Logi do sprawdzenia Prosze

transporcik · 9 Luty 2006 12:11

:o Mam program szpiegujący, zeskanowałem system Dr.Web odnalazł problem i usunął to co trzeba, w dwóch przypadkach znalażł pliki z podejrzeniem zainfekowania,lecz nie usunął ich tylko zapytał o zmiane nazwy tych plików.Cała rzecz została przeprowadzona w trybie awaryjnym z funkcją wyłączenia przywracania ustawień systemu. Dla pewności zrobiłem też loga, na pierwszy plan rzucają się wpisy z file missing ale nie wycinam ich ponieważ mam zbyt słabe doswiadczenie prosze o pomoc jezeli jest to możliwe z góry dziękuje Pozdrawiam Transporcik

LOGI

Logfile of HijackThis v1.99.1 Scan saved at 12:45:50, on 2006-02-09 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\explorer.exe D:\Documents and Settings\Mariusz\Pulpit\drweb-cureit.exe D:\DOCUME~1\Mariusz\USTAWI~1\Temp\RarSFX2\drw_start.exe D:\DOCUME~1\Mariusz\USTAWI~1\Temp\RarSFX2\drweb32w.exe D:\Documents and Settings\Mariusz\Ustawienia lokalne\Temp\Katalog tymczasowy 9 dla hijackthis.zip\HijackThis.exe R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = 192.168.7.166 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza F2 - REG:system.ini: Shell=explorer.exe F3 - REG:win.ini: run=D:\WINDOWS\inet20004\winlogon.exe O2 - BHO: HBO Class - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - D:\WINDOWS\inet20004\3.01.00.dll O2 - BHO: (no name) - {78364D99-A640-4ddf-B91A-67EFF8373045} - D:\WINDOWS\System32\msnscps.dll O2 - BHO: IExplorerHelper Class - {BA12780E-B91E-41A7-A51A-528CBD64284E} - D:\WINDOWS\System32\IeHelperEx.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx O4 - HKLM…\Run: [urlLSTCK.exe] D:\Program Files\Norton Internet Security\UrlLstCk.exe O4 - HKLM…\Run: [WINDVDPatch] CTHELPER.EXE O4 - HKLM…\Run: [Jet Detection] “D:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe” O4 - HKLM…\Run: [CTStartup] D:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE /run O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM…\Run: [nwiz] nwiz.exe /install O4 - HKLM…\Run: [sSC_UserPrompt] D:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM…\Run: [WinPatrol] D:\Program Files\BillP Studios\WinPatrol\winpatrol.exe O4 - HKLM…\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe O4 - HKLM…\Run: [iEXPLORE.EXE] D:\Program Files\Internet Explorer\IEXPLORE.EXE O4 - HKLM…\Run: [AVSCHED32] D:\Program Files\AVPersonal\AVSched32.EXE /min O4 - HKLM…\Run: [AVGCtrl] “D:\Program Files\AVPersonal\AVGNT.EXE” /min O4 - HKLM…\Run: [NeroCheck] D:\WINDOWS\System32\NeroCheck.exe O4 - HKLM…\Run: [inCD] D:\Program Files\Ahead\InCD\InCD.exe O4 - HKLM…\Run: [system] D:\WINDOWS\System32\kernels64.exe O4 - HKLM…\Run: [systemLoader] D:\WINDOWS\sysldr32.exe O4 - HKLM…\Run: [xp_system] D:\WINDOWS\inet20004\winlogon.exe O4 - HKLM…\Run: [HostSrv] D:\WINDOWS\sachostx.exe O4 - HKLM…\Run: [intell321.exe] D:\WINDOWS\System32\intell321.exe O4 - HKLM…\Run: [AlfaCleaner] D:\Program Files\AlfaCleaner\AlfaCleaner.exe O4 - HKLM…\Run: [WindowsUpdateNT] D:\WINDOWS\System\svwhost.exe /s O4 - HKCU…\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe O4 - HKCU…\Run: [MSMSGS] “D:\Program Files\Messenger\msmsgs.exe” /background O4 - HKCU…\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU…\Run: [symantec NetDriver Monitor] D:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE O4 - HKCU…\Run: [spyKiller] D:\Program Files\SpyKiller\spykiller.exe /startup O4 - HKCU…\Run: [bestPopUpKiller] D:\Program Files\BestPopUpKiller\BestPopupKiller.exe /startup O4 - HKCU…\Run: [Windows installer] C:\winstall.exe O4 - HKCU…\Run: [xp_system] D:\WINDOWS\inet20004\winlogon.exe O4 - HKCU…\Run: [aupd] D:\WINDOWS\System32\symsvcsa.exe O4 - HKCU…\Run: [WindowsUpdateNT] D:\WINDOWS\System\svwhost.exe O4 - HKCU…\Run: [WinMedia] "D:\WINDOWS\System32\qvxgamet4.exe3584.exe " O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Adobe Gamma Loader.lnk = D:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe O12 - Plugin for .pdf: D:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll O20 - Winlogon Notify: msupdate - msupdate32.dll (file missing) O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - D:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - D:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - D:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - D:\WINDOWS\System32\CTsvcCDA.exe O23 - Service: Loading Outpost Connections (KDE) - Unknown owner - D:\WINDOWS\System32\cmdtel.exe (file missing) O23 - Service: Alarm NAV (NAV Alert) - Unknown owner - D:\PROGRA~1\Navnt\alertsvc.exe (file missing) O23 - Service: Autoochrona programu NAV (NAV Auto-Protect) - Unknown owner - D:\PROGRA~1\Navnt\navapsvc.exe (file missing) O23 - Service: Norton Scheduler (Norton Program Scheduler) - Unknown owner - D:\PROGRA~1\Navnt\npssvc.exe (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - D:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - D:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe O23 - Service: AntiVir Update Temp (TmpUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\DOCUME~1\MARIUSZ\USTAWI~1\TEMP_VWUPSRV.EXE

marcin1989 · 9 Luty 2006 15:17

F2 - REG:system.ini: Shell=explorer.exe F3 - REG:win.ini: run=D:\WINDOWS\inet20004\winlogon.exe O4 - HKLM…\Run: [system] D:\WINDOWS\System32\kernels64.exe O4 - HKLM…\Run: [systemLoader] D:\WINDOWS\sysldr32.exe O4 - HKLM…\Run: [xp_system] D:\WINDOWS\inet20004\winlogon.exe O4 - HKLM…\Run: [HostSrv] D:\WINDOWS\sachostx.exe O4 - HKLM…\Run: [intell321.exe] D:\WINDOWS\System32\intell321.exe O4 - HKLM…\Run: [WindowsUpdateNT] D:\WINDOWS\System\svwhost.exe /s O4 - HKCU…\Run: [Windows installer] C:\winstall.exe O4 - HKCU…\Run: [xp_system] D:\WINDOWS\inet20004\winlogon.exe O4 - HKCU…\Run: [aupd] D:\WINDOWS\System32\symsvcsa.exe O4 - HKCU…\Run: [WindowsUpdateNT] D:\WINDOWS\System\svwhost.exe O4 - HKCU…\Run: [WinMedia] "D:\WINDOWS\System32\qvxgamet4.exe3584.exe O20 - Winlogon Notify: msupdate - msupdate32.dll (file missing)

Wyłanczasz przywracanie sysa
Lecisz do awaryjnego
Fixujesz w hijacku wpisy
Pliki na czerwono usuwasz ręcznie

kuz5 · 9 Luty 2006 16:24

marcin1989 znowu sprawdzasz loga na raty, to co podałes to nie wszystko :?

Do skasowania jeszcze to :

Start => Uruchom => wpisz services.msc => zatrzymaj i wyłącz proces Loading Outpost Connections nastepnie odpalasz HijackThis Misc Tools => Delete NT service => wpisz KDE => Ok i zresetuj komputer.

Pliki na czerwono usun ręcznie z dysku

Hmm ciachnij jeszcze ten wpis:

Start => Uruchom => wpisz services.msc => zatrzymaj i wyłącz proces AntiVir Update Temp

Wyczyść katalog TEMP

Start=>Uruchom=>%temp%=>I usuń wszystko co sie tam znajduje

Uwaga: Jak wklejasz loga to obejmuj go znacznikiem (tagiem) CODE lub QUOTE

Proponuje poczytać TEN temat i zobacz jaka jest prośba do userów wklejających loga.

transporcik · 10 Luty 2006 15:24

:mrgreen: Witam kolegów, nie moge usunąć czarnego tła z pulpitu na którym widnieje napis Wraning spyware detected. Wczoraj wyciachałem wpisy i recznie pliki ale napis i tło nie znikneło. Poniżej załącze loga tak dla pewności. Zgóry dziękuje za pomoc pozdrawiam

Cytat:

Logfile of HijackThis v1.99.1 Scan saved at 12:26:32, on 2006-02-10 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe D:\WINDOWS\Explorer.EXE D:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe D:\WINDOWS\system32\spoolsv.exe D:\WINDOWS\System32\CTHELPER.EXE D:\Program Files\Ahead\InCD\InCD.exe D:\WINDOWS\System32\ctfmon.exe D:\Program Files\Messenger\msmsgs.exe D:\WINDOWS\System32\RUNDLL32.EXE D:\WINDOWS\System32\CTsvcCDA.exe D:\WINDOWS\System32\nvsvc32.exe D:\WINDOWS\System32\MsPMSPSv.exe D:\WINDOWS\System32\wuauclt.exe D:\Documents and Settings\Mariusz\Ustawienia lokalne\Temp\Katalog tymczasowy 3 dla hijackthis.zip\HijackThis.exe R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = 192.168.7.166 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Program Files\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx O4 - HKLM…\Run: [urlLSTCK.exe] D:\Program Files\Norton Internet Security\UrlLstCk.exe O4 - HKLM…\Run: [WINDVDPatch] CTHELPER.EXE O4 - HKLM…\Run: [Jet Detection] “D:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe” O4 - HKLM…\Run: [CTStartup] D:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE /run O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM…\Run: [nwiz] nwiz.exe /install O4 - HKLM…\Run: [sSC_UserPrompt] D:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM…\Run: [WinPatrol] D:\Program Files\BillP Studios\WinPatrol\winpatrol.exe O4 - HKLM…\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe O4 - HKLM…\Run: [AVSCHED32] D:\Program Files\AVPersonal\AVSched32.EXE /min O4 - HKLM…\Run: [AVGCtrl] “D:\Program Files\AVPersonal\AVGNT.EXE” /min O4 - HKLM…\Run: [NeroCheck] D:\WINDOWS\System32\NeroCheck.exe O4 - HKLM…\Run: [inCD] D:\Program Files\Ahead\InCD\InCD.exe O4 - HKLM…\Run: [WindowsUpdateNT] D:\WINDOWS\System\svwhost.exe /s O4 - HKCU…\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe O4 - HKCU…\Run: [MSMSGS] “D:\Program Files\Messenger\msmsgs.exe” /background O4 - HKCU…\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU…\Run: [symantec NetDriver Monitor] D:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE O4 - HKCU…\Run: [spyKiller] D:\Program Files\SpyKiller\spykiller.exe /startup O4 - HKCU…\Run: [bestPopUpKiller] D:\Program Files\BestPopUpKiller\BestPopupKiller.exe /startup O4 - HKCU…\Run: [WindowsUpdateNT] D:\WINDOWS\System\svwhost.exe O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Adobe Gamma Loader.lnk = D:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe O12 - Plugin for .pdf: D:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - D:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - D:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - D:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - D:\WINDOWS\System32\CTsvcCDA.exe O23 - Service: Alarm NAV (NAV Alert) - Unknown owner - D:\PROGRA~1\Navnt\alertsvc.exe (file missing) O23 - Service: Autoochrona programu NAV (NAV Auto-Protect) - Unknown owner - D:\PROGRA~1\Navnt\navapsvc.exe (file missing) O23 - Service: Norton Scheduler (Norton Program Scheduler) - Unknown owner - D:\PROGRA~1\Navnt\npssvc.exe (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - D:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - D:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe

:mrgreen:

Gutek · 10 Luty 2006 15:38

zostało do usunięcia

kuz5 · 10 Luty 2006 15:40

Wklej jeszcze loga SilentRunners

Pobierz program Ewido zrób update i przeskanuj

Nie zapominaj o tagach QUOTE

transporcik · 10 Luty 2006 23:02

Witam ponownie, usunąłem to co trzeba przeskanowałem Ewido wyszło 46 infekcji, co do Runnersa to kompletnie sie pogubiłem program zainstalowałem lecz nie moge go uruchomić. Pytanie czy w przypadku scanu Ewido wpisy zainfekowane które mi znajdzie usuwać czy poddawać kwarantannnie.Pozdrawiam Jeszcze jedno pytanie czy to znaczy że w jakiś sposób pliki szpiga są wstanie obejść hisjacka lub go podmienić

Złączono Posta : 11.02.2006 (Sob) 13:18

OK zajarzyłem wastawiam log z silenta poniżej oczekuje na wskazówki :lol:

"BestPopUpKiller" = "D:\Program Files\BestPopUpKiller\BestPopupKiller.exe /startup" [file not found]

"WindowsUpdate" = (value not set)


HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ {++}

"wininet.dll" = "mscornet.exe" [file not found]

"kernel32.dll" = "D:\WINDOWS\System32\mssearchnet.exe" [file not found]


HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}

"URLLSTCK.exe" = "D:\Program Files\Norton Internet [quote][code]"Silent Runners.vbs", revision 43, http://www.silentrunners.org/

Operating System: Windows XP

Output limited to non-default values, except where indicated by "{++}"



Startup items buried in registry:

---------------------------------


HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}

"CTFMON.EXE" = "D:\WINDOWS\System32\ctfmon.exe" [MS]

"MSMSGS" = ""D:\Program Files\Messenger\msmsgs.exe" /background" [MS]

"NvMediaCenter" = "RUNDLL32.EXE D:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit" [MS]

"Symantec NetDriver Monitor" = "D:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE" ["Symantec Corporation"]

"SpyKiller" = "D:\Program Files\SpyKiller\spykiller.exe /startup" [file not found]