Miedziak
(Rapid)
27 Listopad 2008 14:43
#1
Witam,
No to po kolei.
Ostatnio mnie nie było, więc nie wiem co się działo z komputerem w tym czasie.
Dziś od rana na firewallu wywala mi próby dostępu programów typu Notatnik czy GrooveMonitor do dziwnych adresów (dziwne IP i adresy w domenach typu .ru czy .cn), oczywiście wszystko to blokuje. Przy odpalaniu składników Office’a firewall sygnalizuje, że “Program został zmieniony od ostatniego uruchomienia”.
Do tego nie mogę odpalić taskmgra, ani regedita (“Menadżer zadań został zablokowany przez Administratora” itd., oczywiście mam uprawniania administratora i nic nie blokowałem).
Do tego komputer zwolnił.
Spybot ani Adaware nie chce się odpalić.
Tryb awaryjny również ma problemy z zaskoczeniem.
Oto Log z Hijack’a:
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:36:26, on 2008-11-27 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5730.0013) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Matrox Graphics Inc\PowerDesk SE\Matrox.PowerDesk SE.exe C:\program files\powerstrip\pstrip.exe C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Bonjour\mDNSResponder.exe C:\WINDOWS\system32\cisvc.exe C:\Program Files\Matrox Graphics Inc\PowerDesk SE\Matrox.Pdesk.ServicesHost.exe C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\mgabg.exe c:\usr\MYSQL\bin\mysqld.exe c:\Program Files\Common Files\Protexis\License Service\PsiService_2.exe C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe C:\WINDOWS\system32\cidaemon.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll O4 - HKLM…\Run: [Matrox PowerDesk SE] “C:\Program Files\Matrox Graphics Inc\PowerDesk SE\Matrox.PowerDesk SE.exe” O4 - HKLM…\Run: [PowerStrip] c:\program files\powerstrip\pstrip.exe O4 - HKLM…\Run: [sunJavaUpdateSched] “C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe” O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA LOKALNA’) O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’) O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’) O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’) O4 - Startup: Tworzenie wycinków ekranu i uruchamianie programu OneNote 2007.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: Wyślij do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra ‘Tools’ menuitem: Wyślij &do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s … wflash.cab O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: ##Id_String1 .6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: Matrox Centering Service - Matrox Graphics Inc. - C:\Program Files\Matrox Graphics Inc\PowerDesk\Services\Matrox.PowerDesk.Services.exe O23 - Service: Matrox.Pdesk.ServicesHost - Unknown owner - C:\Program Files\Matrox Graphics Inc\PowerDesk SE\Matrox.Pdesk.ServicesHost.exe O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINDOWS\system32\mgabg.exe O23 - Service: MySql - Unknown owner - c:\usr/MYSQL/bin/mysqld.exe O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - c:\Program Files\Common Files\Protexis\License Service\PsiService_2.exe O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe – End of file - 6115 bytes
Liczę na szybką pomoc.
Pozdrawiam.
Usuń te wpisy w HJT
Uruchom HijackThis - Do a system scan only - w oknie programu pokaże się log - zaznacz kratki przy podanych wpisach - klikasz Fix checked
Pobierz Malwarebytes’ Anti-Malware Instrukcja i program tutaj http://cybertrash.pl/Tata/MBAM/Malwareb … lware.html przeskanuj wszystkie dyski usuń co znajdzie, daj log na forum
Miedziak
(Rapid)
27 Listopad 2008 18:05
#3
Tego loga nie będę wklejać, bo to bez sensu.
Powiem tylko ze programik znalazł 1 (słownie: jeden) problem. Był to błędny klucz odpowiadający właśnie za wyłączenie dostępu do taskmgra.
Program niby to usunął, ale po chwili znów nie można było tego uruchomić.
Ściągnąłem Regalyzera i ręcznie usunąłem ten klucz, a tu niespodzianka po ok 10 sek. pojawił się on na nowo.
Coś musi więc go dodawać. Nie mam pomysłu jak to znaleźć.
Pozdrawiam i liczę na wskazówki.
W takim razie
Pobierz Combofix przeskanuj system i daj log na forum.
Loga wklej na www.wklejto.pl lub http://www.wklej.org/ a w poście daj tylko linka
Miedziak
(Rapid)
27 Listopad 2008 19:03
#5
Log z programu ComboFix: http://wklej.org/id/22307/
Po użyciu ComboFixa nic się nie zmieniło.
Pozdrawiam
Monczkin
(Monczkin)
27 Listopad 2008 19:14
#6
Miedziak , nazwij temat konkretnie i popraw posty z logiem.
viewtopic.php?f=16&t=66889
viewtopic.php?f=16&t=253052
huber2t
(huber2t)
27 Listopad 2008 20:52
#7
Pobierz ComboFix , ale nie uruchamiaj
Wklej do notatnika:
File::
c:\windows\system32\drivers\ljfpnj.sys
Driver::
dac970nt
Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2fd7e330-d5eb-11d3-bfb6-00047617824f}]
Plik -> zapisz jako -> CFScript.txt .
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->
Rozpocznie się usuwanie i powstanie log, który dasz na forum.
Logi dajesz na http://wklej.eu lub na http://wklej.org a w poście dajesz tylko link
Miedziak
(Rapid)
27 Listopad 2008 21:24
#8
http://wklej.org/id/22355/ - Log z CF po czynnościach zaleconych przez huber2t.
Nic się nie zmieniło.
Miedziak
(Rapid)
27 Listopad 2008 22:04
#9
■■■■■■■…
Widzę, że to jest grubszy problem i może się skończyć reinstalką systemu.
Przyczaiłem sobie narzędziem Process Monitor procesy w czasie rzeczywistym, skasowałem te trefne klucze i zobaczyłem sobie jaki proces je odtwarza.
Był to program Matroxa do obsługi karty graficznej, a przy okazji pojawiało się mnóstwo zapytań z Notepada i… Sapera (sic!).
Zabiłem proces Matroxa i odpaliłem taskmgr’a. Pochodził 5 sek potem się zamknął i sytuacja od nowa. Tym razem klucz wyłączający dodał sam taskmgr (!) i znów mnóstwo zapytań z notatnika i sapera.
Nie mam pojęcia co z tym zrobić.
Pewnie będę reinstalkę systemu robił.
Pzdr.
Miedziak
(Rapid)
27 Listopad 2008 22:27
#10
Hmm, przejrzałem kilka stron w necie i mam podejrzenia, że jest to wirus Sality, a więc sprawa nie wygląda ciekawie.
huber2t
(huber2t)
28 Listopad 2008 04:40
#11
W logu nic nie widzę
usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.
Przeczyść komputer Ccleanerem
Wykonaj optymalizację autostartu
Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja
Przeskanuj obszar całego komputera http://www.kaspersky.pl/virusscanner.html Daj raport z niego na forum
lub
Dr.WEB CureIt!
Miedziak
(Rapid)
28 Listopad 2008 13:42
#12
Dobra,
Mam pewność, że to Sality. Pewnie skończy się zatem na skopiowaniu wszystkiego co niezarażone na jedną partycję i formacie drugiej.
Chyba, że ktoś zna lepszy sposób na walkę z tym badziewiem.
Pzdr.
Miedziak:
Dobra, Mam pewność, że to Sality. Pewnie skończy się zatem na skopiowaniu wszystkiego co niezarażone na jedną partycję i formacie drugiej. Chyba, że ktoś zna lepszy sposób na walkę z tym badziewiem. Pzdr.
Log Combofix nie był cały ale możesz spróbować tak
Wyłącz przywracanie systemu na wszystkich dyskach. Instrukcja
Pobierz Kaspersky Virus Removal Tool http://dobreprogramy.pl/index.php?dz=2& … +7.0.0.290 usuwaj co znajdzie