jar0
(Jar007)
20 Październik 2006 16:06
#1
Trojany atakują np.dlh9jkdq6.exe, niedawno zamieszczalem loga z tym samym problemem, te same typy trojanow. Moze jakies sugestie co zrobic by nie miec z nimi wiecej do czynienia.
Logfile of HijackThis v1.99.1 Scan saved at 18:00:51, on 2006-10-20 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\savedump.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Sygate\SPF\smc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\System32\wdfmgr.exe C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\WINDOWS\System32\atiptaxx.exe C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe C:\WINDOWS\System32\kernels8.exe C:\Windows\xpupdate.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\WINDOWS\System32\wbem\wmiprvse.exe C:\WINDOWS\System32\dlh9jkdq6.exe C:\WINDOWS\System32\dlh9jkdq7.exe C:\WINDOWS\System32\dlh9jkdq6.exe C:\WINDOWS\System32\dlh9jkdq7.exe C:\WINDOWS\System32\WgaTray.exe C:\WINDOWS\System32\wuauclt.exe C:\Documents and Settings\Mirek Dz\Pulpit\pliki\infekcje\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: IeCatch5 Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\PROGRA~1\FlashGet\jccatch.dll O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM…\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM…\Run: [AtiPTA] atiptaxx.exe O4 - HKLM…\Run: [sunJavaUpdateSched] “C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe” O4 - HKLM…\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe O4 - HKLM…\Run: [smcService] “C:\PROGRA~1\Sygate\SPF\smc.exe” -startgui O4 - HKLM…\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM…\Run: [system] C:\WINDOWS\System32\kernels8.exe O4 - HKLM…\RunServices: [systemTools] C:\WINDOWS\System32\kernels8.exe O4 - HKCU…\Run: [Windows update loader] C:\Windows\xpupdate.exe O8 - Extra context menu item: Download All by FlashGet - C:\PROGRA~1\FlashGet\jc_all.htm O8 - Extra context menu item: Download using FlashGet - C:\PROGRA~1\FlashGet\jc_link.htm O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra ‘Tools’ menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O16 - DPF: {18506D80-9B80-11D4-82C2-0080C8D7ED4A} (GameDesire Roulette) - http://67.15.101.3/g_bin/pl/roulette_2_0_0_21.cab O16 - DPF: {2B6A3140-7073-11D5-8F79-0080C8D7EC11} (GameDesire Proxy) - http://gryonline.wp.pl/g_bin/ginuser_pl_2_0_0_3.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda … 5843403959 O16 - DPF: {83AFB5CA-ED35-11D4-A452-0080C8D85045} (GameDesire Poker Games) - http://67.15.101.3/g_bin/pl/poker_2_0_0_43.cab O16 - DPF: {A7196C8E-35A5-4FF0-9E46-E28918B5CAF6} (GameDesire Domino) - http://67.15.101.3/g_bin/pl/domino_2_0_0_28.cab O16 - DPF: {A9ED6AA2-D9D4-4D71-9586-E293E2E3580B} (GameDesire Marbles&Diamonds&Runes) - http://67.15.101.3/g_bin/pl/marbles_2_0_0_27.cab O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C1} (GameDesire Pool 8) - http://67.15.101.3/g_bin/pl/billard8_2_0_0_28.cab O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C2} (GameDesire Pool 9) - http://67.15.101.3/g_bin/pl/billard9_2_0_0_28.cab O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C4} (GameDesire Pool Training) - http://67.15.101.3/g_bin/pl/billardt_2_0_0_28.cab O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C6} (GameDesire Pool 8UK) - http://67.15.101.3/g_bin/pl/billard8UK_2_0_0_28.cab O17 - HKLM\System\CCS\Services\Tcpip…{C5BBADB5-DDAB-4985-BD0D-0B2A0D14EA9C}: NameServer = 85.255.116.136,85.255.112.13 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.136 85.255.112.13 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.136 85.255.112.13 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.136 85.255.112.13 O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe O23 - Service: Webroot Spy Sweeper Engine (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
dzieki
Krzychuu
(Krzychuu)
20 Październik 2006 16:12
#2
Polecam zainstalować SP 2 stąd.
jar0
(Jar007)
20 Październik 2006 16:38
#3
W porządku tym razem tak zrobie i nie bede tego odkladac, ale wciaz prosilbym o sprawdzenie loga.
Bieniol
(Bbieniol)
20 Październik 2006 16:40
#4
Użyj narzędzia -> SmitFraudFix (w trybie awaryjnym z opcji 2 )
W trybie awaryjnym z wyłączonym przywracaniem systemu usuwasz (wpisy Hijackiem, pliki/foldery na czerwono ręcznie z dysku):
C:\WINDOWS\System32\dlh9jkdq6.exe C:\WINDOWS\System32\dlh9jkdq7.exe C:\WINDOWS\System32\dlh9jkdq6.exe C:\WINDOWS\System32\dlh9jkdq7.exe O4 - HKLM…\Run: [system] C:\WINDOWS\System32\kernels8.exe O4 - HKLM…\RunServices: [systemTools] C:\WINDOWS\System32\kernels8.exe O4 - HKCU…\Run: [Windows update loader] C:\Windows\xpupdate.exe O17 - HKLM\System\CCS\Services\Tcpip…{C5BBADB5-DDAB-4985-BD0D-0B2A0D14EA9C}: NameServer = 85.255.116.136,85.255.112.13 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.136 85.255.112.13 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.136 85.255.112.13 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.136 85.255.112.13
Z racji obecności w logu ukraińskich DNSów użyj narzędzia FixWareOut
Po zabiegach nowy log z Hijacka + log z Silent Runners
jar0
(Jar007)
20 Październik 2006 17:05
#5
Dzięki jutro zamieszcze tego loga.
Gutek
(Gutek)
20 Październik 2006 18:15
#6
Zastosuj się do tego Tematu i zmień tytuł tematu na konkretny inaczej KOSZ
Pozdrawiam Gutek2222