commander Pro\UPS.exe wykryto: Heuristic.Dialer Zeskanowano Pliki: 108345 Ślady: 117239 Ciasteczka: 7 Procesy: 31
a-squared Free - Version 2.1 Skanowanie ustawień: Obiekty: Pamięć, Ślady, Ciasteczka, C:, G:\ Skanowanie archiwów: Wł. Heurystyka: Wł. Skanowanie reklam: Wł. Uruchomione skanowanie: 2007-06-06 15:50:56 C:\WINDOWS\nircmd.exe wykryto: Heuristic.Dialer C:\Documents and Settings\Pan\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\s7fr5lj7.default\Cache\C2152591d01/nircmd.exe wykryto: Heuristic.Dialer C:\System Volume Information_restore{5A0649BE-2986-4F37-8943-9F1B66B242A3}\RP199\A0112608.exe/nircmd.exe wykryto: Heuristic.Dialer G:\System Volume Information_restore{5A0649BE-2986-4F37-8943-9F1B66B242A3}\RP199\A0109511.EXE wykryto: Trojan.Win32.RC5_Dropper.e G:\System Volume Information_restore{5A0649BE-2986-4F37-8943-9F1B66B242A3}\RP199\A0109512.exe wykryto: Heuristic.Dialer G:\Odebrane pliki1\AntyRootkity\ComboFix\ComboFix.exe/nircmd.exe wykryto: Heuristic.Dialer Zeskanowano Pliki: 109120 Ślady: 117239 Ciasteczka: 139 Procesy: 29
Bardzo proszę o ocenę potencjalnego niebezpieczeństwa. Trzymam to wszystko w kwarantannie, ale przecież nie wszyskie są szkodliwe.
Pozdrawiam.
M_i_r
(Mirfi2)
6 Czerwiec 2007 16:54
#2
Niebezpieczeństwo czyha tu
wyłącz przywracanie systemu na dyskach c i g
potem możesz ponownie załączyć .
a-squared Free nadwrażliwie reaguje na nircmd.exe i ups.exe -wykorzystują funkcje przerywań procesora.
Możesz śmiało skasować C:\WINDOWS\nircmd.exe oraz katalogG:\Odebrane pliki1\AntyRootkity\ ComboFix -
pobierzesz aktualny w razie potrzeby.
Usuń również Cache przeglądarki.
Broda23
(Henryk Pietrzak)
6 Czerwiec 2007 19:13
#3
Wskazany przez ciebie Trojan został usunięty wraz z C:\Windows\nircmd.exe - ale, ale straciłem połączenie z netem. Po trzecim przywracaniu systemu udało mi się odzyskać łączność. Może to tylko dziwny zbieg okoliczności i wina leży po stronie TPSA. A może lepiej uważać i zachowywać wysoką ostrożność przy usuwaniu. Przeglądarkę też wyczyściłem i w ogóle serdeczne dzięki za zainteresowanie. Pozdrawiam :lol:
Broda23
(Henryk Pietrzak)
6 Czerwiec 2007 20:42
#5
Nie wiem czy uda się cokolwiek znaleźć w tym logu. Warto jednak próbować a może coś jednak wyjdzie ? Wklejam:
“Pan” - 2007-06-06 22:30:21 Dodatek Service Pack 2 ComboFix 07-06-3B - Running from: “G:\Odebrane pliki1\AntyRootkity\ComboFix” ((((((((((((((((((((((((( Files Created from 2007-05-06 to 2007-06-06 ))))))))))))))))))))))))))))))) 2007-06-05 15:59 2007-06-04 21:56 2007-06-03 22:01 2007-06-03 21:57 2007-06-02 19:43 2007-06-02 19:30 55,904 --a------ C:\WINDOWS\system32\drivers\pctfw.sys 2007-05-29 20:51 2007-05-29 19:55 2007-05-29 15:18 6,291,456 --a------ C:\DOCUME~1\Pan\ntuser.dat 2007-05-25 14:49 512,096 --a------ C:\WINDOWS\system32\drivers\amon.sys 2007-05-25 14:49 298,104 --a------ C:\WINDOWS\system32\imon.dll 2007-05-25 14:49 15,424 --a------ C:\WINDOWS\system32\drivers\nod32drv.sys 2007-05-06 16:54 (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-05-26 17:46:16 4,212 —h–w C:\WINDOWS\system32\zllictbl.dat 2007-05-18 16:03:46 107,132 ----a-w C:\WINDOWS\UninstallFirefox.exe 2007-05-18 16:03:42 12,312 ----a-w C:\WINDOWS\mozver.dat 2007-04-26 08:21:34 72,624 ----a-w C:\WINDOWS\system32\drivers\khips.sys 2007-04-26 08:21:30 302,000 ----a-w C:\WINDOWS\system32\drivers\fwdrv.sys 2007-03-17 13:45:36 293,376 ----a-w C:\WINDOWS\system32\winsrv.dll 2007-03-08 15:38:48 579,072 ----a-w C:\WINDOWS\system32\user32.dll 2007-03-08 15:38:48 40,960 ----a-w C:\WINDOWS\system32\mf3216.dll 2007-03-08 15:38:48 281,600 ----a-w C:\WINDOWS\system32\gdi32.dll 2007-03-08 15:37:34 1,843,840 ----a-w C:\WINDOWS\system32\win32k.sys ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects] {53707962-6F74-2D53-2644-206D7942484F}=G:\Program Files\Spybot - Search & Destroy\SDHelper.dll [2005-05-31 01:04] {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll [2006-11-09 15:21] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “SoundMan”=“SOUNDMAN.EXE” [2002-07-12 06:17 C:\WINDOWS\SOUNDMAN.EXE] “NvCplDaemon”=“RUNDLL32.exe” [2004-08-04 00:44 C:\WINDOWS\system32\rundll32.exe] “nwiz”=“nwiz.exe” [2002-09-19 08:10 C:\WINDOWS\system32\nwiz.exe] “TkBellExe”=“C:\Program Files\Common Files\Real\Update_OB\realsched.exe” [2007-02-10 19:43] “nod32kui”=“G:\Program Files\Eset\nod32kui.exe” [2007-06-03 21:45] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “ctfmon.exe”=“C:\WINDOWS\system32\ctfmon.exe” [2004-08-04 00:44] “updateMgr”=“G:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe” [2005-08-18 19:49] “Odkurzacz-MCD”=“G:\Program Files\Odkurzacz\odk_mcd.exe” [2007-05-03 10:02] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InCD] C:\Program Files\Ahead\InCD\InCD.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype] “C:\Program Files\Skype\Phone\Skype.exe” /nosplash /minimized [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Spyware Doctor] “G:\Program Files\Spyware Doctor\swdoctor.exe” /Q HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost *netsvcs* ************************************************************************** catchme 0.3.692 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net Rootkit scan 2007-06-06 22:33:21 Windows 5.1.2600 Dodatek Service Pack 2 FAT NTAPI scanning hidden processes … ? [3944] scanning hidden autostart entries … scanning hidden files … scan completed successfully hidden files: 0 ************************************************************************** Files hidden from API: C:\WINDOWS\BĄbelki.bmp C:\WINDOWS\system32\Pokaľ kanay.scf Completion time: 2007-06-06 22:35:52 C:\ComboFix2.txt … 2007-06-05 08:44 — E O F —
Serdeczne dzięki za zainteresowanie i poświęcony czas. Pozdrawiam :!:
Gutek
(Gutek)
6 Czerwiec 2007 20:44
#6
No nic już nie znajdę, widzę było masę skanowań, różnego rodzaju softami :mrgreen:
Broda23
(Henryk Pietrzak)
7 Czerwiec 2007 12:43
#7
Dziś po kolejnym skanie a-sguared Free uporczywie pokazuje znany juz plik prawdopodobnie odpowiedzialny za łacza z intenetem.
Czy może mi ktoś powiedzieć co to jest de facto i jakie ma znaczenie dla neostrady pracującej na modemie SAGEM ? :roll:
qrczak13
(qrczak13)
7 Czerwiec 2007 12:58
#8
M_i_r
(Mirfi2)
7 Czerwiec 2007 16:05
#9
NirCmd is a small command-line utility that allows you to do some useful tasks without displaying any user interface. By running NirCmd with simple command-line option, you can write and delete values and keys in the Registry, write values into INI file,dial to your internet account or connect to a VPN network , restart windows or shut down the computer, create shortcut to a file, change the created/modified date of a file, change your display settings, turn off your monitor, open the door of your CD-ROM drive, and more…
o jego możliwościach tu
http://www.nirsoft.net/utils/nircmd.html
Jest darmową linią poleceń DOS-a wykorzystywaną przez ComboFix-a
Sprawdz,że został wpisany do katalogu Windowsa kiedy uruchamiałeś ComboFix-a na prośbę Gutek2222
O VPN tu
http://pl.wikipedia.org/wiki/VPN