Irys
(Irys93)
27 Czerwiec 2009 02:37
#1
Witam.
Dzisiaj miałem tak zwanego virusa Look2Me… chodzi o to że wchodzę na pulpit z 8 minut , komputer muli…
Pakiet svchost.exe dochodzi do 50 k.
Brat usunoł dziś tego vira. Po jego wyjezdzie okazalo sie ze znów jest.
Jak widać już prawie ranek a ja się męczę z tym virem.
Proszę o pomoc
Oto log ;
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 04:31:59, on 2009-06-27 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16850) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Bonjour\mDNSResponder.exe I:\Program Files\ESET\ESET Smart Security\ekrn.exe C:\Program Files\Canon\IJPLM\IJPLMSVC.EXE C:\Program Files\Java\jre6\bin\jqs.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Program Files\KeyScrambler\keyscrambler.exe I:\Program Files\ESET\ESET Smart Security\egui.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe C:\Program Files\Stardock\ObjectDock\ObjectDock.exe C:\WINDOWS\system32\msiexec.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\ntvdm.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: QFX Software KeyScrambler - {2B9F5787-88A5-4945-90E7-C4B18563BC5E} - C:\Program Files\KeyScrambler\KeyScramblerIE.dll O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM…\Run: [KeyScrambler] C:\Program Files\KeyScrambler\keyscrambler.exe /a O4 - HKLM…\Run: [egui] “I:\Program Files\ESET\ESET Smart Security\egui.exe” /hide /waitservice O4 - HKLM…\Run: [TrojanScanner] I:\Program Files\Trojan Remover\Trjscan.exe /boot O4 - HKCU…\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU…\Run: [uniblue RegistryBooster 2009] C:\Program Files\Uniblue\RegistryBooster\RegistryBooster.exe /S O4 - HKUS\S-1-5-18…\RunOnce: [KeyScrambler] C:\Program Files\KeyScrambler\getting_started.html (User ‘SYSTEM’) O4 - HKUS.DEFAULT…\RunOnce: [KeyScrambler] C:\Program Files\KeyScrambler\getting_started.html (User ‘Default user’) O4 - Startup: Stardock ObjectDock.lnk = C:\Program Files\Stardock\ObjectDock\ObjectDock.exe O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200 O8 - Extra context menu item: Dodaj do blokowanych banerów - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm O9 - Extra button: (no name) - {5C106A59-CC3C-4caa-81A4-6D909B5ACE23} - C:\Program Files\KeyScrambler\KeyScramblerIE.dll O9 - Extra ‘Tools’ menuitem: &KeyScrambler… - {5C106A59-CC3C-4caa-81A4-6D909B5ACE23} - C:\Program Files\KeyScrambler\KeyScramblerIE.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra ‘Tools’ menuitem: @xpsp3res.dll ,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan … stubie.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s … wflash.cab O17 - HKLM\System\CCS\Services\Tcpip…{664C2B9D-8405-4EC1-A46F-52A085C07F23}: NameServer = 194.204.159.1 217.98.63.164 O17 - HKLM\System\CS1\Services\Tcpip…{664C2B9D-8405-4EC1-A46F-52A085C07F23}: NameServer = 194.204.159.1 217.98.63.164 O17 - HKLM\System\CS2\Services\Tcpip…{664C2B9D-8405-4EC1-A46F-52A085C07F23}: NameServer = 194.204.159.1 217.98.63.164 O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ##Id_String1 .6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - I:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe O23 - Service: ESET Service (ekrn) - ESET - I:\Program Files\ESET\ESET Smart Security\ekrn.exe O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: Usługa Google Update (gupdate1c9e54da5460ce6) (gupdate1c9e54da5460ce6) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Inkjet Printer/Scanner Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Program Files\Canon\IJPLM\IJPLMSVC.EXE O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe O23 - Service: PEVSystemStart - Unknown owner - cmd /k start /i “/dC:” “C:\ComboFix\HIDEC.exe” “C:\WINDOWS\system32\CF17060.exe” /c RD /S/Q $RECYCLE.bin \RECYCLER \RECYCLED (file missing) O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - I:\Program Files\Spyware Doctor\pctsAuxs.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - I:\Program Files\Spyware Doctor\pctsSvc.exe – End of file - 6404 bytes
ciemnowidz
(Henio Mazurek)
27 Czerwiec 2009 05:05
#2
Tutaj nie widać żadnego Look2Me, prawdę mówiąc to nie wiem czy on jeszcze gdzieś grasuje.
Wklej logi z OTL i gmer
http://www.searchengines.pl/index.php?s … t&p=392369
http://www.gmer.net/
Logi wklejasz na www.wklej.org a tutaj tylko link.
Irys
(Irys93)
27 Czerwiec 2009 09:51
#3
Może i nie widać ale po pakietach svchostu tak. Nie wiem z jakiej racji znów się pojawił … Ale Look2Me-Destroyer nic nie może znaleźć…
Oto jak wygląda ten sv ;/
A ogólnie to na pulpit dzisiaj 1,5min wchodziłem ;p Więc jakoś lepiej ale i tak jak ściągam np. 2 mb to z 5 min czekam aż wyskoczy w FF że plik ściągnięto (przy tym zacina się FF)…
Więc.
OTL skanuje i wyskoczył tak error :
ale niby dalej skanuje. chyba (Scanning HKEY_CURRENT_USER file associations keys…) i już tak 3 min…
GMER skanuje wciąż…
Jak coś jak będe posiadał logi to z edytuje Więc spójrz czasem
EDIT!
OTL nadal chyba stoi… i pisze tak jak wyżej…
http://wklej.org/id/112801/
GMER skanuje…
ciemnowidz
(Henio Mazurek)
27 Czerwiec 2009 11:44
#4
Tutaj nic nie widać. Jeśli już coś może być to rootkit lub trefna biblioteka podczepiona pod svchosta, ewentualnie resztki Look2Me (jeśli był) w rejestrze spowalniające start systemu.
Przede wszystkim daj log z gmer.
Również wykonaj dokładny skan Malwarebytes Anti-Malware, jeśli coś znajdzie - usuń i wklej log.
http://dobreprogramy.pl/index.php?dz=2& … lware+1.37
Irys
(Irys93)
27 Czerwiec 2009 13:00
#5
GMER dalej się robił… ja w tym czasie pojechalem zalatwic sprawy… wracam komp zresetowany . odpalam pulpit … zamulka . no to wale skana Spyware Doctorem … a tu co ?
I jednak mówiłem coś jest … wcześniej tego nie było widać… przejadę look4my destroyerem tera , nie będę usuwał spyware doctorem
ciemnowidz
(Henio Mazurek)
27 Czerwiec 2009 13:08
#6
Ten obrazek z Spyware Doctor’a nic nie mówi. Podaj dokładną lokalizację tych plików.
To może być w temp. Zastosuj ATF, zaznacz wszystko do czyszczenia.
http://cybertrash.pl/images/tata/ATF/ATF.html
Potem dokładny skan Malwarebytes Anti-Malware (link w moim poprzednim poście). Wklej log.
Irys
(Irys93)
27 Czerwiec 2009 15:54
#7
ATF wywalił z 200 MB bzdetów
Anti Malware nic nie wykrył:
Malwarebytes’ Anti-Malware 1.38 Wersja bazy definicji: 2297 Windows 5.1.2600 Service Pack 2 2009-06-27 17:41:07 mbam-log-2009-06-27 (17-41-07).txt Typ skanowania: Szybkie skanowanie Przeskanowane obiekty: 113552 Upłynęło: 16 minute(s), 16 second(s) Zainfekowane procesy w pamięci: 0 Zainfekowane moduły pamięci: 0 Zainfekowane klucze rejestru: 0 Zainfekowane wartości rejestru: 0 Zainfekowane pliki rejestru: 0 Zainfekowane foldery: 0 Zainfekowane pliki: 0 Zainfekowane procesy w pamięci: (Nie wykryto groźnych plików) Zainfekowane moduły pamięci: (Nie wykryto groźnych plików) Zainfekowane klucze rejestru: (Nie wykryto groźnych plików) Zainfekowane wartości rejestru: (Nie wykryto groźnych plików) Zainfekowane pliki rejestru: (Nie wykryto groźnych plików) Zainfekowane foldery: (Nie wykryto groźnych plików) Zainfekowane pliki: (Nie wykryto groźnych plików)
ciemnowidz
(Henio Mazurek)
27 Czerwiec 2009 16:01
#8
Skanowanie zrób jednak pełne.
Dalej jest ten problem?
Poza tym zrób skan Spyware Doctor’em i jak coś znajdzie to postaraj się podać ścieżki do tych plików oraz nowy log z OTL.
No i przydała by się aktualizacja do XP SP3.
Irys
(Irys93)
28 Czerwiec 2009 16:31
#9
robiłem pełne i po 40 minutach nie mogłem zobaczyć jaki postęp. klikam w pasku na Malware i nic . pc się zaciął ;/
to jest jakieś chore . (ten otl)
2 raz skan i wyskakuje błąd i stoi na (Scanning HKEY_CURRENT_USER file associations keys…)
a tak poza tym to dzisiaj skanowałem Spyware Doctorem na pełnym skanie :
czy to aż takie groźne ? (dziwne że w Speedfanie) - ale już nie ma tego pliku
a gdzieś czytałem na jakimś forum by zastosować Windows Worms Doors Cleaner … ok odpalam i ?
ale po kliknięciu ok mogę normalnie wejść do programu . a by bylo dobrze maja być X-y ?
ciemnowidz
(Henio Mazurek)
28 Czerwiec 2009 16:43
#10
Skoro już ComboFix’a pobrałeś to go uruchom i pokaż log. Jak nie będzie chciał się uruchomić to pobierz od nowa.
Wyłącz na czas pobierania i skanu antywirusa i firewall’a.
Masz XP z SP2 tak więc takich atrakcji ze strony robaków sieciowych możesz doświadczać.
W WWDC wszystko przełączasz na disable (zielono), jak stracisz internet to przy NetBios cofnij zmianę żeby był na żółto.
Irys
(Irys93)
28 Czerwiec 2009 19:32
#11
W końcu coś usunął ten Combofix …
http://www.wklej.org/id/113526/
a ogólnie to dziękuję za pomoc Mam nadzieje że pomożesz mi wyzwolić się od tego badziewia …
edit :
chyba to skasować ?
O4 - HKLM…\Run: [Alcmtr] ALCMTR.EXE
i co z tym bo mnei dziwi . czemu coś z Combofixem ?
O23 - Service: PEVSystemStart - Unknown owner - cmd /k start /i “/dC:” “C:\ComboFix\HIDEC.exe” “C:\WINDOWS\system32\CF26857.exe” /c RD /S/Q $RECYCLE.bin \RECYCLER \RECYCLED (file missing)
ciemnowidz
(Henio Mazurek)
28 Czerwiec 2009 20:02
#12
Widzę, że ComboFix’em to się już wcześniej konkretnie porządziłeś.
Ten plik wygląda na czyściciela po Look2Me. A w logu zaś nic.
Jak chcesz, to od Realteka, lepiej odznacz przez msconfig.
Gdzie to się pojawiło? W HT?
Martwy sterownik do usunięcia. Start => Uruchom => cmd, wpisz
sc delete FXDrv32
Wykonaj jeszcze skan Dr.WEB CureIt, wklej log
http://dobreprogramy.pl/index.php?dz=2& … 00.4.06190
Irys
(Irys93)
29 Czerwiec 2009 12:18
#13
O23 - Service: PEVSystemStart - Unknown owner - cmd /k start /i “/dC:” “C:\ComboFix\HIDEC.exe” “C:\WINDOWS\system32\CF26857.exe” /c RD /S/Q $RECYCLE.bin \RECYCLER \RECYCLED (file missing)
niby usuneło ale po kolejnym skanie HJT znów jest …
właśnie 2/3 h skanuje Dr.Web Niedługo log bo prawie ponad połowa ;D
ciemnowidz
(Henio Mazurek)
29 Czerwiec 2009 12:36
#14
HijackThis nie usuwa tych wejść.
To wygląda na zabłąkane wpisy po uruchomieniu ComboFix’a których nie usunął/przywrócił.
To na koniec.
Irys
(Irys93)
29 Czerwiec 2009 16:33
#15
O taki log chodzi ? troche mały…
http://www.wklej.org/id/113903/
ciemnowidz
(Henio Mazurek)
29 Czerwiec 2009 18:30
#16
Dr.WEB usunął w przeważającej części narzędzia czyszczące. Ale też kilka śmieci.
Jak stoi sytuacja? Bo ja doprawdy nic tutaj nie widzę.
Irys
(Irys93)
29 Czerwiec 2009 19:16
#17
hmm komp muli . zacina sie np FF gdy odpale z 3 karty ktore sie laduja i nastepna albo gdzies klike ;/
svchosty są dwa po ok 40k ;/
ok teraz zauwazylem ze jeden juz jest i tylko do 20k wyciaga
ciemnowidz
(Henio Mazurek)
29 Czerwiec 2009 20:21
#18
Co do spasionego svchost to może być wynikiem usług, niekoniecznie infekcji, pod niego podpiętych.
W jaki sposób i jakimi programami brat usuwał tą infekcję, bo tu widać Look2Me Destroyer, SmitfraudFix, HT, ComboFix, jeszcze coś? Zachowały się jakieś logi z tamtego usuwania? Jeśli tak to zaprezentuj.
Nie podałeś loga z gmer, staraj się go zrobić, może w awaryjnym. Może coś więcej pokaże.
Irys
(Irys93)
29 Czerwiec 2009 21:01
#19
hmm brat chyba oprócz to SpywareDoctorem , NOD32 Eset Smart Seciurity + Antivirus 4 , SDFix. Napiszę do niego smsa
A tu daje dla sprawdzenia jeszcze:
OTL .
Skanowałem 3 blędy były potym jak plik txt sie utworzyl az zamknelo aplikacje (OTL)
http://www.wklej.org/id/114028/
–
pulpit nawet szybko wszedł - 10 sek ale nadal komp ostro muli…
svchost - 65k ;o
To jakas masakra ;/ nawet tego g*wn4 nie mozna wykryc i usunąć co to powoduje ?
daje jeszcze raz skana z Malware bo był 1 plik zainfekowany .
http://wklej.org/id/114232/
Usuń wszystko co znalazł Malwarebytes!