Gutek
24 Kwiecień 2007 17:42
#2
Kamelio
24 Kwiecień 2007 19:01
#3
Usunąłem wpisy z HijackThis, a tu log z Comfix:
“Kamil” - 07-04-24 20:27:32 Dodatek Service Pack 2 ComboFix 07-04-25.1V - Running from: “D:” (((((((((((((((((((((((((((((((((((((((((((((((((( V Log ))))))))))))))))))))))))))))))))))))))))))))))))))))))) C:\WINDOWS\system32\efcdcyy.dll C:\WINDOWS\system32\efcywwx.dll C:\WINDOWS\system32\mljkjjj.dll C:\WINDOWS\system32\rqrqpqn.dll C:\WINDOWS\system32\rqrrpnl.dll C:\WINDOWS\system32\ayadd.bak1 C:\WINDOWS\system32\ayadd.ini2 C:\WINDOWS\system32\ayadd.tmp C:\WINDOWS\system32\ddaya.dll C:\WINDOWS\system32\efcdbcd.dll * * * POST RUN FILES/FOLDERS * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * (((((((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) C:\Program Files\ipwindows\ipwins.dll C:\Program Files\ipwindows\ipwins.exe C:\Program Files\ipwindows\UnInstall.exe C:\WINDOWS\system32\bund1\temp.txt C:\WINDOWS\hosts C:\Program Files\ipwindows C:\WINDOWS\system32\bund1 ((((((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) -------\nm -------\NwSapAgent -------\LEGACY_NWSAPAGENT ((((((((((((((((((((((((((((((( Files Created from 2007-03-24 to 2007-04-24 )))))))))))))))))))))))))))))))))) 2007-04-23 19:26 266,930 --a------ C:\WINDOWS\system32\vtutu.dll 2007-04-23 18:56 75,932 --a------ C:\WINDOWS\system32\drivers\klick.dat 2007-04-23 18:56 74,396 --a------ C:\WINDOWS\system32\drivers\klin.dat 2007-04-23 18:54 2007-04-23 18:54 2007-04-23 18:53 3,152,160 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat 2007-04-23 18:53 18,464 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat 2007-04-23 18:48 2007-04-23 17:19 492,104 —hs---- C:\WINDOWS\system32\acbeg.bak2 2007-04-23 17:18 492,131 —hs---- C:\WINDOWS\system32\acbeg.ini2 2007-04-22 23:01 2007-04-22 21:06 491,891 —hs---- C:\WINDOWS\system32\acbeg.bak1 2007-04-22 20:53 2007-04-16 22:33 2007-04-16 22:33 2007-04-15 21:28 2007-04-15 15:51 2007-04-13 16:24 2007-03-29 18:47 99,328 --a------ C:\WINDOWS\system32\srusd.dll 2007-03-29 18:47 71,680 --a------ C:\WINDOWS\system32\fnfilter.dll 2007-03-29 18:47 6,912 --a------ C:\WINDOWS\system32\drivers\serscan.sys 2007-03-24 13:02 2007-03-24 10:54 2007-03-24 08:49 465,869 —hs---- C:\WINDOWS\system32\mlnmp.bak1 (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-04-24 20:47 -------- d-------- C:\Program Files\kalendarz xp 2007-04-24 16:43 -------- d-------- C:\Program Files\odkurzacz 2007-04-24 16:40 -------- d-------- C:\Program Files\eraser 2007-04-24 13:47 -------- d-------- C:\Program Files\mozilla thunderbird 2007-04-22 22:54 -------- d-------- C:\Program Files\opera 2007-04-22 22:28 -------- d-------- C:\Program Files\dap 2007-04-21 22:44 -------- d-------- C:\Program Files\jetaudio 2007-04-16 21:42 -------- d-------- C:\Program Files\spamihilator 2007-04-11 16:32 -------- d-------- C:\DOCUME~1\Kamil\DANEAP~1\skype 2007-03-29 11:01 5326 --a------ C:\WINDOWS\mozver.dat 2007-03-28 18:10 -------- d-------- C:\Program Files\quicktime 2007-03-28 18:10 -------- d-------- C:\DOCUME~1\Kamil\DANEAP~1\deepburner 2007-03-28 18:10 -------- d-------- C:\DOCUME~1\Kamil\DANEAP~1\bittorrent 2007-03-25 10:50 83000 --a------ C:\WINDOWS\system32\perfc015.dat 2007-03-25 10:50 469050 --a------ C:\WINDOWS\system32\perfh015.dat 2007-03-24 13:02 -------- d-------- C:\Program Files\skype 2007-03-21 22:08 -------- d-------- C:\Program Files\edgard 2007-03-17 17:35 10 --a------ C:\WINDOWS\popcinfo.dat 2007-03-17 15:45 293376 --a------ C:\WINDOWS\system32\winsrv.dll 2007-03-15 12:50 -------- d-------- C:\DOCUME~1\Kamil\DANEAP~1\gretech 2007-03-15 12:49 -------- d-------- C:\Program Files\gretech 2007-03-14 17:45 -------- d-------- C:\Program Files\ivo 2007-03-10 22:13 -------- d-------- C:\Program Files\vanbasco’s karaoke player 2007-03-10 22:13 -------- d-------- C:\Program Files\switch off 2007-03-10 22:13 -------- d-------- C:\Program Files\real alternative 2007-03-10 22:13 -------- d-------- C:\Program Files\messenger 2007-03-10 22:13 -------- d-------- C:\Program Files\gadu-gadu 2007-03-09 20:52 200768 --a------ C:\WINDOWS\system32\klogon.dll 2007-03-08 21:19 -------- d-------- C:\Program Files\flvplayer 2007-03-08 17:38 579072 --a------ C:\WINDOWS\system32\user32.dll 2007-03-08 17:38 40960 --a------ C:\WINDOWS\system32\mf3216.dll 2007-03-08 17:38 281600 --a------ C:\WINDOWS\system32\gdi32.dll 2007-03-08 17:37 1843840 --a------ C:\WINDOWS\system32\win32k.sys 2007-03-05 21:44 -------- d-------- C:\Program Files\subedit-player 2007-03-03 21:39 110360 --a------ C:\WINDOWS\system32\drivers\kl1.sys 2007-03-01 23:55 -------- d-------- C:\Program Files\total video converter 2007-03-01 20:26 -------- d-------- C:\Program Files\bitcomet 2007-03-01 20:26 -------- d-------- C:\DOCUME~1\Kamil\DANEAP~1\utorrent 2007-02-28 14:32 2560 --a------ C:\WINDOWS\system32\bitcometres.dll 2007-02-28 11:09 -------- d-------- C:\Program Files\bt engine 2007-02-27 10:28 -------- d-------- C:\Program Files\smartdraw 7 2007-02-20 19:48 0 --a------ C:\WINDOWS\nsreg.dat 2007-02-17 22:38 249347 --a------ C:\WINDOWS\alcohol_toolbar_uninstaller_4859.exe 2007-02-05 22:19 185856 --a------ C:\WINDOWS\system32\upnphost.dll 2007-01-24 16:27 255848 --a------ C:\WINDOWS\system32\xactengine2_6.dll (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects] {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} C:\Program Files\BitComet\tools\BitCometBHO_1.1.2.7.dll {52D06F97-5511-43FA-8FDA-C481864FD26E} C:\Program Files\Alcohol Toolbar\v3.2.0.0\Alcohol_Toolbar.dll {53707962-6F74-2D53-2644-206D7942484F} C:\PROGRA~1\SPYBOT~1\SDHelper.dll {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll {B6F49926-BFDC-4631-832A-AC9B17C912B5} C:\WINDOWS\system32\gebca.dll [x] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run] “IgfxTray”=“C:\WINDOWS\system32\igfxtray.exe” “DAEMON Tools”="“C:\Program Files\DAEMON Tools\daemon.exe” -lang 1045" “AVP”="“C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe”" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run] “Gadwin PrintScreen 3.5”=“C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe /nosplash” “Eraser”=“C:\Program Files\Eraser\eraser.exe -hide” “SpeedX”=“C:\PROGRA~1\MyPortal\Speed-X\SpeedX.exe” “Odkurzacz-MCD”=“C:\Program Files\Odkurzacz\odk_mcd.exe” “ctfmon.exe”=“C:\WINDOWS\system32\ctfmon.exe” “thebat_startup”=“C:\Program Files\The Bat!\thebat.exe /minimize” [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] “NoSetTaskBar”=dword:00000000 “NoSetFolders”=dword:00000000 “Noclose”=dword:00000000 “NoFavoritesMenu”=dword:00000000 “NoRecentDocsMenu”=dword:00000000 [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\run] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload] “UPnPMonitor”="{e57ce738-33e8-4c51-8354-bb4de9d215d1}" HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\gebca [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] “appinit_dlls”=“C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll” HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa Authentication Packages REG_MULTI_SZ msv1_0\0\0 Security Packages REG_MULTI_SZ kerberos\0msv1_0\0schannel\0wdigest\0\0 Notification Packages REG_MULTI_SZ scecli\0\0 [HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost] HTTPFilter REG_MULTI_SZ HTTPFilter\0\0 LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0 NetworkService REG_MULTI_SZ DnsCache\0\0 DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0 rpcss REG_MULTI_SZ RpcSs\0\0 imgsvc REG_MULTI_SZ StiSvc\0\0 termsvcs REG_MULTI_SZ TermService\0\0 ~ ~ ~ ~ ~ ~ ~ ~ Hijackthis Backups ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ backup-20070424-201126-186 O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - (no file) backup-20070424-201126-469 O8 - Extra context menu item: Web Rebates. - file://C:\Program Files\WebRebates4\websrebates\webtrebates\toprC0.htm backup-20070424-201126-552 O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredi … jhtml?p=ZN Contents of the ‘Scheduled Tasks’ folder C:\WINDOWS\tasks\AppleSoftwareUpdate.job ******************************************************************** catchme 0.3.660 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net Rootkit scan 2007-04-24 20:50:03 Windows 5.1.2600 Dodatek Service Pack 2 NTFS scanning hidden processes … scanning hidden services … scanning hidden autostart entries … scanning hidden files … scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 ******************************************************************** Completion time: 07-04-24 20:51:04 - machine was rebooted C:\ComboFix-quarantined-files.txt … 07-04-24 20:51
Gutek
24 Kwiecień 2007 19:19
#4
Gutek
24 Kwiecień 2007 21:27
#6
Użyj Pocket Killbox Delete on Reboot oraz All Files i w polu Full Path of File to Delete wklejasz ścieżki
C:\WINDOWS\nircmd.exe
C:\WINDOWS\system32\vtutu.dll
i naciskasz X czerwony . Program poprosi o reset kompa … czyli resetujesz.
Kamelio
25 Kwiecień 2007 06:01
#7
Dzięki za żetelną pomoc , wszytsko hula ok
adam9870
25 Kwiecień 2007 08:05
#8
Proszę wkleić nowy log z Combo.
adam9870
25 Kwiecień 2007 10:43
#10
Ściągnij program KillBox Delete on reboot , w polu full path of file wklej ścieżki:
C:\WINDOWS\system32\acbeg.bak2
C:\WINDOWS\system32\acbeg.ini2
C:\WINDOWS\system32\acbeg.bak1
C:\WINDOWS\system32\mlnmp.bak1
Po wklejeniu każdej ścieżki z osobna kliknij na czerwonego iksa, ale dopiero po wklejeniu ostatniej zgódź się na restart.
Po wykonaniu możesz wkleić dla pewności nowy log z Combo.
Gutek
25 Kwiecień 2007 14:11
#12
jeszcze usuń oraz po wszystkim C:!KillBox i będzie Ok
Kamelio
25 Kwiecień 2007 15:20
#13
Dzięki Wielkie za pomoc!
PS. Mam jeszcze laptopa podłączonego pod to samo gniazdo do sieci za pomocą switcha. Nie mam na nim zainstalowanego jeszcze Kaspersky, tylko poprzedni program antywirusowy, który nie wykrywał tych niechcianych połączeń na moim kompie stacjonarnym. Mam pytanie: Czy najpierw zainstalować nowy program antywirusowy i gdyby sie coś działo to zrobić log z HijackThis, czy zrobić go już teraz i dołączyć do tematu, gdyż jest duże prawdopodobieństwo, że mój komp stacjonarny zainfekował laptopa??
Gutek
25 Kwiecień 2007 15:23
#14
Wrzuć logi z HJT + Silent z laptopa
Kamelio
25 Kwiecień 2007 15:37
#15
Co to znaczy “Silent z laptopa”??
Log z HJT
Logfile of HijackThis v1.99.1 Scan saved at 17:32:00, on 2007-04-25 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\acer\epm\epm-dm.exe C:\Program Files\Lexmark 3300 Series\lxccmon.exe C:\Program Files\Eset\nod32kui.exe C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe C:\Program Files\Winamp\winampa.exe C:\Program Files\Spamihilator\spamihilator.exe C:\Program Files\Skype\Phone\Skype.exe C:\Program Files\Kalendarz XP\Kalendarz.exe C:\Program Files\OpenOffice.ux.pl 2.0.2\program\soffice.exe C:\Program Files\OpenOffice.ux.pl 2.0.2\program\soffice.BIN C:\Acer\eManager\anbmServ.exe C:\WINDOWS\system32\CTsvcCDA.exe C:\Program Files\Eset\nod32krn.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\lxcccoms.exe C:\Program Files\Gadu-Gadu\gg.exe C:\Program Files\Winamp\winamp.exe C:\Documents and Settings\Marta\Pulpit\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://global.acer.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll O4 - HKLM…\Run: [epm-dm] c:\acer\epm\epm-dm.exe O4 - HKLM…\Run: [lxccmon.exe] “C:\Program Files\Lexmark 3300 Series\lxccmon.exe” O4 - HKLM…\Run: [FaxCenterServer] “C:\Program Files\Lexmark Fax Solutions\fm3032.exe” /s O4 - HKLM…\Run: [nod32kui] “C:\Program Files\Eset\nod32kui.exe” /WAITSERVICE O4 - HKLM…\Run: [LXCCCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCCtime.dll,_RunDLLEntry@16 O4 - HKLM…\Run: [sunJavaUpdateSched] “C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe” O4 - HKLM…\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe O4 - HKCU…\Run: [spamihilator] “C:\Program Files\Spamihilator\spamihilator.exe” O4 - HKCU…\Run: [Gadu-Gadu] “C:\Program Files\Gadu-Gadu\gg.exe” /tray O4 - HKCU…\Run: [skype] “C:\Program Files\Skype\Phone\Skype.exe” /nosplash /minimized O4 - HKCU…\Run: [updateMgr] c:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9 O4 - HKCU…\Run: [Odkurzacz-MCD] C:\Program Files\Odkurzacz\odk_mcd.exe O4 - Startup: OpenOffice.ux.pl 2.0.2.lnk = C:\Program Files\OpenOffice.ux.pl 2.0.2\program\quickstart.exe O4 - Global Startup: Kalendarz XP.lnk = C:\Program Files\Kalendarz XP\Kalendarz.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\npjpi160_01.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\npjpi160_01.dll O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe O23 - Service: lxcc_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxcccoms.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
adam9870
25 Kwiecień 2007 15:44
#16
Log czysty.
To znaczy, że masz wkleić komplet logów (hijack + silent) z laptopa, ponieważ napisałeś:
Kamelio:
Czy najpierw zainstalować nowy program antywirusowy i gdyby sie coś działo to zrobić log z HijackThis, czy zrobić go już teraz i dołączyć do tematu, gdyż jest duże prawdopodobieństwo, że mój komp stacjonarny zainfekował laptopa??
adam9870
25 Kwiecień 2007 17:09
#18
Log czysty.
Na koniec możesz przeskanować system którymś z tych skanerów on-line:
http://www.ewido.net/en/onlinescan/
http://www.kaspersky.pl/virusscanner.html
Kamelio
25 Kwiecień 2007 18:09
#19
Jeszcze raz DZIĘKI
Złączono Posta : 26.04.2007 (Czw) 10:52
Mam jeszcze pytanie. Wczoraj użyłem skanera ewido i wykrył mi taki plik “TrackingCookie.Gemius”. Usunąłem go, a dzisiaj po kolejnym odpaleniu skanera ewido, wyżej wymieniony plik znowu był na kompie. CO to może być?
.
