Masowe wysyłanie zawirusowanych wiadomości (LOG)

Doody · 15 Luty 2007 17:38

Witam - mam problem z kompem u kumpla. Avast wykrywa mu ogromną ilość niechcianej poczty wychodzącej (około 40 wiadomości na minutę) natomiast nie wykrywa wirusów przy skanowaniu.

Poniżej daje log jak możecie to sprawdźcie proszę, na tym kompie pracować się już nie da.

Logfile of HijackThis v1.99.1 Scan saved at 18:35:42, on 2007-02-15 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Internet Explorer\iexplore.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\nvraidservice.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Program Files\Winamp\winampa.exe C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe C:\Program Files\HP\hpcoretech\hpcmpmgr.exe C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\Microsoft ActiveSync\Wcescomm.exe C:\PROGRA~1\MI3AA1~1\rapimgr.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\lsass.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\wbem\wmiprvse.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\wbem\unsecapp.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\system32\svchost.exe C:\WINDOWS\explorer.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\Program Files\WinRAR\WinRAR.exe C:\Documents and Settings\Jamajka\Pulpit\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll O4 - HKLM…\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe O4 - HKLM…\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM…\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe O4 - HKLM…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM…\Run: [DAEMON Tools] “C:\Program Files\DAEMON Tools\daemon.exe” -lang 1033 O4 - HKLM…\Run: [sunJavaUpdateSched] “C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe” O4 - HKLM…\Run: [HP Software Update] “C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe” O4 - HKLM…\Run: [HP Component Manager] “C:\Program Files\HP\hpcoretech\hpcmpmgr.exe” O4 - HKLM…\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe O4 - HKLM…\Run: [soundMan] SOUNDMAN.EXE O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background O4 - HKCU…\Run: [Gadu-Gadu] “C:\Program Files\Gadu-Gadu\gg.exe” /tray O4 - HKCU…\Run: [H/PC Connection Agent] “C:\Program Files\Microsoft ActiveSync\Wcescomm.exe” O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra ‘Tools’ menuitem: Create Mobile Favorite… - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\msnetax.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\msnetax.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\msnetax.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\msnetax.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\msnetax.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\msnetax.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\msnetax.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\msnetax.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\msnetax.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\msnetax.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\msnetax.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\msnetax.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\msnetax.dll O17 - HKLM\System\CCS\Services\Tcpip…{2D9F0680-7513-4B1B-8B03-76C5092D8986}: NameServer = 85.255.113.92,85.255.112.195 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.92 85.255.112.195 O17 - HKLM\System\CS1\Services\Tcpip…{2D9F0680-7513-4B1B-8B03-76C5092D8986}: NameServer = 85.255.113.92,85.255.112.195 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.92 85.255.112.195 O17 - HKLM\System\CS2\Services\Tcpip…{2D9F0680-7513-4B1B-8B03-76C5092D8986}: NameServer = 85.255.113.92,85.255.112.195 O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.113.92 85.255.112.195 O17 - HKLM\System\CS3\Services\Tcpip…{2D9F0680-7513-4B1B-8B03-76C5092D8986}: NameServer = 85.255.113.92,85.255.112.195 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.92 85.255.112.195 O20 - AppInit_DLLs: C:\WINDOWS\system32\systy7.dll O20 - Winlogon Notify: partnershipreg - C:\Documents and Settings\All Users\Dokumenty\Settings\partnership.dll O21 - SSODL: odb_set - {FB661790-974F-44AE-8CCE-F9832622D4F9} - odbcmr32.dll (file missing) O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: msieupdater (Microsoft IE Updater) - Unknown owner - C:\WINDOWS\system32\update00822631.exe O23 - Service: ieupdater2 (Microsoft IE Updater2) - Unknown owner - C:\Documents and Settings\Jamajka~tmp0374.exe O23 - Service: Microsoft security update service (msupdate) - Unknown owner - c:\windows\system32\msvcrtd.exe O23 - Service: Windows Management Service - Unknown owner - C:\WINDOWS\system32.exe (file missing) O23 - Service: winlogin - Unknown owner - C:\WINDOWS\lsass.exe

Gutek · 15 Luty 2007 17:46

Start >>> Uruchom >>> services.msc >>> zatrzymaj i wyłącz Service: msieupdater, ieupdater2, Microsoft security update service, Windows Management Service, winlogin , wpisy usuń HJT

Użyj Pocket Killbox. Zaznaczasz opcję Delete on Reboot oraz All Files i w polu Full Path of File to Delete wklejasz ścieżki

C:\Documents and Settings\Jamajka~tmp0374.exe

C:\Documents and Settings\All Users\Dokumenty\Settings\partnership.dll

C:\WINDOWS\System32\systy7.dll

C:\WINDOWS\System32\odbcmr32.dll

C:\WINDOWS\system32\update00822631.exe

c:\windows\system32\msvcrtd.exe

C:\WINDOWS\system32.exe

c:\windows\system32\msnetax.dll i naciskasz X czerwony. Program poprosi o reset kompa … czyli resetujesz.

O17 - HKLM\System\CCS\Services\Tcpip…{2D9F0680-7513-4B1B-8B03-76C5092D8986}: NameServer = 85.255.113.92,85.255.112.195 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.92 85.255.112.195 O17 - HKLM\System\CS1\Services\Tcpip…{2D9F0680-7513-4B1B-8B03-76C5092D8986}: NameServer = 85.255.113.92,85.255.112.195 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.92 85.255.112.195 O17 - HKLM\System\CS2\Services\Tcpip…{2D9F0680-7513-4B1B-8B03-76C5092D8986}: NameServer = 85.255.113.92,85.255.112.195 O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.113.92 85.255.112.195 O17 - HKLM\System\CS3\Services\Tcpip…{2D9F0680-7513-4B1B-8B03-76C5092D8986}: NameServer = 85.255.113.92,85.255.112.195 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.92 85.255.112.195

Użyj FixWareOut - http://downloads.subratam.org/Fixwareout.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\msnetax.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\msnetax.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\msnetax.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\msnetax.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\msnetax.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\msnetax.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\msnetax.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\msnetax.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\msnetax.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\msnetax.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\msnetax.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\msnetax.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\msnetax.dll

Odpal LSP-Fix zaznacz “I know what I’m doing” następnie w okienku Keep zaznacz plik msnetax.dll i za pomocą strzałki (>>) przenieś go do okienka Remover i kliknij Finish

Nowe logi HJT + Silent

Doody · 15 Luty 2007 21:45

Tym razm się poddaję - po wykonaniu usunięć Killbox’em, oraz uruchomieniu Fixwareou komp przestał reagować w trybie normalnym więc tylko w linii poleceń wrzuce na d: co potrzebne i robie fomat.

Tak apropos przebiegu: wszystkie prosesy o których pisałes były wyłączone, więc tylko usunąłem wpisy HJT, w 2 etapie (killbox) nie znalazłem:

C:\Documents and Settings\All Users\Dokumenty\Settings\partnership.dll

C:\WINDOWS\System32\systy7.dll

C:\WINDOWS\system32.exe

więc ich nie usunąłem. A po uruchomieniu fixwareout komp mi sie zrestartował i po odpaleniu w trybie normalnym powiesił (3krotnie)

Może uda mi się zrobić jeszcze jakoś log z HJT - da się z tego wywnioskować co poszło nie tak?

Gutek · 15 Luty 2007 22:11

Masz włączone przywracanie systemu? Włóż płyt i spróbuj w trybie awaryjnym >>> start>>>Uruchom>>>sfc /scannow