Prawdopodobnie -Win32.Haxdoor


(Eeek87) #1

po kilku formatach i nieustannej walce- znow to samo

http://forum.dobreprogramy.pl/viewtopic.php?p=1193063&highlight=#1193063
  • dodatkowo zabija mi niektore procesy, jak np. czasami przeglądarki. Czytalem,że to sprawka niby Backdoor.Win32.Haxdoor.bg Co robić? Log z Combofix'a :

    ComboFix 07-08-07.6 - "Eeek" 2007-09-09 15:47:27.2 - NTFSx86

    Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.200 [GMT 2:00]

    ((((((((((((((((((((((((( Files Created from 2007-08-09 to 2007-09-09 )))))))))))))))))))))))))))))))

    2007-09-09 15:29 51,200 --a------ E:\WINDOWS\nircmd.exe

    2007-09-09 12:19 3,968 --a------ E:\WINDOWS\system32\drivers\AvgArCln.sys

    2007-09-09 02:08
    [/code]


(Monczkin) #2

Nazwij temat konkretnie. Od czego masz dział bezpieczeństwo :!:


(Eeek87) #3

co ciekawsze... problem ustapił, ale z doświadczenia wiem,że to chwilowe ;]

Złączono Posta : 09.09.2007 (Nie) 17:05

jeszcze log z SmitFraudFix'a

SmitFraudFix v2.210


Scan done at 17:01:42.18, 2007-09-09

Run from C:\downloady\SmitfraudFix

OS: Microsoft Windows XP [Wersja 5.1.2600] - Windows_NT

The filesystem type is NTFS

Fix run in normal mode


»»»»»»»»»»»»»»»»»»»»»»»» Process


E:\WINDOWS\System32\smss.exe

E:\WINDOWS\system32\winlogon.exe

E:\WINDOWS\system32\services.exe

E:\WINDOWS\system32\lsass.exe

E:\WINDOWS\system32\Ati2evxx.exe

E:\WINDOWS\system32\svchost.exe

E:\WINDOWS\System32\svchost.exe

E:\WINDOWS\system32\Ati2evxx.exe

E:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe

E:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

E:\WINDOWS\system32\spoolsv.exe

E:\Programy\Comodo\Firewall\cmdagent.exe

E:\Programy\Norton SystemWorks\Norton Ghost\GhostStartService.exe

E:\Programy\Norton SystemWorks\Norton Antivirus\navapsvc.exe

E:\Programy\NORTON~1\NORTON~2\NPROTECT.EXE

E:\WINDOWS\system32\PSIService.exe

E:\Programy\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE

E:\WINDOWS\System32\svchost.exe

E:\Programy\SPEEDB~1\VideoAcceleratorEngine.exe

E:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe

E:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe

E:\Program Files\Common Files\Symantec Shared\ccApp.exe

E:\Programy\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe

E:\Programy\SPEEDB~1\VideoAccelerator.exe

E:\WINDOWS\system32\wscntfy.exe

E:\WINDOWS\system32\ctfmon.exe

E:\Programy\iTunes\iTunes.exe

E:\Program Files\iPod\bin\iPodService.exe

E:\Programy\WapSter\AQQ\AQQ.exe

E:\Programy\Opera\Opera.exe

E:\WINDOWS\explorer.exe

E:\Programy\Comodo\Firewall\cpf.exe

E:\WINDOWS\system32\cmd.exe


»»»»»»»»»»»»»»»»»»»»»»»» hosts


hosts file corrupted !


127.0.0.1	www.legal-at-spybot.info

127.0.0.1	legal-at-spybot.info


»»»»»»»»»»»»»»»»»»»»»»»» E:\



»»»»»»»»»»»»»»»»»»»»»»»» E:\WINDOWS



»»»»»»»»»»»»»»»»»»»»»»»» E:\WINDOWS\system



»»»»»»»»»»»»»»»»»»»»»»»» E:\WINDOWS\Web



»»»»»»»»»»»»»»»»»»»»»»»» E:\WINDOWS\system32



»»»»»»»»»»»»»»»»»»»»»»»» E:\Documents and Settings\Eeek



»»»»»»»»»»»»»»»»»»»»»»»» E:\Documents and Settings\Eeek\Application Data



»»»»»»»»»»»»»»»»»»»»»»»» Start Menu



»»»»»»»»»»»»»»»»»»»»»»»» E:\DOCUME~1\Eeek\Ulubione



»»»»»»»»»»»»»»»»»»»»»»»» Desktop



»»»»»»»»»»»»»»»»»»»»»»»» E:\Program Files 



»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys



»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components


[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Moja bieľĄca strona g˘wna"



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!Attention, following keys are not inevitably infected!


SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll



»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!Attention, following keys are not inevitably infected!


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"=""



»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!Attention, following keys are not inevitably infected!


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""



»»»»»»»»»»»»»»»»»»»»»»»» Rustock




»»»»»»»»»»»»»»»»»»»»»»»» DNS


Description: WAN (PPP/SLIP) Interface

DNS Server Search Order: 194.204.159.1

DNS Server Search Order: 217.98.63.164


HKLM\SYSTEM\CCS\Services\Tcpip\..\{467783DA-5FEA-41DB-A1EC-612FB13C286A}: NameServer=194.204.159.1 217.98.63.164

HKLM\SYSTEM\CS1\Services\Tcpip\..\{467783DA-5FEA-41DB-A1EC-612FB13C286A}: NameServer=194.204.159.1 217.98.63.164

HKLM\SYSTEM\CS3\Services\Tcpip\..\{467783DA-5FEA-41DB-A1EC-612FB13C286A}: NameServer=194.204.159.1 217.98.63.164



»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection



»»»»»»»»»»»»»»»»»»»»»»»» End


[/code]

(Gutek) #4

Otwórz Notatnik i wklej w nim to:

Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG >>> kliknij dwa razy na utworzony plik FIX.REG i potwierdź dodanie do rejestru >>> restart.

Pobierz program SDFix

-