Połowa mojej listy kolegów została zainfekowana


(Pablo1517) #1

Dokładnie taki sam wałek jak u autora tematu, identyko :confused: już z połowa mojej listy kolegów została zainfekowana :frowning: Ludzie co robić, na stronie kaspherskiego sprawdzilem ostatnio wykryte wirusy jakies 20 min po tym jak mnie dopadlo.

Trojan-PSW.Win32.LdPinch.bci byl pokazany dokładnie o tej samej godzinie co mnie zaatakowało bydle.

Ratunku :frowning: nie wiem co robic... nie tylko net zwalnia (choc mi nie szczegolnie) ale zaoewarzylem podwyzszona prace procka chwilami itp rzeczy

Złączono Posta : 11.11.2006 (Sob) 1:17

to moze ja dam loga

Logfile of HijackThis v1.99.1

Scan saved at 01:18:53, on 2006-11-11

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Winamp\winampa.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\DAEMON Tools\daemon.exe

C:\WINDOWS\System32\ctfmon.exe

c:\progra~1\intern~1\iexplore.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\WINDOWS\System32\svchost.exe

C:\PROGRA~1\MOZILL~1\FIREFOX.EXE

D:\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O1 - Hosts: 22.22.42.22 interia.pl

O1 - Hosts: 22.22.42.22 www.interia.pl

O1 - Hosts: 22.22.42.22 http://czat.wp.pl/?ticaid=12984

O1 - Hosts: 22.24.22.22 czat.wp.pl/?ticaid=12984

O1 - Hosts: 22.22.24.22 czat.wp.pl

O1 - Hosts: 22.22.24.22 www.czat.wp.pl

O1 - Hosts: 22.22.42.22 onet.pl

O1 - Hosts: 22.22.42.22 www.czat.pl

O1 - Hosts: 22.22.42.22 czat.gazeta.pl

O1 - Hosts: 22.22.42.22 czat.osada.pl

O1 - Hosts: 22.22.42.22 czat.idg.pl

O1 - Hosts: 22.22.42.22 www.polchat.pl

O1 - Hosts: 22.22.42.22 www.regional.pl/czat.spt

O1 - Hosts: 22.22.42.22 chat.atrakcja.pl

O1 - Hosts: 22.22.42.22 czat.osada.pl

O1 - Hosts: 22.22.42.22 www.nuta.pl/czat

O1 - Hosts: 22.22.42.22 www.chat.samhumor.com

O1 - Hosts: 22.22.42.22 czat.onet.pl

O1 - Hosts: 22.22.42.22 czateria.interia.pl

O2 - BHO: IeCatch5 Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\PROGRA~1\FlashGet\jccatch.dll

O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL

O2 - BHO: gFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\PROGRA~1\FlashGet\getflash.dll

O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [chic 64] C:\DOCUME~1\Pablo\DANEAP~1\EGGSSI~1\hopedeletefor.exe

O8 - Extra context menu item: Download All by FlashGet - C:\Program Files\FlashGet\jc_all.htm

O8 - Extra context menu item: Download using FlashGet - C:\Program Files\FlashGet\jc_link.htm

O9 - Extra button: Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Program Files\VisualRoute\vrie.dll

O9 - Extra 'Tools' menuitem: VisualRoute Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Program Files\VisualRoute\vrie.dll

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.pl/resources/virusscanner/kavwebscan_unicode.cab

O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32\rpcc.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

nie zwracajcie uwagi na te przekierowania chatow na jakies ip, to sam robiłem zeby komuś uniemożliwić dostęp do czatów.

EDIT:

A co to za jakiś

O4 - HKCU..\Run: [chic 64] C:\DOCUME~1\Pablo\DANEAP~1\EGGSSI~1\hopedeletefor.exe

EDIT2:

w lokacji tego rejestru znalazlem part cdrom blah.exe

a mi juz z miesiac cdrom restartowal kompa :evil:


(lazikar) #2

http://forum.dobreprogramy.pl/viewtopic.php?t=108883

Wydzielono


(Bbieniol) #3

W trybie awaryjnym z wyłączonym przywracaniem systemu usuwasz (wpisy Hijackiem, pliki/foldery na czerwono ręcznie z dysku):

Sam blokowałeś czaty?

Jeżeli tak zostaw, jeżeli nie to usuń :slight_smile:

Po zabiegach nowy log z Hijacka + log z Silent Runners


(Pablo1517) #4
Logfile of HijackThis v1.99.1

Scan saved at 14:38:56, on 2006-11-11

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\wdfmgr.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Winamp\winampa.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\DAEMON Tools\daemon.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\Program Files\Mozilla Firefox\firefox.exe

D:\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O1 - Hosts: 22.22.42.22 interia.pl

O1 - Hosts: 22.22.42.22 www.interia.pl

O1 - Hosts: 22.22.42.22 http://czat.wp.pl/?ticaid=12984

O1 - Hosts: 22.24.22.22 czat.wp.pl/?ticaid=12984

O1 - Hosts: 22.22.24.22 czat.wp.pl

O1 - Hosts: 22.22.24.22 www.czat.wp.pl

O1 - Hosts: 22.22.42.22 onet.pl

O1 - Hosts: 22.22.42.22 www.czat.pl

O1 - Hosts: 22.22.42.22 czat.gazeta.pl

O1 - Hosts: 22.22.42.22 czat.osada.pl

O1 - Hosts: 22.22.42.22 czat.idg.pl

O1 - Hosts: 22.22.42.22 www.polchat.pl

O1 - Hosts: 22.22.42.22 www.regional.pl/czat.spt

O1 - Hosts: 22.22.42.22 chat.atrakcja.pl

O1 - Hosts: 22.22.42.22 czat.osada.pl

O1 - Hosts: 22.22.42.22 www.nuta.pl/czat

O1 - Hosts: 22.22.42.22 www.chat.samhumor.com

O1 - Hosts: 22.22.42.22 czat.onet.pl

O1 - Hosts: 22.22.42.22 czateria.interia.pl

O2 - BHO: IeCatch5 Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\PROGRA~1\FlashGet\jccatch.dll

O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL

O2 - BHO: gFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\PROGRA~1\FlashGet\getflash.dll

O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O8 - Extra context menu item: Download All by FlashGet - C:\Program Files\FlashGet\jc_all.htm

O8 - Extra context menu item: Download using FlashGet - C:\Program Files\FlashGet\jc_link.htm

O9 - Extra button: Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Program Files\VisualRoute\vrie.dll

O9 - Extra 'Tools' menuitem: VisualRoute Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Program Files\VisualRoute\vrie.dll

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.pl/resources/virusscanner/kavwebscan_unicode.cab

O16 - DPF: {48884C41-EFAC-433D-958A-9FADAC41408E} (EGamesPlugin Class) - https://www.e-games.com.my/com/EGamesPlugin.cab

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

(Joan Sunshine) #5

W tym logu czysto a gdzie Silent Runners??


(Pablo1517) #6

niestety ale silent mi badał z 2h na tym takim mniej obszernym szukaniu :confused: i szukał u szukał i nic nie pokazał

a jednak