Lagi w grach

wilkuwdz · 12 Październik 2009 14:07

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 16:03:55, on 2009-10-12

Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16876)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\LEXPPS.EXE

C:\Program Files\Java\jre6\bin\jqs.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Wireless 11abg Network Utility\WLService.exe

C:\Program Files\Wireless 11abg Network Utility\WLanCfgAG.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\RunDll32.exe

C:\WINDOWS\system32\LVComS.exe

C:\WINDOWS\system32\ctfmon.exe

C:\program files\steam\steam.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\IObit\Game Booster\gbtray.exe

c:\program files\steam\steamapps\killwer\counter-strike\hl.exe

C:\program files\steam\GameOverlayUI.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\svchost.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://search.bearshare.com/search/index.html?src=ssb

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.bearshare.com/search/index.html?src=ssb

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.bearshare.com/search/index.html?src=ssb

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.videoxdvd.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.11.1:8123

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O3 - Toolbar: My Global Search Bar - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\4.bin\MGSBAR.DLL (file missing)

O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll (file missing)

O3 - Toolbar: BearShare MediaBar - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - C:\Program Files\BearShare applications\BearShare MediaBar\MediaBar.dll (file missing)

O4 - HKLM…\Run: [services] -->

O4 - HKLM…\Run: [WinampAgent] “C:\Program Files\Winamp\winampa.exe”

O4 - HKLM…\Run: [C-Media Speaker Configuration] C:\Documents and Settings\Monika\Pulpit\drv\Setup.exe /SPEAKER

O4 - HKLM…\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM…\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe

O4 - HKLM…\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe

O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM…\Run: [nwiz] nwiz.exe /install

O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM…\Run: [serwer] C:\Windows\system32\system010.exe

O4 - HKLM…\Run: [ASocksrv] SocksA.exe

O4 - HKLM…\Run: [sunJavaUpdateSched] “C:\Program Files\Java\jre6\bin\jusched.exe”

O4 - HKLM…\Run: [PWRISOVM.EXE] D:\Program Files\PowerISO\PWRISOVM.EXE

O4 - HKLM…\Run: [svchost] c:\WINDOWS\svchost.exe

O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU…\Run: [services] -->

O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background

O4 - HKCU…\Run: [ALLUpdate] “C:\Program Files\ALLPlayer\ALLUpdate.exe” “sleep”

O4 - HKCU…\Run: [PC Suite Tray] “C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe” -onlytray

O4 - HKCU…\Run: [Nowe Gadu-Gadu] “D:\Program Files\Nowe Gadu-Gadu\gg.exe”

O4 - HKCU…\Run: [steam] “c:\program files\steam\steam.exe” -silent

O4 - HKLM…\Policies\Explorer\Run: [services] -->

O4 - HKCU…\Policies\Explorer\Run: [services] -->

O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’)

O4 - HKUS\S-1-5-20…\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User ‘USŁUGA SIECIOWA’)

O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’)

O4 - HKUS\S-1-5-18…\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User ‘SYSTEM’)

O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’)

O4 - HKUS.DEFAULT…\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User ‘Default user’)

O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra ‘Tools’ menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s … wflash.cab

O17 - HKLM\System\CCS\Services\Tcpip…{CFF3989B-CC89-4DCD-ACBD-12DF26D2A399}: NameServer = 192.168.19.1

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: ServiceLayer - Unknown owner - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe (file missing)

O23 - Service: WPCA-132AG Wireless PC Card (WPCA-132AG Service) - Unknown owner - C:\Program Files\Wireless 11abg Network Utility\WLService.exe

–

End of file - 6963 bytes

deFco247 · 12 Październik 2009 14:10

Logi wklejasz na wklej.org lub wklej.to, a w poście dajesz link.

To wygląda na infekcję Jeefo, chociaż nie ma tutaj charakterystycznej usługi…

Pokaż logi OTL, GMER oraz SREng.

W GMER nic nie zmieniamy -> wciskamy Szukaj (skan potrwa kilkadziesiąt minut) -> po skanie Kopiuj.

wilkuwdz · 12 Październik 2009 14:54

http://wklej.org/id/172845/

log z SREng narazie tylko to mam, GMER skanuje a OTL “Błąd strony”.

– Dodane 12.10.2009 (Pn) 17:16 –

http://wklej.org/id/172863/

log z OTL

– Dodane 12.10.2009 (Pn) 17:17 –

http://wklej.org/id/172866/

GMER

– Dodane 12.10.2009 (Pn) 18:03 –

pomocyy. xD

jessica · 12 Październik 2009 17:08

Uruchom OTL i w oknie Custom Scans/Fixes wklej to:

:OTL

[2009-02-11 22:41:19 | 00,024,576 | ---- | M] (My Global Search) -- C:\Program Files\mozilla firefox\plugins\NPMyGlSh.dll

O3 - HKLM\..\Toolbar: (Ask Toolbar) - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll File not found

O3 - HKLM\..\Toolbar: (My Global Search Bar) - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\4.bin\MGSBAR.DLL File not found

O3 - HKLM\..\Toolbar: (BearShare MediaBar) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - C:\Program Files\BearShare applications\BearShare MediaBar\MediaBar.dll File not found

O4 - HKLM..\Run: [ASocksrv] C:\WINDOWS\System32\SocksA.exe (1)

O4 - HKLM..\Run: [services] File not found

O4 - HKLM..\Run: [serwer] C:\WINDOWS\System32\system010.exe ()

O4 - HKLM..\Run: [svchost] c:\WINDOWS\svchost.exe (1)

O4 - HKU\S-1-5-21-1957994488-1383384898-1708537768-1003..\Run: [services] File not found

O32 - AutoRun File - [2009-10-12 16:15:45 | 00,000,099 | -HS- | M] () - C:\AUTORUN.INF -- [NTFS]

O32 - AutoRun File - [2009-10-12 16:15:45 | 00,000,099 | -HS- | M] () - D:\AUTORUN.INF -- [NTFS]

O33 - MountPoints2\{1b391130-8641-11de-aa4d-000e8e0c8d2d}\Shell\Auto\command - "" = G:\tel.xls.exe -- File not found

O33 - MountPoints2\{2a54fff0-7b95-11de-aa26-000e8e0c8d2d}\Shell\Auto\command - "" = H:\tel.xls.exe -- File not found

O33 - MountPoints2\{71d2cb92-7430-11de-aa01-000e8e0c8d2d}\Shell\AutoRun\command - "" = t.com

O33 - MountPoints2\{71d2cb92-7430-11de-aa01-000e8e0c8d2d}\Shell\explore\Command - "" = t.com

O33 - MountPoints2\{71d2cb92-7430-11de-aa01-000e8e0c8d2d}\Shell\open\Command - "" = t.com

O33 - MountPoints2\{b0ea6712-9497-11de-aa87-000e8e0c8d2d}\Shell\Auto\command - "" = H:\tel.xls.exe -- File not found

O33 - MountPoints2\{b0ea6713-9497-11de-aa87-000e8e0c8d2d}\Shell\Auto\command - "" = I:\tel.xls.exe -- File not found

O33 - MountPoints2\{cf9d61bf-f9d4-11dd-a790-000e8e0c8d2d}\Shell\Explore\command - "" = G:\system.exe -- File not found

O33 - MountPoints2\{cf9d61bf-f9d4-11dd-a790-000e8e0c8d2d}\Shell\Open\command - "" = G:\system.exe -- File not found

@Alternate Data Stream - 1019210 bytes -> C:\WINDOWS\Temp:temp


:Files

C:\WINDOWS\System32\system010.exe

C:\WINDOWS\System32\drivers\ethovnyk.sys

C:\WINDOWS\System32\Drivers\vatfyine.sys

C:\WINDOWS\System32\DRIVERS\ndisio.sys

C:\WINDOWS\System32\SocksA.exe

c:\WINDOWS\svchost.exe

C:\AUTORUN.INF 

D:\AUTORUN.INF 


:Services

ethovnyk

vatfyine

Passthru


:Reg

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]

"SuperHidden"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]

"Hidden"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]

"ShowSuperHidden"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]

"CheckedValue"=dword:00000001

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]

@=""


:Commands

[emptytemp]

[Reboot]

Kliknij w Run Fix. Zatwierdź restart komputera.

Następnie uruchom OTL ponownie, tym razem wywołaj opcję Run Scan.

Pokaż nowy log OTL.txt oraz log z czyszczenia.

jessi

wilkuwdz · 13 Październik 2009 17:52

http://wklej.org/id/174083/

http://wklej.org/id/174085/

jessica · 13 Październik 2009 20:12

Nie wszystko się usunęło, więc powtórka:

Uruchom OTL i w oknie Custom Scans/Fixes wklej to:

Kliknij w Run Fix. Zatwierdź restart komputera.

Potem sprawdź w nowym logu, czy nie ma już tych elementów.

Jeśli są, to zrobisz to:

Ściągniesz ComboFix

Wkleisz do Notatnika :

File::

C:\WINDOWS\System32\Drivers\vatfyine.sys

C:\WINDOWS\System32\drivers\ndisio.sys


Driver::

vatfyine

Passthru


Registry::

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"C-Media Speaker Configuration"=-

>>Plik>>Zapisz jako… >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

-------->

Ma się rozpocząć usuwanie i powstanie log.

jessi

wilkuwdz · 14 Październik 2009 11:37

a czy to bylo przewidziane ? ;|

http://img87.imageshack.us/img87/9144/22181835.jpg

– Dodane 14.10.2009 (Śr) 13:56 –

zrobilem to OTL…

http://wklej.org/id/174802/

sprawdz czy dobrze ;p bo ja sie nie znam ^^

jessica · 14 Październik 2009 12:37

Teoretycznie się usunęło, ale poprzednio raport z usuwania też sugerował, że zostało usunięte, a w logu po usuwaniu okazało się, że to było nadal.

Trzeba więc było dać jeszcze nowy log.

Bardzo mnie zaniepokoił komunikat ComboFixa o “VIRUT”!

Użyj >Dr. Web CureIt!

Od razu przy ściąganiu zapisz go pod inną nazwą, z rozszerzeniem .com (np.“hjklk.com”), czyli przy zapisywaniu daj mu podobną do tej nazwę, i zmień w okienku “zapisz jako typ” na: “Wszystkie pliki”.

Napisz, co wykrył.

jessi