x-awier
27 Czerwiec 2008 22:57
#1
Witam,
NOD wykrył jakiś syf, ale nie daje rady go usunąć…
Oto log:
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 00:57:36, on 2008-06-28 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\urdvxc.exe C:\Program Files\Eset\nod32krn.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\RunDll32.exe C:\WINDOWS\htpatch.exe C:\WINDOWS\System32\nlxpq.exe C:\WINDOWS\system32\sssvcs.exe C:\WINDOWS\system32\lcsass.exe C:\WINDOWS\System32\rundll32.exe C:\Program Files\Eset\nod32kui.exe C:\PROGRA~1\WapSter\AQQ\AQQ.exe C:\Program Files\Opera\opera.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: (no name) - {229CCA3C-4075-430A-AEDA-938378524D2a} - C:\WINDOWS\System32\nsyyvtrl.dll O2 - BHO: (no name) - {26CBD66D-BDCB-4F68-9344-E7C24EC18162} - C:\WINDOWS\System32\nsyyvtrl.dll O2 - BHO: (no name) - {5F11D5D5-3FB2-4ADD-84AD-D69BC9A5D312} - C:\WINDOWS\System32\cbXOiHBU.dll O2 - BHO: (no name) - {744B54C2-8AE5-4724-A902-8B80FF8C21B4} - C:\WINDOWS\System32\qoMGYRKA.dll O2 - BHO: (no name) - {D385AF30-4CC4-4EC5-BD8C-E2418138BE33} - C:\Documents and Settings\Kasia\Ustawienia lokalne\Temporary Internet Files\Content.IE5\28G5TOU9\3077ahntdksr[1].dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM…\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM…\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM…\Run: [siSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM…\Run: [Local Security Authority Service] C:\WINDOWS\System32\lssas.exe O4 - HKLM…\Run: [Client Server Runtime Process] C:\WINDOWS\System32\csrs.exe O4 - HKLM…\Run: [Windows hes Layers] hlfkiy.exe O4 - HKLM…\Run: [mmsass] nlxpq.exe O4 - HKLM…\Run: [6c2f66ea] rundll32.exe “C:\WINDOWS\System32\tsheedpr.dll”,b O4 - HKLM…\Run: [nod32kui] “C:\Program Files\Eset\nod32kui.exe” /WAITSERVICE O4 - HKLM…\Run: [Windows Microsoft Services] bxss.exe O4 - HKLM…\RunServices: [Windows Microsoft Services] bxss.exe O4 - HKLM…\RunServices: [windowsupdate] C:\WINDOWS\System32\windowsupdate.exe O4 - HKLM…\RunServices: [Windows hes Layers] hlfkiy.exe O4 - HKLM…\RunServices: [mmsass] nlxpq.exe O4 - HKCU…\Run: [Windows Microsoft Services] bxss.exe O4 - HKCU…\Run: [Windows hes Layers] hlfkiy.exe O4 - HKCU…\Run: [fhy] C:\WINDOWS\system32\sssvcs.exe O4 - HKCU…\Run: [dsgb] C:\WINDOWS\system32\lcsass.exe O4 - HKCU…\Run: [AQQ] C:\PROGRA~1\WapSter\AQQ\AQQ.exe O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘USŁUGA LOKALNA’) O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’) O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘SYSTEM’) O4 - HKUS\S-1-5-18…\Run: [fhy] C:\WINDOWS\system32\sssvcs.exe (User ‘SYSTEM’) O4 - HKUS\S-1-5-18…\Run: [dsgb] C:\WINDOWS\system32\lcsass.exe (User ‘SYSTEM’) O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘Default user’) O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra ‘Tools’ menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windows … 4602322498 O20 - Winlogon Notify: cbXOiHBU - C:\WINDOWS\SYSTEM32\cbXOiHBU.dll O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Network Windows Service (MSWindows) - Unknown owner - C:\WINDOWS\System32\urdvxc.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe – End of file - 4334 bytes
Z góry dzięki
huber2t
28 Czerwiec 2008 02:10
#2
fix w hijackthis
O2 - BHO: (no name) - {229CCA3C-4075-430A-AEDA-938378524D2a} - C:\WINDOWS\System32\nsyyvtrl.dll O2 - BHO: (no name) - {26CBD66D-BDCB-4F68-9344-E7C24EC18162} - C:\WINDOWS\System32\nsyyvtrl.dll O2 - BHO: (no name) - {5F11D5D5-3FB2-4ADD-84AD-D69BC9A5D312} - C:\WINDOWS\System32\cbXOiHBU.dll O2 - BHO: (no name) - {744B54C2-8AE5-4724-A902-8B80FF8C21B4} - C:\WINDOWS\System32\qoMGYRKA.dll O2 - BHO: (no name) - {D385AF30-4CC4-4EC5-BD8C-E2418138BE33} - C:\Documents and Settings\Kasia\Ustawienia lokalne\Temporary Internet Files\Content.IE5\28G5TOU9\3077ahntdksr[1].dll O4 - HKLM…\Run: [Local Security Authority Service] C:\WINDOWS\System32\lssas.exe O4 - HKLM…\Run: [Client Server Runtime Process] C:\WINDOWS\System32\csrs.exe O4 - HKLM…\Run: [Windows hes Layers] hlfkiy.exe O4 - HKLM…\Run: [mmsass] nlxpq.exe O4 - HKLM…\Run: [6c2f66ea] rundll32.exe “C:\WINDOWS\System32\tsheedpr.dll”,b O4 - HKLM…\Run: [Windows Microsoft Services] bxss.exe O4 - HKLM…\RunServices: [Windows Microsoft Services] bxss.exe O4 - HKLM…\RunServices: [windowsupdate] C:\WINDOWS\System32\windowsupdate.exe O4 - HKLM…\RunServices: [Windows hes Layers] hlfkiy.exe O4 - HKLM…\RunServices: [mmsass] nlxpq.exe O4 - HKCU…\Run: [Windows Microsoft Services] bxss.exe O4 - HKCU…\Run: [Windows hes Layers] hlfkiy.exe O4 - HKCU…\Run: [fhy] C:\WINDOWS\system32\sssvcs.exe O4 - HKUS\S-1-5-18…\Run: [fhy] C:\WINDOWS\system32\sssvcs.exe (User ‘SYSTEM’) O4 - HKUS\S-1-5-18…\Run: [dsgb] C:\WINDOWS\system32\lcsass.exe (User ‘SYSTEM’) O20 - Winlogon Notify: cbXOiHBU - C:\WINDOWS\SYSTEM32\cbXOiHBU.dll
Pobierz ComboFix , ale nie uruchamiaj
Wklej do notatnika:
File::
C:\WINDOWS\System32\nsyyvtrl.dll
C:\WINDOWS\System32\nsyyvtrl.dll
C:\WINDOWS\System32\cbXOiHBU.dll
C:\WINDOWS\System32\qoMGYRKA.dll
C:\Documents and Settings\Kasia\Ustawienia lokalne\Temporary Internet Files\Content.IE5\28G5TOU9\3077ahntdksr1.dll
C:\WINDOWS\System32\lssas.exe
C:\WINDOWS\System32\csrs.exe
C:\WINDOWS\System32\lssas.exe
C:\WINDOWS\System32\csrs.exe
C:\WINDOWS\System32\tsheedpr.dll
C:\WINDOWS\System32\windowsupdate.exe
C:\WINDOWS\system32\sssvcs.exe
C:\WINDOWS\system32\lcsass.exe
C:\WINDOWS\SYSTEM32\cbXOiHBU.dll
C:\WINDOWS\System32\urdvxc.exe
C:\WINDOWS\System32\nlxpq.exe
Driver::
Network Windows Service
Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->
Rozpocznie się usuwanie i powstanie log, daj ten log na forum.
Logi dajesz na http://www.wklej.org a w poście dajesz tylko link
x-awier
28 Czerwiec 2008 19:58
#3
Zrobiłem to co napisałeś ;] Jest niby lepiej, ale i tak NOD świruje. Może jeszcze coś znajdziesz
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:57, on 2008-06-28 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\htpatch.exe C:\Documents and Settings\Marszal\Pulpit\AQQ.exe C:\WINDOWS\System32\dllcache\wintcpi.exe C:\WINDOWS\system32\msiexec.exe C:\WINDOWS\System32\qqxxzcsw.exe C:\WINDOWS\explorer.exe D:\Program Files\Opera\opera.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: (no name) - {5F11D5D5-3FB2-4ADD-84AD-D69BC9A5D312} - C:\WINDOWS\system32\cbXNGwvt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM…\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM…\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM…\Run: [siSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM…\Run: [Windows Logon Application] C:\WINDOWS\System32\logon.exe O4 - HKLM…\Run: [MSConfig] C:\WINDOWS\pchealth\helpctr\Binaries\MSCONFIG.EXE /auto O4 - HKLM…\Run: [Windows Microsoft Services] qqxxzcsw.exe O4 - HKLM…\RunServices: [Windows Microsoft Services] qqxxzcsw.exe O4 - HKCU…\Run: [AQQ] C:\DOCUME~1\Marszal\Pulpit\AQQ.exe O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘?’) O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘?’) O4 - HKUS\S-1-5-21-1177238915-602162358-725345543-1003…\Run: [AQQ] C:\DOCUME~1\Marszal\Pulpit\AQQ.exe (User ‘?’) O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘?’) O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘Default user’) O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra ‘Tools’ menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O20 - Winlogon Notify: cbXNGwvt - C:\WINDOWS\SYSTEM32\cbXNGwvt.dll O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Microsoft Windows TCP Protocol - Unknown owner - C:\WINDOWS\System32\dllcache\wintcpi.exe – End of file - 3157 bytes
addmir
28 Czerwiec 2008 20:02
#4
huber2t o coś Cię prosił:
Daj log z usuwania ComboFix-em
x-awier
28 Czerwiec 2008 20:20
#5
addmir
28 Czerwiec 2008 20:35
#6
Nie mogę zobaczyć logów na www.wklej.org . www.wklejto.pl
Leon1
28 Czerwiec 2008 20:47
#8
Co to jest
Start >> wyszukaj >> ComboFix.txt
x-awier
28 Czerwiec 2008 20:59
#9
Ok, juz mam
http://www.wklejto.pl/4221
Ps:
Pojawil sie na pulpicie folder ‘System’ co z nim zrobic ?
Leon1
28 Czerwiec 2008 21:22
#10
Otwórz notatnik i wklej
zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe
http://img.wklej.org/images/88953CFScri … iemoes.gif
Powinno rozpocząć się usuwanie
Potem log z usuwania Combofix
x-awier
28 Czerwiec 2008 21:36
#11
Proszę -> http://www.wklejto.pl/4226
A co z tym folderem System, który pojawił się na pulpicie?
Leon1
28 Czerwiec 2008 21:55
#12
Otwórz notatnik i wklej
zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe
http://img.wklej.org/images/88953CFScri … iemoes.gif
Powinno rozpocząć się usuwanie
Potem log z usuwania Combofix
x-awier
28 Czerwiec 2008 22:06
#13
-> http://www.wklejto.pl/4233
Dalej coś tam siedzie ?
x-awier
28 Czerwiec 2008 23:56
#15
Użyłem SDFix, ale wyskakiwały błędy typu ‘nie wysyłaj’ (ntvrdm.exe).
A w tym okienku pojawiały się takie rzeczy…
I tak dalej i tak dalej…
Oto Raport z pliku ‘catchme’:
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-06-29 01:42:44 Windows 5.1.2600 NTFS detected NTDLL code modification: ZwOpenFile scanning hidden files … IPC error: 2 Nie można odnaleźć określonego pliku. scan completed successfully hidden files: 0
Raport z Kapersky’iego --> file://localhost/C:/Documents%20 and%20Settings/Marszal/Pulpit/raport.html
Wszystko inne również wykonałem
huber2t
29 Czerwiec 2008 04:29
#16
Daj raport z tego pliku na forum
W dniu 29.06.2008 , o godzinie 6:29 został dopisany post przez huber2t
Daj raport z tego pliku na forum
x-awier
29 Czerwiec 2008 10:46
#17
No podalem…
file://localhost/C:/ Documents%20and%20Settings/Marszal/Pulpit/raport.html
Wstawiłem spację bo sie skracał ;p
huber2t
29 Czerwiec 2008 12:28
#18
To jest ścieżka dostepu do raportu na dysku, wrzuć zawartość tego pliku na wklejto.pl i daj link z niego na forum
file://localhost/C:/ Documents%20and%20Settings/Marszal/Pulpit/raport.html
Daj log na 
raport.html