Mam problem do rozwiązania

Mam problem, SpyBot znalazł mi szpiega, ale nie daje rady go usunąć.

Zapis w rejestrze:

HKEY_LOCAL_MACHINE\system\controlSet003\Service\i386p

Czy mogę to usunąć ręcznie w awaryjnym.

Skanowałem Nortonem, jest czysty.

A to log:

Dzięki za pomoc.

====================================

Uwaga: Jak wklejasz loga to obejmuj go znacznikiem (tagiem) CODE lub QUOTE

Proponuje poczytać TEN temat i zobacz jaka jest prośba do userów wklejających loga.

Pozdrawiam kuz5

w trybie awaryjnym usuń hijackiem

A teraz dalej masz Rootkit-a :frowning:

Nie jest widziany w żadnym z logów - hijack czy silent.

Start do Konsoli Odzyskiwania i wprowadź komendy:

DISABLE i386p

CD C:\WINDOWS\system32\drivers

DEL i386p.sys

EXIT

Finalnie zapuszczenie Registry Search Tool na szukanie słowa i386p. Typowe wyniki to będzie coś w stylu:

Start >>> Uruchom >>> regedit i z prawokliku skasować klucze I386P i LEGACY_I386P. Pamiętaj o nadaniu Uprawnień dla kluczy LEGACY przed ich kasacją!

Te wpisy zostały usunięte w Hijacku.

W konsoli odzyskiwania po komendzie disable i386p >>

Nie można zlokalizować wpisu rejestru dla usługi.

Sprawdzałem w SpyBocie, jest prawidłowa. ??? :?

Złączono Posta : 22.01.2006 (Nie) 23:56

Czy to jest ten RootKit ?

Da się to usunąć?

Masz w takie lokalizacji? - C:\WINDOWS\system32\drivers\i386p

zrobiles fix-a? zapusciles Registry Search Tool na szukanie słowa i386? Daj log-a z Registry Search Tool oraz z Sielnta - Silent opis: http://www.searchengines.pl/phpbb203/in … opic=15989

Lokalizacja C:\WINDOWS\system32\drivers\i386p

Fixa zrobiłem. Jeszcze nie puszczałem Registry Search Tool.

Pisałeś, aby najpierw usunąć w Konsoli Odzyskiwania.

Oto logi :

REGEDIT4

; RegSrch.vbs © Bill James

; Registry search results for string “i386p” 2006-01-23 12:49:13

; NOTE: This file will be deleted when you close WordPad.

; You must manually save this file to a new location if you want to refer to it again later.

; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_I386P]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_I386P\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_I386P\0000]

“Service”=“i386p”

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_I386P\0000]

“DeviceDesc”=“i386p”

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_I386P\0000\LogConf]

[HKEY_USERS\S-1-5-21-796845957-1844823847-725345543-1003\Software\Microsoft\Search Assistant\ACMru\5603]

“002”=“i386p”

Jest tylko 6 wpisów, bo zaczołem już usuwać.

Drugi log :

“Silent Runners.vbs”, revision 41, http://www.silentrunners.org/

Operating System: Windows XP

Output limited to non-default values, except where indicated by “{++}”

Startup items buried in registry:


HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}

“Gadu-Gadu” = ““C:\Program Files\Gadu-Gadu\gg.exe” /tray” [“Gadu-Gadu Sp. z oo”]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}

“NvCplDaemon” = “RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup” [MS]

“nwiz” = “nwiz.exe /install” [“NVIDIA Corporation”]

“WooCnxMon” = “C:\PROGRA~1\NEOSTR~1\CnxMon.exe” [empty string]

“SpeedTouch USB Diagnostics” = ““C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe” /icon” [“THOMSON Telecom Belgium”]

“WOOWATCH” = “C:\PROGRA~1\NEOSTR~1\Watch.exe” [“France Télécom R&D”]

“WOOTASKBARICON” = “C:\Program Files\Neostrada TP\taskbaricon.exe” [“France Télécom R&D”]

“NeroFilterCheck” = “C:\WINDOWS\system32\NeroCheck.exe” [“Ahead Software Gmbh”]

“WinampAgent” = “C:\Program Files\Winamp\winampa.exe” [null data]

“SunJavaUpdateSched” = “C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe” [null data]

“DemonStarter” = “C:\Program Files\PWN\Definicje\Bin\Starter.exe” [null data]

“KernelFaultCheck” = “C:\WINDOWS\system32\dumprep 0 -k” [MS]

“WinFast Schedule” = “C:\Program Files\WinFast\WFTVFM\WFWIZ.exe” [“Leadtek Research Inc.”]

“HP Software Update” = “C:\Program Files\HP\HP Software Update\HPWuSchd2.exe” [“Hewlett-Packard Co.”]

“ccApp” = ““C:\Program Files\Common Files\Symantec Shared\ccApp.exe”” [“Symantec Corporation”]

“SSC_UserPrompt” = “C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe” [“Symantec Corporation”]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx\ {++}

“Flag” = 2

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\

{A5366673-E8CA-11D3-9CD9-0090271D075B}(Default) = “IeCatch2 Class” [from CLSID]

-> {CLSID}\InProcServer32(Default) = “C:\PROGRA~1\FlashGet\jccatch.dll” [“Amaze Soft”]

{A8F38D8D-E480-4D52-B7A2-731BB6995FDD}(Default) = “NAV Helper”

-> {CLSID}\InProcServer32(Default) = “C:\Program Files\Norton AntiVirus\NavShExt.dll” [“Symantec Corporation”]

{E5A1691B-D188-4419-AD02-90002030B8EE}(Default) = “FlashFXP Helper for Internet Explorer” [from CLSID]

-> {CLSID}\InProcServer32(Default) = “C:\PROGRA~1\FlashFXP\IEFlash.dll” [file not found]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\

“{42071714-76d4-11d1-8b24-00a0c9068ff3}” = “Rozszerzenie CPL kadrowania wyświetlania”

-> {CLSID}\InProcServer32(Default) = “deskpan.dll” [file not found]

“{88895560-9AA2-1069-930E-00AA0030EBC8}” = “Rozszerzenie ikony HyperTerminalu”

-> {CLSID}\InProcServer32(Default) = “C:\WINDOWS\System32\hticons.dll” [“Hilgraeve, Inc.”]

“{1CDB2949-8F65-4355-8456-263E7C208A5D}” = “Eksplorator pulpitów”

-> {CLSID}\InProcServer32(Default) = “C:\WINDOWS\System32\nvshell.dll” [“NVIDIA Corporation”]

“{1E9B04FB-F9E5-4718-997B-B8DA88302A47}” = “Desktop Explorer Menu”

-> {CLSID}\InProcServer32(Default) = “C:\WINDOWS\System32\nvshell.dll” [“NVIDIA Corporation”]

“{42042206-2D85-11D3-8CFF-005004838597}” = “Microsoft Office HTML Icon Handler”

-> {CLSID}\InProcServer32(Default) = “C:\Program Files\Microsoft Office\Office10\msohev.dll” [MS]

“{B41DB860-8EE4-11D2-9906-E49FADC173CA}” = “WinRAR shell extension”

-> {CLSID}\InProcServer32(Default) = “C:\Program Files\WinRAR\rarext.dll” [null data]

HKLM\Software\Classes*\shellex\ContextMenuHandlers\

Symantec.Norton.Antivirus.IEContextMenu(Default) = “{FAD61B3D-699D-49B2-BE16-7F82CB4C59CA}”

-> {CLSID}\InProcServer32(Default) = “C:\Program Files\Norton AntiVirus\NavShExt.dll” [“Symantec Corporation”]

WinRAR(Default) = “{B41DB860-8EE4-11D2-9906-E49FADC173CA}”

-> {CLSID}\InProcServer32(Default) = “C:\Program Files\WinRAR\rarext.dll” [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\

WinRAR(Default) = “{B41DB860-8EE4-11D2-9906-E49FADC173CA}”

-> {CLSID}\InProcServer32(Default) = “C:\Program Files\WinRAR\rarext.dll” [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\

Symantec.Norton.Antivirus.IEContextMenu(Default) = “{FAD61B3D-699D-49B2-BE16-7F82CB4C59CA}”

-> {CLSID}\InProcServer32(Default) = “C:\Program Files\Norton AntiVirus\NavShExt.dll” [“Symantec Corporation”]

WinRAR(Default) = “{B41DB860-8EE4-11D2-9906-E49FADC173CA}”

-> {CLSID}\InProcServer32(Default) = “C:\Program Files\WinRAR\rarext.dll” [null data]

Active Desktop and Wallpaper:


Active Desktop is disabled at this entry:

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Control Panel\Desktop\

“Wallpaper” = “C:\Documents and Settings\Michał\Dane aplikacji\IrfanView\IrfanView_Wallpaper.bmp”

Startup items in “Michał” & “All Users” startup folders:


C:\Documents and Settings\All Users\Menu Start\Programy\Autostart

“HP Digital Imaging Monitor” -> shortcut to: “C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe” [“Hewlett-Packard Co.”]

“Microsoft Office” -> shortcut to: “C:\Program Files\Microsoft Office\Office10\OSA.EXE -b -l” [MS]

Enabled Scheduled Tasks:


“Norton AntiVirus - Uruchom pełne skanowanie systemu - Michał” -> launches: “C:\PROGRA~1\NORTON~1\Navw32.exe /TASK:“C:\Documents and Settings\All Users\Dane aplikacji\Symantec\Norton AntiVirus\Tasks\mycomp.sca”” [“Symantec Corporation”]

“Symantec NetDetect” -> launches: “C:\Program Files\Symantec\LiveUpdate\NDETECT.EXE” [“Symantec Corporation”]

Winsock2 Service Provider DLLs:


Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}

000000000001\LibraryPath = “%SystemRoot%\System32\mswsock.dll” [MS]

000000000002\LibraryPath = “%SystemRoot%\System32\winrnr.dll” [MS]

000000000003\LibraryPath = “%SystemRoot%\System32\mswsock.dll” [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}

0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:

%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 17

%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05

Toolbars, Explorer Bars, Extensions:


Toolbars

HKLM\Software\Microsoft\Internet Explorer\Toolbar\

“{C4069E3A-68F1-403E-B40E-20066696354B}” = “Norton AntiVirus”

-> {CLSID}\InProcServer32(Default) = “C:\Program Files\Norton AntiVirus\NavShExt.dll” [“Symantec Corporation”]

Explorer Bars

Dormant Explorer Bars in “View, Explorer Bar” menu

HKLM\Software\Classes\CLSID{01002DB2-8170-4D9B-A8B1-DDC9DD114E03}\ = “Volet Wanadoo”

Implemented Categories{00021494-0000-0000-C000-000000000046}\ [horizontal bar]

InProcServer32(Default) = “C:\PROGRA~1\NEOSTR~1\audience\audience.dll” [empty string]

HKLM\Software\Classes\CLSID{3BAF4A27-C764-4E1A-A6F4-62F7A7E5E51C}\ = “ToolBand Class”

Implemented Categories{00021494-0000-0000-C000-000000000046}\ [horizontal bar]

InProcServer32(Default) = “C:\PROGRA~1\NEOSTR~1\audience\audience.dll” [empty string]

HKLM\Software\Classes\CLSID{5BF498C0-931E-4A4F-B33F-456D07137EAA}\ = “Volet Wanadoo”

Implemented Categories{00021494-0000-0000-C000-000000000046}\ [horizontal bar]

InProcServer32(Default) = “C:\PROGRA~1\NEOSTR~1\audience\audience.dll” [empty string]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\

{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\

“MenuText” = “Sun Java Console”

“CLSIDExtension” = “{08B0E5C0-4FCB-11CF-AAA5-00401C608501}”

-> {CLSID}\InProcServer32(Default) = “C:\WINDOWS\System32\msjava.dll” [MS]

{D6E814A0-E0C5-11D4-8D29-0050BA6940E3}\

“ButtonText” = “FlashGet”

“MenuText” = “&FlashGet”

“Exec” = “C:\PROGRA~1\FlashGet\flashget.exe” [“Amaze Soft”]

Miscellaneous IE Hijack Points


HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\

Missing lines (compared with English-language version):

“{08C06D61-F1F3-4799-86F8-BE1A89362C85}” = “Search Class” [from CLSID]

-> {CLSID}\InProcServer32(Default) = “C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL” [empty string]

Running Services (Display Name, Service Name, Path {Service DLL}):


Norton AntiVirus Firewall Monitor Service, NPFMntor, ““C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe”” [“Symantec Corporation”]

NVIDIA Driver Helper Service, NVSvc, “C:\WINDOWS\System32\nvsvc32.exe” [“NVIDIA Corporation”]

SPBBCSvc, SPBBCSvc, ““C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe”” [“Symantec Corporation”]

Symantec Core LC, Symantec Core LC, ““C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe”” [“Symantec Corporation”]

Symantec Event Manager, ccEvtMgr, ““C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe”” [“Symantec Corporation”]

Symantec Network Drivers Service, SNDSrvc, ““C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe”” [“Symantec Corporation”]

Symantec Settings Manager, ccSetMgr, ““C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe”” [“Symantec Corporation”]

Usługa Auto-Protect programu Norton AntiVirus, navapsvc, ““C:\Program Files\Norton AntiVirus\navapsvc.exe”” [“Symantec Corporation”]

Usługa Norton Protection Center, NSCService, ““C:\Program Files\Common Files\Symantec Shared\Security Console\NSCSRVCE.EXE”” [“Symantec Corporation”]

Print Monitors:


HKLM\System\CurrentControlSet\Control\Print\Monitors\

hpzlnt05\Driver = “hpzlnt05.dll” [“HP”]


  • This report excludes default entries except where indicated.

  • To see *everywhere* the script checks and *everything* it finds,

launch it from a command prompt or a shortcut with the -all parameter.

  • The search for DESKTOP.INI DLL launch points on all local fixed drives

took 54 seconds.

  • The search for all Registry CLSIDs containing dormant Explorer Bars

took 18 seconds.

---------- (total run time: 116 seconds)

ten klucz leci

:frowning: ???

Złączono Posta : 23.01.2006 (Pon) 13:07

Usuwać ?

usuwamy klucze nadanie praw z prawokliku

Zrobione. Registry Search Tool nie znalazł juz żadnego wpisu.

Co z ta Konsolą Odzyskiwania. Będzie już ok ?

Super a SpyBot nic nie pokazuje juz? To byly nazwijmy resztki po Rootkicie - jezelli nie masz w tym folderze drivers pliku zaznaczonego na czerwono to Ok C:\WINDOWS\system32\drivers\i386p

zainstaluj Ewido

http://www.searchengines.pl/phpbb203/lo … 16762.html

zrob updaet i przelec kompa :wink:

Powino byc juz Ok

Ewido pousuwał tam jeszcze coś, głównie cookies.

SpyBot też nic nie znalazł.

W C:\Windows\System32\drivers\i386p nie jest na czerwono.

Czy usunąć go ?

Teraz mi Norton pokazuje alarm >>Bloodhound.Exploit.6>>Brak dostępu do pliku.

Poradzi sobie z tym ?

Tym komunikatem sie nie przejmuj ja pytalem czy jest taki plik i386p w tej co podalem lokalizacji, a nie czy jest na czerowno

Jest tam.( i386p).

Komunikat z Nortona?

Czyli wszystko ok ?

To musisz usunac Start do Konsoli Odzyskiwania i wprowadź komendy:

DISABLE i386p

CD C:\WINDOWS\system32\drivers

DEL i386p.sys

EXIT poczytaj o konsoli w tym linku

Cod o Nortona to tym komunikatem sie nie przejmuj

Przy komendzie disable>>nie można znaleźć wpisu rejestru dla danej usługi, ale poszedłem dalej i usunąłem ten plik. Nie ma go. :smiley:

Dzięki.

No to Extra - wlasnie mysle dlaczego tak ale jak mowilem nie pelny syf by i to moglo byc powodem, najwazniejsze ze po sprawie :slight_smile: