Problem z XP

elster · 23 Grudzień 2007 21:28

Witam

Prosze o sprawdzenie mojego loga już 5 razy formatowałem system i dalej mam problem z wirusami i ogólnie z systemem.

Logfile of HijackThis v1.99.1

Scan saved at 22:22:44, on 2007-12-23

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\explorer.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe

C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\system32\dllcache\msfav32.exe

C:\WINDOWS\System32\Syst3m32.exe

C:\WINDOWS\System32\RUNDLL32.EXE

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe

C:\WINDOWS\System32\ctfmon.exe

D:\Program Files\Gadu-Gadu\gg.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Documents and Settings\S\Ustawienia lokalne\Temp\Katalog tymczasowy 2 dla hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

F2 - REG:system.ini: Shell=explorer.exe

O2 - BHO: (no name) - {2AE4005E-689F-4FB9-8C3D-D2B8B58AC072} - C:\WINDOWS\System32\vtuttst.dll (file missing)

O2 - BHO: (no name) - {6986F8C7-AD9C-4F2A-A0BD-71E993A67F94} - C:\WINDOWS\System32\xxwxw.dll (file missing)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM…\Run: [nwiz] nwiz.exe /install

O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM…\Run: [MicroSoft Legal Syst3m32] Syst3m32.exe

O4 - HKLM…\Run: [AVP] “C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe”

O4 - HKLM…\RunServices: [MicroSoft Legal Syst3m32] Syst3m32.exe

O4 - HKLM…\RunOnce: [MicroSoft Legal Syst3m32] Syst3m32.exe

O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU…\Run: [MicroSoft Legal Syst3m32] Syst3m32.exe

O4 - HKCU…\Run: [Gadu-Gadu] “D:\Program Files\Gadu-Gadu\gg.exe” /tray

O4 - HKCU…\RunOnce: [MicroSoft Legal Syst3m32] Syst3m32.exe

O9 - Extra button: Statystyki dla ochrony WWW - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra ‘Tools’ menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O17 - HKLM\System\CCS\Services\Tcpip…{EFC7FDEF-DA2D-4610-980B-6DCD47105996}: NameServer = 217.30.129.149,217.30.137.200

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - “C:\PROGRA~1\MSNMES~1\msgrapp.dll” (file missing)

O20 - Winlogon Notify: klogon - C:\WINDOWS\System32\klogon.dll

O20 - Winlogon Notify: vtuttst - C:\WINDOWS\

O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" -r (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Windows Internet Connection Sharing Service (Windows Internet Connection Sharing) - Unknown owner - C:\WINDOWS\system32\dllcache\msfav32.exe

sebos_krk · 23 Grudzień 2007 21:53

Po pięciu formatach i zainstalowanym Kasperskim to nie uwierzę, że problem leży po stronie wirusów. Jakie są objawy?

mktos · 24 Grudzień 2007 11:07

Ja też bym nie uwierzył, ale wirusy są. Spójrz na tego loga:

Dwa nieistniejące BHO które są podejrzane:

O2 - BHO: (no name) - {2AE4005E-689F-4FB9-8C3D-D2B8B58AC072} - C:\WINDOWS\System32\vtuttst.dll (file missing)

O2 - BHO: (no name) - {6986F8C7-AD9C-4F2A-A0BD-71E993A67F94} - C:\WINDOWS\System32\xxwxw.dll (file missing)

Oraz jakieś coś, czego nawet w Google nie ma, a na moje oko wydaje się bardzo podejrzane:

O4 - HKLM\..\Run: [MicroSoft Legal Syst3m32] Syst3m32.exe

O4 - HKLM\..\RunServices: [MicroSoft Legal Syst3m32] Syst3m32.exe

O4 - HKLM\..\RunOnce: [MicroSoft Legal Syst3m32] Syst3m32.exe

O4 - HKCU\..\Run: [MicroSoft Legal Syst3m32] Syst3m32.exe

Do tego jeszcze w uruchomionych procesach jest ten syst3m32.exe oraz:

C:\WINDOWS\system32\dllcache\msfav32.exe

-> to jest robak (LoveBoom:Worm-a)

Monczkin · 24 Grudzień 2007 11:14

Proszę nazwać temat konkretnie i objąć loga znacznikami.

viewtopic.php?f=16&t=66889

viewtopic.php?f=16&t=36654

LostWorld · 24 Grudzień 2007 12:00

Trochę syfu masz.

Automaty :

Konfiguracja Seconfig XP

Pobierz WWDC

Wszystkie znaczki mają być na zielono (NetBIOS może być na żółto)

Użyj w trybie awaryjnym VundoFix + Trojan.Vundo Removal Tool + VirtumundoBeGone.

Pobierz narzędzie SDFix

*Klikamy 2 krotknie na ikonę SDFix.exe ,program wypakuje się domyślnie do lokalizacji C:\ SDFix

*Wchodzimy do trybu awaryjnego z obsługą sieci:

>>>>>> Jak wejść do trybu awaryjnego z obsługą sieci?

*F8 podczas bootowania systemu.

*Używamy narzędzia BootSafe.exe zaznaczamy opcje Safe Mode- Networking i klikamy reboot

*Gdy już jesteśmy w trybie awaryjnym,wchodzimy do folderu SDFix i uruchamiamy narzędzie klikająć

2-krotnie na plik RunThis.bat lewym przyciskiem myszy.

*Wciskamy Y co uruchomi proces usuwania

*Kiedy proces usuwania się zakończy wciskamy dowolny klawisz>>nastąpi restart.

*Po restarcie SDFix dokończy proces usuwania,kiedy w oknie narzędzia SDFix pojawi się napis Finished

klikamy dowolny klawisz,narzędzie zakończy swoją pracę,na pulpicie załadują się ikony.

*Wchodzimy do folderu SDFix i kopiujemy zawartość pliku tekstowego Report.txt i wklejamy go na forum

Daj log z Combofix

Opis użycia ComboFix jest na tej stronie z linku.

Log może być długi, więc zapisz go sobie gdzieś, a potem wklej na http://wklej.org/, a tu daj tylko link.

elster · 29 Grudzień 2007 08:10

Po zainstalowniu kasperskiego troche sie uspokoiło.

Cały czas przy starcie kompa uruchamia sie aplikacja cp.exe ? nie wiem co to jest kaspersky blokuje to i pózniej moge to usunąć ale przy następnym uruchomieniu pojawia sie znowu.Jeżeli chodzi o akcje z SDFix i Combo nie mam na tyle doświadczenia i mogę coś namieszać

Gutek · 29 Grudzień 2007 15:31

Pobierz program SDFix

elster · 30 Grudzień 2007 12:36

http://up.wklej.org/download.php?id=98a … c5e56b9d8c

SDFix: Version 1.120


Run by Administrator on 2007-12-30 at 13:05


Microsoft Windows XP [Wersja 5.1.2600]


Running From: C:\SDFix


Safe Mode:

Checking Services: 


Name:

runtime

Windows Internet Connection Sharing


Path:

\??\C:\WINDOWS\System32\drivers\runtime.sys 

"C:\WINDOWS\system32\dllcache\msfav32.exe" 


runtime - Deleted

Windows Internet Connection Sharing - Deleted




Restoring Windows Registry Values

Restoring Windows Default Hosts File


Rebooting...


Service xpdx - Deleted after Reboot


Normal Mode:

Checking Files: 


Trojan Files Found:


C:\WINDOWS\system32\8_exception.nls - Deleted

C:\WINDOWS\system32\dllcache\msfav32.exe - Deleted

C:\WINDOWS\system32\i - Deleted

C:\WINDOWS\system32\TFTP2972 - Deleted

C:\WINDOWS\system32\TFTP4172 - Deleted

C:\WINDOWS\Temp\removalfile.bat - Deleted

C:\WINDOWS\system32\xpdx.sys - Deleted




Folder C:\Program Files\Helper - Removed


Removing Temp Files...


ADS Check:


C:\WINDOWS

No streams found. 


C:\WINDOWS\system32

No streams found. 


C:\WINDOWS\system32\svchost.exe

No streams found.


C:\WINDOWS\system32\ntoskrnl.exe

No streams found.




                                 Final Check:


catchme 0.3.1333.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2007-12-30 13:08:52

Windows 5.1.2600 NTFS


scanning hidden processes ...


IPC error: 2 Nie można odnaleźć określonego pliku.

scanning hidden services & system hive ...


scanning hidden registry entries ...


[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Favorites\A\1\5\1c]

"Order"=hex:08,00,00,00,02,00,00,00,b8,01,00,00,01,00,00,00,04,00,00,00,8c,..


scanning hidden files ...


scan completed successfully

hidden processes: 0

hidden services: 0

hidden files: 0



Remaining Services:

------------------




Authorized Application Key Export:


[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

"C:\\WINDOWS\\System32\\winamp.exe"="C:\\WINDOWS\\System32\\winamp.exe:*:Enabled:Winamp Agent"

"C:\\WINDOWS\\System32\\upds.exe"="C:\\WINDOWS\\System32\\upds.exe:*:Enabled:Windows System Update Tools"


Remaining Files:

---------------


File Backups: - C:\SDFix\backups\backups.zip


Files with Hidden Attributes:



Finished!

Gutek · 30 Grudzień 2007 13:50

Wklej do Notatnika:

Folder::

C:\WINDOWS\system32\i


Driver::

Xbe60

>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku –>

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: ** Qoobox**.

Po tym nowy log z Combo