Ford
(Ford Fokus)
8 Marzec 2006 07:36
#1
Kasperky cały czas wykrywa jakieś trojany w C:/Windows/System32 (np. shanda.d11). A kerio jak odpalam to wywala bład “C:/Windows/System32/net.exe nie masz uprawnień do usługi” czy coś takiego Log z hijacka:
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE D:\Programy\GG\gg.exe D:\Programy\SnagIt\SnagIt32.exe C:\WINDOWS\system32\shanda.d11 D:\Programy\SnagIt\TSCHelp.exe C:\PROGRA~1\MICROS~2\MSSQL\binn\sqlservr.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\msiexec.exe C:\WINDOWS\system32\wuauclt.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Documents and Settings\Ford\Pulpit\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - D:\Programy\SnagIt\SnagItBHO.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programy\Acrobat Reader 7\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file) O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - D:\Programy\SnagIt\SnagItIEAddin.dll O4 - HKLM…\Run: [AtiPTA] atiptaxx.exe O4 - HKLM…\Run: [kav] “D:\Programy\Kaspersky 6\avp.exe” O4 - HKCU…\Run: [Gadu-Gadu] “D:\Programy\GG\gg.exe” /tray O4 - Startup: SnagIt 8.lnk = D:\Programy\SnagIt\SnagIt32.exe O8 - Extra context menu item: &Clean Traces - D:\Programy\DAP\Privacy Package\dapcleanerie.htm O8 - Extra context menu item: &Download with &DAP - D:\Programy\DAP\dapextie.htm O8 - Extra context menu item: Download &all with DAP - D:\Programy\DAP\dapextie2.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Programy\Kaspersky 6\scieplugin.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O20 - Winlogon Notify: klogon - C:\WINDOWS\System32\klogon.dll O20 - Winlogon Notify: WgaLogon - WgaLogon.dll (file missing) O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - D:\Programy\Kaspersky 6\avp.exe
Aha i te trojany to już chyba 10 raz mi je wykrył i chciał resa, żeby je usunąć, ale po resie po 1 minucie znów to samo jest…
kuz5
(Kuz5)
8 Marzec 2006 14:35
#2
Log masz ok
Jak nie masz FlashGet to usuń:
Pobierz program Ewido zrób update i przeskanuj
Dodatkowo użyj CWShredder 2.19
Wklej loga SilentRunners
musg
(Musg)
8 Marzec 2006 14:49
#3
kuz5:
Log masz ok
a to???
Chyba user własnie o tym napisał w temacie :roll:
Ford
(Ford Fokus)
8 Marzec 2006 14:55
#4
Znów Kasprzak mi wywala, że znalazł po raz 20 to samo,z tym EWIDO to dobry pomysł. Kerio się nie uruchamia, ale tym razem beż żadnego błędu ( zrobiłem reinstall, po reinstalce sie uruchomił za 1 razem) w podglądzie zdarzeń pisze:
A jak chcę uruchomić ręcznie to w podglądzie widzę:
A wszystko zaczęło się od tego, że ustawiłem sobie niestandardową ilość pamięci wirtualnej, chciał resa, a po resie Kerio się nie uruchomił, a Kaspersky zaczął wykrywać te wirusy…
Złączono Posta : 08.03.2006 (Sro) 15:58
A teraz cholera nic uruchomić nie mogę
Złączono Posta : 08.03.2006 (Sro) 15:59
Zrobie przywracanie systemu i się odezwę :mrgreen:
Złączono Posta : 08.03.2006 (Sro) 16:05
Dobra już programy działają, Kasperky dalej ma problemy z usunięciem pliku shanda.d11 i Kerio mam po angielsku :-s Pozatym to OK :mrgreen:
Złączono Posta : 08.03.2006 (Sro) 16:12
Log Silent Runners:
“Silent Runners.vbs”, revision 43, http://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by “{++}” Startup items buried in registry: --------------------------------- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} “Gadu-Gadu” = ““D:\Programy\GG\gg.exe” /tray” [“Gadu-Gadu Sp. z oo”] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} “AtiPTA” = “atiptaxx.exe” [“ATI Technologies, Inc.”] “kav” = ““D:\Programy\Kaspersky 6\avp.exe”” [“Kaspersky Lab”] “DownloadAccelerator” = ““D:\Programy\DAP\DAP.EXE” /STARTUP” [“Speedbit Ltd.”] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}(Default) = “AcroIEHlprObj Class” [from CLSID] - {CLSID}\InProcServer32(Default) = “D:\Programy\Acrobat Reader 7\ActiveX\AcroIEHelper.dll” [“Adobe Systems Incorporated”] {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}(Default) = “SSVHelper Class” [from CLSID] - {CLSID}\InProcServer32(Default) = “C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll” [“Sun Microsystems, Inc.”] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ “{42071714-76d4-11d1-8b24-00a0c9068ff3}” = “Rozszerzenie CPL kadrowania wyświetlania” - {CLSID}\InProcServer32(Default) = “deskpan.dll” [file not found] “{88895560-9AA2-1069-930E-00AA0030EBC8}” = “Rozszerzenie ikony HyperTerminalu” - {CLSID}\InProcServer32(Default) = “C:\WINDOWS\System32\hticons.dll” [“Hilgraeve, Inc.”] “{B41DB860-8EE4-11D2-9906-E49FADC173CA}” = “WinRAR shell extension” - {CLSID}\InProcServer32(Default) = “D:\Programy\WinRAR\rarext.dll” [null data] “{85E0B171-04FA-11D1-B7DA-00A0C90348D6}” = “Web Anti-Virus” - {CLSID}\InProcServer32(Default) = “D:\Programy\Kaspersky 6\scieplugin.dll” [“Kaspersky Lab”] “{21569614-B795-46b1-85F4-E737A8DC09AD}” = “Shell Search Band” - {CLSID}\InProcServer32(Default) = “C:\WINDOWS\system32\browseui.dll” [MS] HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ INFECTION WARNING! AtiExtEvent\DLLName = “Ati2evxx.dll” [“ATI Technologies Inc.”] INFECTION WARNING! klogon\DLLName = “C:\WINDOWS\System32\klogon.dll” [“Kaspersky Lab”] INFECTION WARNING! WgaLogon\DLLName = “WgaLogon.dll” [file not found] HKLM\Software\Classes*\shellex\ContextMenuHandlers\ DAP_Menu(Default) = “{BED4C38B-F765-45AC-8C56-613F76BBF43E}” - {CLSID}\InProcServer32(Default) = “D:\Programy\DAP\PRIVAC~1\DAPCTX~1.DLL” [“Speedbit Ltd.”] Kaspersky Anti-Virus(Default) = “{dd230880-495a-11d1-b064-008048ec2fc5}” - {CLSID}\InProcServer32(Default) = “D:\Programy\Kaspersky 6\shellex.dll” [“Kaspersky Lab”] UEStudio(Default) = “{18f2a19c-9c6d-42c3-aff1-91a546ae4208}” - {CLSID}\InProcServer32(Default) = “D:\Programy\HexEditor\uesctmn.dll” [empty string] WinRAR(Default) = “{B41DB860-8EE4-11D2-9906-E49FADC173CA}” - {CLSID}\InProcServer32(Default) = “D:\Programy\WinRAR\rarext.dll” [null data] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ WinRAR(Default) = “{B41DB860-8EE4-11D2-9906-E49FADC173CA}” - {CLSID}\InProcServer32(Default) = “D:\Programy\WinRAR\rarext.dll” [null data] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ Kaspersky Anti-Virus(Default) = “{dd230880-495a-11d1-b064-008048ec2fc5}” - {CLSID}\InProcServer32(Default) = “D:\Programy\Kaspersky 6\shellex.dll” [“Kaspersky Lab”] WinRAR(Default) = “{B41DB860-8EE4-11D2-9906-E49FADC173CA}” - {CLSID}\InProcServer32(Default) = “D:\Programy\WinRAR\rarext.dll” [null data] Active Desktop and Wallpaper: ----------------------------- Active Desktop is disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState HKCU\Control Panel\Desktop\ “Wallpaper” = “C:\WINDOWS\web\wallpaper\Idylla.bmp” Enabled Screen Saver: --------------------- HKCU\Control Panel\Desktop\ “SCRNSAVE.EXE” = “C:\WINDOWS\System32\logon.scr” [MS] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = “%SystemRoot%\System32\mswsock.dll” [MS] 000000000002\LibraryPath = “%SystemRoot%\System32\winrnr.dll” [MS] 000000000003\LibraryPath = “%SystemRoot%\System32\mswsock.dll” [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 13 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Explorer Bars Dormant Explorer Bars in “View, Explorer Bar” menu HKLM\Software\Classes\CLSID{85E0B171-04FA-11D1-B7DA-00A0C90348D6}\ = “Web Anti-Virus” Implemented Categories{00021493-0000-0000-C000-000000000046}\ [vertical bar] InProcServer32(Default) = “D:\Programy\Kaspersky 6\scieplugin.dll” [“Kaspersky Lab”] Extensions (Tools menu items, main toolbar menu buttons) HKLM\Software\Microsoft\Internet Explorer\Extensions\ {08B0E5C0-4FCB-11CF-AAA5-00401C608501}\ “MenuText” = “Sun Java Console” “CLSIDExtension” = “{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBC}” - {CLSID}\InProcServer32(Default) = “C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll” [“Sun Microsystems, Inc.”] {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}\ “ButtonText” = “Web Anti-Virus” {FB5F1910-F110-11D2-BB9E-00C04F795683}\ “ButtonText” = “Messenger” “MenuText” = “Windows Messenger” “Exec” = “C:\Program Files\Messenger\msmsgs.exe” [MS] Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ Ati HotKey Poller, Ati HotKey Poller, “C:\WINDOWS\System32\Ati2evxx.exe” [“ATI Technologies Inc.”] ewido security suite control, ewido security suite control, “D:\Programy\ewido anti-malware\ewidoctrl.exe” [“ewido networks”] ewido security suite guard, ewido security suite guard, “D:\Programy\ewido anti-malware\ewidoguard.exe” [“ewido networks”] Kaspersky Anti-Virus 6.0, AVP, “D:\Programy\Kaspersky 6\avp.exe -r” [“Kaspersky Lab”] MSSQLSERVER, MSSQLSERVER, “C:\PROGRA~1\MICROS~2\MSSQL\binn\sqlservr.exe” [MS] Sunbelt Kerio Personal Firewall 4, KPF4, “D:\Programy\Kerio\Personal Firewall 4\kpf4ss.exe” [“Sunbelt Software”] Windows User Mode Driver Framework, UMWdf, “C:\WINDOWS\System32\wdfmgr.exe” [MS] Print Monitors: --------------- HKLM\System\CurrentControlSet\Control\Print\Monitors\ hpzsnt09\Driver = “hpzsnt09.dll” [“HP”] ---------- + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + The search for DESKTOP.INI DLL launch points on all local fixed drives took 78 seconds. + The search for all Registry CLSIDs containing dormant Explorer Bars took 105 seconds. ---------- (total run time: 260 seconds)
Złączono Posta : 08.03.2006 (Sro) 16:15
Znalazłem na google tylko jeden wynik o tym wirusie i tam to nie było jak go usunąć. Już nie chce mi sie robić formata 6 raz w tym miesiącu…
kuz5
(Kuz5)
8 Marzec 2006 15:26
#5
Zwykłe przeoczenie
W logu nic takego nie widać
Usuń to dziadostwo Pocket Killbox
Użyłeś Ewido ??
Ford
(Ford Fokus)
8 Marzec 2006 15:28
#7
Użyłem EWIDO - znalazł i usunął ;] Teraz sobie zrobie w C:/Windows/System32 swój plik shanda.d11 żeby mi sie znów nie pojawił ^^ Głupie ale proste metody są zawsze najlepsze ;D