edgar
(Sp7)
18 Listopad 2007 11:28
#1
Sorry, spróbuję jeszcze raz. Problem polega na tym, że komputer pracuje b. powoli, co chwila się zawiesza itp. AVG znajduje BackDoor.Generic9PW i inne podobne, przy skanowaniu znajduje też Downloader.Agent.C.14 Da się coś z tym zrobić?
Raport z HijackThis:
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 05:51:08, on 2007-11-18 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\userinit.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe C:\PROGRA~1\Grisoft\AVG7\avgemc.exe C:\PROGRA~1\NEOSTR~1\CnxMon.exe C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe C:\PROGRA~1\Grisoft\AVG7\avgcc.exe C:\Program Files\Gadu-Gadu\gg.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neostrada.pl R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM…\Run: [igfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM…\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM…\Run: [WooCnxMon] C:\PROGRA~1\NEOSTR~1\CnxMon.exe O4 - HKLM…\Run: [speedTouch USB Diagnostics] “C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe” /icon O4 - HKLM…\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe O4 - HKLM…\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe O4 - HKLM…\Run: [Windows System Update Tools] upds.exe O4 - HKLM…\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP O4 - HKLM…\RunServices: [Windows System Update Tools] upds.exe O4 - HKCU…\Run: [Gadu-Gadu] “C:\Program Files\Gadu-Gadu\gg.exe” /tray O4 - HKUS\S-1-5-19…\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User ‘LOCAL SERVICE’) O4 - HKUS\S-1-5-20…\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User ‘NETWORK SERVICE’) O4 - HKUS\S-1-5-18…\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User ‘SYSTEM’) O4 - HKUS.DEFAULT…\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User ‘Default user’) O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra ‘Tools’ menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe O23 - Service: Distributed Allocated Memory Unit - Unknown owner - C:\WINDOWS\system32\dllcache\mravsc32.exe (file missing) – End of file - 2978 bytes
JNJN
(JNJN)
18 Listopad 2007 11:56
#2
edgar
Poczytaj tematy przyklejone w tym dziale i popraw posta.JNJN
edgar
(Sp7)
18 Listopad 2007 15:56
#3
tutaj mam loga z ComboFixa:
ComboFix 07-11-08.1 - Administrator 2007-11-18 7:48:14.2 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.1.1250.1.1033.18.339 [GMT -8:00] Running from: C:\Documents and Settings\Administrator\Desktop\ComboFix(2).exe . ((((((((((((((((((((((((( Files Created from 2007-10-18 to 2007-11-18 ))))))))))))))))))))))))))))))) . C:\WINDOWS\system32\msoft23388.exe C:\WINDOWS\NirCmd.exe C:\Documents and Settings\Administrator.jpi_cache C:\Documents and Settings\Administrator.java C:\Program Files\The KMPlayer C:\Program Files\Crystal Player C:\Documents and Settings\Administrator\Application Data\Crystal Player C:\Program Files\SubEdit-Player C:\Program Files\MarBit C:\Program Files\Trend Micro C:\WINDOWS\PIF C:\Program Files\Mozilla Thunderbird C:\Documents and Settings\Administrator\Application Data\Thunderbird C:\WINDOWS\pss C:\WINDOWS\system32\drivers\AvgArCln.sys C:\Documents and Settings\LocalService\Application Data\AVG7 C:\Documents and Settings\All Users\Application Data\Grisoft C:\Documents and Settings\All Users\Application Data\avg7 C:\Documents and Settings\Administrator\Application Data\AVG7 C:\WINDOWS\system32\msvcp71.dll C:\WINDOWS\system32\msvcr71.dll C:\Documents and Settings\Administrator\Application Data\ArcaBit C:\Documents and Settings\Administrator\UserData C:\Documents and Settings\Administrator\Application Data\Talkback C:\WINDOWS\nsreg.dat C:\Documents and Settings\Administrator\Gadu-Gadu C:\Documents and Settings\Administrator\Application Data\Gadu-Gadu C:\Program Files\Gadu-Gadu C:\WINDOWS\system32\WooDial2000.dll C:\Program Files\Thomson C:\WINDOWS\system32\drivers\alcaudsl.sys C:\WINDOWS\system32\drivers\alcan5wn.sys C:\WINDOWS\system32\stci.dll C:\WINDOWS\system32\drivers\alcawh.sys C:\WINDOWS\system32\drivers\alcacr.sys C:\Program Files\Java Web Start C:\Program Files\Java C:\WINDOWS\system32\ActPanel.dll C:\Program Files\Neostrada TP C:\WINDOWS\ftpcache C:\WINDOWS\system32\igfxres.dll C:\WINDOWS\system32\drivers\mouhid.sys C:\WINDOWS\system32\dllcache\mouhid.sys C:\WINDOWS\system32\drivers\hidusb.sys C:\WINDOWS\system32\dllcache\hidusb.sys C:\WINDOWS\system32\drivers\redbook.sys C:\WINDOWS\system32\drivers\audstub.sys C:\WINDOWS\system32\drivers\intelide.sys C:\Program Files C:\Documents and Settings\All Users\Documents C:\Documents and Settings . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . C:\Program Files\InstallShield Installation Information C:\Program Files\Analog Devices C:\Program Files\Intel C:\Program Files\Common Files\InstallShield C:\Program Files\microsoft frontpage . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “IgfxTray”=“C:\WINDOWS\System32\igfxtray.exe” [2004-02-10 11:55] “HotKeysCmds”=“C:\WINDOWS\System32\hkcmd.exe” [] “WooCnxMon”=“C:\PROGRA~1\NEOSTR~1\CnxMon.exe” [2003-10-16 18:07] “SpeedTouch USB Diagnostics”=“C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe” [2004-01-26 11:38] “WOOWATCH”=“C:\PROGRA~1\NEOSTR~1\Watch.exe” [2003-10-16 18:07] “WOOTASKBARICON”=“C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe” [2003-10-16 18:07] “Windows System Update Tools”=“upds.exe” [] “AVG7_CC”=“C:\PROGRA~1\Grisoft\AVG7\avgcc.exe” [2007-11-17 08:18] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “Gadu-Gadu”=“C:\Program Files\Gadu-Gadu\gg.exe” [2007-07-08 23:39] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices] “Windows System Update Tools”=upds.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Gadu-Gadu] “C:\Program Files\Gadu-Gadu\gg.exe” /tray S2 Distributed Allocated Memory Unit;Distributed Allocated Memory Unit;“C:\WINDOWS\system32\dllcache\mravsc32.exe” . ************************************************************************** catchme 0.3.1250 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-11-18 07:48:44 Windows 5.1.2600 Service Pack 1 NTFS scanning hidden processes … scanning hidden autostart entries … scanning hidden files … scan completed successfully hidden files: 0 ************************************************************************** . Completion time: 2007-11-18 7:49:06 C:\ComboFix2.txt … 2007-11-18 03:19 . — E O F —
Złączono Posta : 18.11.2007 (Nie) 18:15
Tu mam jeszcze kod z SDFixa: http://www.wklej.org/id/181ec86420
Będzie co z tego?
Dzięki!
Gutek
(Gutek)
18 Listopad 2007 21:13
#4
Wklej do Notatnika:
>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )
– podobnie jak na tym obrazku –>
(jeśli pojawi się pytanie " 1 or 2 " - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)
Po restarcie usuń ręcznie folder C: * * Qoobox**.
Po tym nowy log z Combo
edgar
(Sp7)
19 Listopad 2007 19:10
#5
Dzięki za pomoc, ciągle po nawiązaniu połączenia i internetem zaczynają się pojawiać trojany, głównie BackDoor z jakimś dodatkiem, np. Zrobiłem tak jak mi napisałeś, najnowszy log z ComboFix wygląda tak:
ComboFix 07-11-08.3 - Administrator 2007-11-19 10:59:58.5 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.1.1250.1.1033.18.305 [GMT -8:00] Running from: C:\Documents and Settings\Administrator\Desktop\ComboFix.exe . ((((((((((((((((((((((((( Files Created from 2007-10-19 to 2007-11-19 ))))))))))))))))))))))))))))))) . 2007-11-18 11:51 2007-11-18 11:51 2007-11-18 11:16 2007-11-18 10:16 549,720 --a------ C:\WINDOWS\system32\wuapi.dll 2007-11-18 10:16 325,976 --a------ C:\WINDOWS\system32\wucltui.dll 2007-11-18 10:16 43,352 --a------ C:\WINDOWS\system32\wups2.dll 2007-11-18 10:16 33,624 --a------ C:\WINDOWS\system32\wups.dll 2007-11-17 13:02 51,200 --a------ C:\WINDOWS\NirCmd.exe 2007-11-17 12:56 2007-11-17 12:56 2007-11-17 12:46 2007-11-17 12:39 2007-11-17 12:15 2007-11-17 11:36 2007-11-17 11:23 2007-11-17 09:03 2007-11-17 09:03 2007-11-17 08:41 2007-11-17 08:31 3,968 --a------ C:\WINDOWS\system32\drivers\AvgArCln.sys 2007-11-17 08:18 2007-11-17 08:18 2007-11-17 08:18 2007-11-17 08:18 2007-11-17 08:18 499,712 --a------ C:\WINDOWS\system32\msvcp71.dll 2007-11-17 08:18 348,160 --a------ C:\WINDOWS\system32\msvcr71.dll 2007-11-17 07:02 2007-11-17 06:10 2007-11-17 05:55 2007-11-17 05:55 0 --a------ C:\WINDOWS\nsreg.dat 2007-11-17 04:51 2007-11-17 04:51 2007-11-17 04:50 2007-11-17 04:28 32,768 --a------ C:\WINDOWS\system32\WooDial2000.dll 2007-11-17 04:27 2007-11-17 04:27 70,688 --a------ C:\WINDOWS\system32\drivers\alcaudsl.sys 2007-11-17 04:27 53,600 --a------ C:\WINDOWS\system32\drivers\alcan5wn.sys 2007-11-17 04:27 5,606 --a------ C:\WINDOWS\system32\stci.dll 2007-11-17 04:27 5,280 --a------ C:\WINDOWS\system32\drivers\alcawh.sys 2007-11-17 04:27 3,968 --a------ C:\WINDOWS\system32\drivers\alcacr.sys 2007-11-17 04:26 2007-11-17 04:26 2007-11-17 04:26 41,068 --------- C:\WINDOWS\system32\ActPanel.dll 2007-11-17 04:25 2007-11-17 04:24 2007-11-17 04:20 155,648 --a------ C:\WINDOWS\system32\igfxres.dll 2007-11-17 04:20 12,160 --a------ C:\WINDOWS\system32\drivers\mouhid.sys 2007-11-17 04:20 12,160 --a–c— C:\WINDOWS\system32\dllcache\mouhid.sys 2007-11-17 04:20 9,600 --a------ C:\WINDOWS\system32\drivers\hidusb.sys 2007-11-17 04:20 9,600 --a–c— C:\WINDOWS\system32\dllcache\hidusb.sys 2007-11-14 06:06 56,576 --a------ C:\WINDOWS\system32\drivers\redbook.sys 2007-11-14 06:06 3,072 --a------ C:\WINDOWS\system32\drivers\audstub.sys 2007-11-14 06:05 4,736 --a------ C:\WINDOWS\system32\drivers\intelide.sys 2007-11-14 06:04 2007-11-14 06:04 2007-11-14 06:03 . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2007-11-17 12:27 --------- d–h--w C:\Program Files\InstallShield Installation Information 2007-11-14 22:33 --------- d-----w C:\Program Files\Analog Devices 2007-11-14 22:32 --------- d-----w C:\Program Files\Intel 2007-11-14 22:32 --------- d-----w C:\Program Files\Common Files\InstallShield 2007-11-14 22:27 --------- d-----w C:\Program Files\microsoft frontpage . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “IgfxTray”=“C:\WINDOWS\System32\igfxtray.exe” [2004-02-10 11:55] “HotKeysCmds”=“C:\WINDOWS\System32\hkcmd.exe” [] “WooCnxMon”=“C:\PROGRA~1\NEOSTR~1\CnxMon.exe” [2003-10-16 18:07] “SpeedTouch USB Diagnostics”=“C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe” [2004-01-26 11:38] “WOOWATCH”=“C:\PROGRA~1\NEOSTR~1\Watch.exe” [2003-10-16 18:07] “WOOTASKBARICON”=“C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe” [2003-10-16 18:07] “Windows System Update Tools”=“upds.exe” [] “AVG7_CC”=“C:\PROGRA~1\Grisoft\AVG7\avgcc.exe” [2007-11-17 08:18] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “Gadu-Gadu”=“C:\Program Files\Gadu-Gadu\gg.exe” [2007-07-08 23:39] “SpybotSD TeaTimer”=“C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe” [] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices] “Windows System Update Tools”=upds.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Gadu-Gadu] “C:\Program Files\Gadu-Gadu\gg.exe” /tray S2 Distributed Allocated Memory Unit;Distributed Allocated Memory Unit;“C:\WINDOWS\system32\dllcache\mravsc32.exe” . ************************************************************************** catchme 0.3.1262 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-11-19 11:00:33 Windows 5.1.2600 Service Pack 1 NTFS scanning hidden processes … scanning hidden autostart entries … scanning hidden files … scan completed successfully hidden files: 0 ************************************************************************** . Completion time: 2007-11-19 11:00:58 C:\ComboFix2.txt … 2007-11-19 08:23 C:\ComboFix3.txt … 2007-11-19 08:17 . — E O F —
Gutek
(Gutek)
19 Listopad 2007 22:01
#6
Wklej do Notatnika:
>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )
– podobnie jak na tym obrazku –>
(jeśli pojawi się pytanie " 1 or 2 " - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)
Po restarcie usuń ręcznie folder C: * * Qoobox**.
Po tym nowy log z Combo
edgar
(Sp7)
21 Listopad 2007 21:25
#7
ComboFix przestał działać więc się poddałem - sformatowałem dysk.
Duże dzięki gutek, fajnie, że są ludzie co im się chce pomagać.
–
Pozdrowienia i ukłony,
edgar