Prosze o sprawdzenie loga


(system) #1

Prosze o rade, po raz kolejny mam zainfekowany plik Winamp.exe trojanem. Poprzednio przy włączonym Nod32, dopiero Kasperski sobie poradził z trojanami, teraz Kasperski "poległ" a skan Nodem dał pozytywny rezultat:

Czas Moduł Obiekt Nazwa Wirus Czynność Użytkownik Info

2005-11-01 03:32:21 AMON zbiór C:\WINDOWS\system32\winamp.exe Win32/Poebot trojan ZARZĄDZANIE NT\SYSTEM

2005-11-01 03:32:10 AMON zbiór C:\WINDOWS\system32\winamp.exe Win32/Poebot trojan ZARZĄDZANIE NT\SYSTEM

2005-11-01 02:57:40 AMON zbiór C:\WINDOWS\system32\winamp.exe Win32/Poebot trojan ZARZĄDZANIE NT\SYSTEM

2005-11-01 02:57:30 AMON zbiór C:\WINDOWS\system32\winamp.exe Win32/Poebot trojan ZARZĄDZANIE NT\SYSTEM

2005-10-30 22:18:14 AMON zbiór C:\WINDOWS\system32\winamp.exe Win32/Poebot trojan ZARZĄDZANIE NT\SYSTEM

2005-10-30 03:31:35 AMON zbiór C:\WINDOWS\system32\winamp.exe Win32/Poebot trojan ZARZĄDZANIE NT\SYSTEM

2005-10-30 03:31:24 AMON zbiór C:\WINDOWS\system32\winamp.exe Win32/Poebot trojan ZARZĄDZANIE NT\SYSTEM

2005-10-30 03:29:59 AMON zbiór C:\WINDOWS\SYSTEM32\WINAMP.EXE Win32/Poebot trojan ZARZĄDZANIE NT\SYSTEM

2005-10-30 03:29:49 AMON zbiór C:\WINDOWS\SYSTEM32\WINAMP.EXE Win32/Poebot trojan ZARZĄDZANIE NT\SYSTEM

2005-10-30 02:59:32 AMON zbiór C:\WINDOWS\system32\winamp.exe Win32/Poebot trojan ZARZĄDZANIE NT\SYSTEM

2005-10-30 02:23:22 IMON wiadomość (poczta) z: eBay Inc do: leliwazr@go2.pl z tematem eBay Inc EmaiI Verification - [%To_Email] [sat, 29 data Sat, 29 Oct 2005 08:11:58 -0600 HTML/Phishing.gen trojan ZARZĄDZANIE NT\SYSTEM

2005-10-29 20:32:58 AMON zbiór C:\WINDOWS\system32\winamp.exe Win32/Poebot trojan ZARZĄDZANIE NT\SYSTEM

2005-10-29 13:24:50 AMON zbiór C:\WINDOWS\system32\winamp.exe Win32/Poebot trojan ZARZĄDZANIE NT\SYSTEM

2005-10-22 00:19:07 IMON wiadomość (poczta) z: eBay do: lella@go2.pl z tematem eBay Inc: Important Fraud AIert data Sat, 15 Oct 2005 21:48:11 +0300 HTML/Phishing.gen trojan Zawiera zainfekowany zbiór ZENEK\Napoleon

2005-10-19 12:39:52 AMON zbiór C:\WINDOWS\system32\omsri.exe Win32/Poebot trojan usunięty ZARZĄDZANIE NT\SYSTEM

2005-10-19 12:39:30 AMON zbiór C:\WINDOWS\system32\Winregs9.exe Win32/Rbot trojan usunięty ZARZĄDZANIE NT\SYSTEM

2005-10-19 12:39:28 AMON zbiór C:\WINDOWS\system32\Winregs9.exe Win32/Rbot trojan usunięty ZARZĄDZANIE NT\SYSTEM

===============================

A oto skan z Hijack'a po wyleczeniu:

Logfile of HijackThis v1.99.1

Scan saved at 03:06:45, on 2005-11-02

Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

D:\Programy\Zainstalowane\Ochrona AV\NOD32\nod32krn.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program Files\AVerTV\QuickTV.exe

C:\Program Files\WLAN\WConfig\WConfig.exe

D:\PROGRAMY\ZAINST~1\PRZEGL~1\FIREFOX\FIREFOX.EXE

D:\Programy\Zainstalowane\Ochrona AV\NOD32\nod32kui.exe

D:\Programy\Zainstalowane\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\PCHealth\HelpCtr\System\panels\blank.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE

O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe

O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKLM\..\Run: [KAV50] "D:\Programy\Zainstalowane\Ochrona AV\KAV\kav.exe" -run -n PersonalPro -v 5.0.0.0

O4 - HKLM\..\RunServices: [Microsoft Update] msap.exe

O4 - HKCU\..\RunServices: [Updaterd] SVCHOSTE.EXE

O4 - Global Startup: QuickTV.lnk = C:\Program Files\AVerTV\QuickTV.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{738E5FCC-D486-4BC1-920D-EDDA94E0CB59}: NameServer = 192.168.8.254,194.204.159.1

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: KLBLMain - Unknown owner - D:\Programy\Zainstalowane\Ochrona AV\KAV\kavmm.exe" -run bl -n PersonalPro -v 5.0.0.0 -ttsr 10000000 (file missing)

O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - D:\Programy\Zainstalowane\Ochrona AV\NOD32\nod32krn.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

===============================

Jak ustrzec się przed tym paskudztwem? Dodam że poprzednio miałem firewalla "Kerio 422911" teraz mam trial: "zonealarm" v.6.0.667.0


(Gutek) #2

w trybie awaryjnym usuwasz recznie te wpisy

Użyj też Windows Worms Doors Cleanera zmień znaczki z disable na enable. Po użyciu tego narzędzia wymagany jest reset sysa.


(Kuz5) #3

lellum zakładaj własne tematy :?

Wydzielono z innego tematu

Uwaga: Jak wklejasz loga to obejmuj go znacznikiem (tagiem) CODE lub QUOTE

Proponuje poczytać TEN temat i zobacz jaka jest prośba do userów wklejających loga.


(system) #4

Dziękuję i przepraszam.