Prosze o sprawdzenie loga..ponizej opisze problem

Dla specjalistów Bezpieczeństwo
#1

problem polega na tym, ze mam nieuzasadnione lagi na kompie (neo 1mb).jeszcze wczoraj wszystko bylo ok, ale gdy dzisiaj z ranca wlaczylem komputer to nagle wszystko sie posypalo. prosze sprawdzic loga:

Logfile of HijackThis v1.99.1

Scan saved at 16:26:09, on 2007-04-10

Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\system32\winlogon.exe

D:\WINDOWS\system32\services.exe

D:\WINDOWS\system32\lsass.exe

D:\WINDOWS\System32\Ati2evxx.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\system32\spoolsv.exe

D:\WINDOWS\system32\Ati2evxx.exe

D:\WINDOWS\Explorer.EXE

D:\Program Files\Java\jre1.5.0_11\bin\jusched.exe

D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

D:\Program Files\AutoConnect\AutoConnect.exe

D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

D:\Program Files\Alwil Software\Avast4\ashServ.exe

D:\WINDOWS\system\regsrvr2.exe

D:\Program Files\Alwil Software\Avast4\ashWebSv.exe

D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

D:\PROGRA~1\MOZILL~1\FIREFOX.EXE

D:\Documents and Settings\Maq\Pulpit\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.bearshare.com/sidebar.html?src=ssb

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.bearshare.com/sidebar.html?src=ssb

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neostrada.pl

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = neostrada tp

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - D:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 5.0 CE\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O2 - BHO: XBTP02634 - {F97DA966-F09D-4cab-BF29-75A0026986EA} - D:\PROGRA~1\BEARSH~1\BEARSH~1\MediaBar.dll

O3 - Toolbar: BearShare MediaBar - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - D:\Program Files\BearShare applications\BearShare MediaBar\MediaBar.dll

O3 - Toolbar: (no name) - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - (no file)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\system32\msdxm.ocx

O4 - HKLM…\Run: [AtiPTA] atiptaxx.exe

O4 - HKLM…\Run: [sunJavaUpdateSched] “D:\Program Files\Java\jre1.5.0_11\bin\jusched.exe”

O4 - HKLM…\Run: [Microsoft Security Monitor Process] mmp.exe

O4 - HKLM…\Run: [internet Security Service] msq32.exe

O4 - HKLM…\Run: [Windows Logon Application] D:\WINDOWS\System32\logon.exe

O4 - HKLM…\Run: [services] D:\WINDOWS\System32\slvcpsk.exe

O4 - HKLM…\Run: [symantec Antivirus professional] flushdns.exe

O4 - HKLM…\Run: [Microsoft Office Monitor] D:\WINDOWS\System32\alg2k.exe

O4 - HKLM…\Run: [Nod322 Service] iexplo0r.exe

O4 - HKLM…\Run: [WinampAgent] “D:\Program Files\Winamp3\winampa.exe”

O4 - HKLM…\Run: [kX Mixer] D:\WINDOWS\System32\kxmixer.exe --startup

O4 - HKLM…\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM…\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM…\RunServices: [Microsoft Security Monitor Process] mmp.exe

O4 - HKLM…\RunServices: [internet Security Service] msq32.exe

O4 - HKLM…\RunServices: [symantec Antivirus professional] flushdns.exe

O4 - HKLM…\RunServices: [Nod322 Service] iexplo0r.exe

O4 - HKCU…\Run: [AutoConnect] D:\Program Files\AutoConnect\AutoConnect.exe

O4 - HKCU…\Run: [Konnekt] “D:\Program Files\Konnekt\konnekt.exe” /autostart

O4 - HKCU…\Run: [internet Security Service] msq32.exe

O4 - HKCU…\Run: [Microsoft Office Monitor] D:\WINDOWS\System32\alg2k.exe

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm

O9 - Extra ‘Tools’ menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm

O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab

O17 - HKLM\System\CCS\Services\Tcpip…{67D9D169-4934-4606-942C-C3499B0C2A51}: NameServer = 194.204.159.1 217.98.63.164

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - Unknown owner - D:\WINDOWS\System32\FTRTSVC.exe (file missing)

O23 - Service: Network helper Service (MSDisk) - Unknown owner - D:\WINDOWS\System32\irdvxc.exe" /service (file missing)

O23 - Service: regsrvr2.exe - Unknown owner - D:\WINDOWS\system\regsrvr2.exe

O23 - Service: Windows User Mode Driver Framework (UMWdf) - Unknown owner - D:\WINDOWS\System32\wdfmgr.exe (file missing)

O23 - Service: ľ2:ˇ/

wů:Gź·siÖ (€?

) - Unknown owner - D:\WINDOWS\crsss.exe (file missing)

[quote][/quote]
#2

Użyj Windows Worms Doors Cleanera zmień znaczki z disable na enable (wszystkie znaczki maja być na zielono, jeżeli któryś z nich będzie na żółto to go zostaw). Po użyciu narzędzia wymagany jest restart.

Start => Uruchom => wpisz services.msc => zatrzymaj i wyłącz usługę Network helper Service i regsrvr2.exe

W trybie awaryjnym z wyłączonym przywracaniem systemu usuń:

Folder i pliki usuń ręcznie w trybie awaryjnym natomiast wpisy HijackThis.

Pobierz Gmer’a.

W zakładce Usługi znajdź usługę odwołującą się do pliku D:\WINDOWS\crsss.exe i mającą dziwną nazwę w formacie Unicode. Kliknij na nią prawym klawiszem myszki >>> wybierz Usuń >>> uruchom ponownie komputer.

Po wykonaniu pokaż log z SilentRunners, ComboFix (nie pomyl z ComboScan) plus dwa logi z Gmer’a wykonane przy takich ustawieniach:

  1. Zakładka Rootkit >>> zaznaczone wszystko oprócz Pokazuj wszystko >>> kliknij Szukaj >>> czekaj cierpliwie aż skończy >>> Kopiuj >>> wklej do posta

  2. Zakładka Rootkit >>> zaznaczone tylko Usługi i Pokazuj wszystko >>> kliknij Szukaj >>> czekaj cierpliwie aż skończy >>> Kopiuj >>> wklej do posta

Jeśli wszystkie logi nie zmieszczą się bezpośrednio do posta, to umieść je w jakimś serwisie hostingowym jako pliki *.txt, a tu tylko zlinkuj.

#3

Pousuwałem te wpisy, problem nie przeszedł, niezrobiłem punktu:

(w trybie awaryjnym oczywiscie robilem)

“W zakładce Usługi znajdź usługę odwołującą się do pliku D:\WINDOWS\crsss.exe i mającą dziwną nazwę w formacie Unicode. Kliknij na nią prawym klawiszem myszki >>> wybierz Usuń >>> uruchom ponownie komputer. " ponieważ się nie dało (pisało że niemozna usunąć bla bla bla)”

Ponadto mialem maly problem z rozszyfrowaniem ktore pliki mam usuwać ręcznie a ktore hijack this

Oto logi:

Gmer1:

http://rapidshare.com/files/25289948/Gmer1.txt.html

Gmer2

http://rapidshare.com/files/25289475/Gmer2.txt.html

Silent runner:

http://rapidshare.com/files/25289092/Si … r.txt.html

Combofix:

http://rapidshare.com/files/25290164/ComboFix.txt.html

#4

Aduś

Proszę przeczytać tematy przyklejone w tym dziale i poprawić posta.JNJN

#5

Log z Silenta jest źle wykonany. Na link do silenta należy kliknąć prawym klawiszem myszki >>> wybrać opcję Zapisz element docelowy jako >>> wskazać miejsce zapisu silenta (dowolne) >>> kliknąć zapisz.

W Gmerze:

  • w zakładce Procesy kliknij Gmer awaryjny. Komputer się zrestartuje i zostanie samo okienko Gmer’a

  • w zakładce Procesy kliknij Pliki i usuń (jeśli będą)

  • w zakładce Usługi skasuj usługi MSDisk, regsrvr2.exe oraz “??”, która odnosi się do pliku D:\WINDOWS\crsss.exe

  • zrestartuj komputer przyciskiem na obudowie

  • po resecie otwórz Gmer’a i w zakładce CMD z zaznaczoną opcją REGEDIT.EXE wklej:

  • kliknij Uruchom i reset.

Po wykonaniu wklej nowy log z hijacka, silenta, combofixa plus dwa logi z Gmer’a.