Scricon.exe i ataki w postaci skanowania portów

romangos · 25 Sierpień 2007 21:05

Proszę o pomoc

Avast wykrywa mi że plik scricon.exe to koń trojański. Boję się go usunąć bo nie wiem czy to nie przypadkiem plik systemowy. Wczoraj był robiony format po atakach koni trojańskich na pliki systemowe. Dodatkowe pojawiają się ataki w postaci skanowania portów. Teraz jeszcze pojawia się komunikat włóż dysk do stacji G:

Mam avasta i outpost firewall

Oto mój log

Logfile of HijackThis v1.99.1

Scan saved at 22:36:48, on 2007-08-25

Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

D:\Programy\Avast4\aswUpdSv.exe

D:\Programy\Avast4\ashServ.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\System32\wbem\scricon.exe

D:\Programiki\DAEMON Tools 4.03\DAEMON Tools\daemon.exe

D:\Programy\Avast4\ashDisp.exe

C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe

D:\Programy\Outpost Firewall\Outpost.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\WINDOWS\system32\spoolsv.exe

D:\Programy\Avast4\ashWebSv.exe

D:\Programy\Avast4\ashMaiSv.exe

C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe

C:\WINDOWS\explorer.exe

C:\Program Files\Netia\Net\netianet.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

D:\Programiki\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM…\Run: [Auto File System Conversion Utility] C:\WINDOWS\System32\wbem\scricon.exe

O4 - HKLM…\Run: [Microsft Security Monitor Process] mssmpp.exe

O4 - HKLM…\Run: [Application Layer Gateway Service] C:\WINDOWS\System32\algs.exe

O4 - HKLM…\Run: [CARPService] carpserv.exe

O4 - HKLM…\Run: [DAEMON Tools] “D:\Programiki\DAEMON Tools 4.03\DAEMON Tools\daemon.exe” -lang 1045

O4 - HKLM…\Run: [avast!] D:\Programy\Avast4\ashDisp.exe

O4 - HKLM…\Run: [speedTouch USB Diagnostics] “C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe” /icon

O4 - HKLM…\Run: [OutpostFeedBack] D:\Programy\Outpost Firewall\Outpost Firewall\feedback.exe /dump:os_startup

O4 - HKLM…\Run: [Outpost Firewall] D:\Programy\Outpost Firewall\outpost.exe /waitservice

O4 - HKLM…\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe

O4 - HKLM…\RunServices: [Auto File System Conversion Utility] C:\WINDOWS\System32\wbem\scricon.exe

O4 - HKLM…\RunServices: [Microsft Security Monitor Process] mssmpp.exe

O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU…\Run: [NETIANET] C:\Program Files\Netia\Net\netianet.exe

O4 - HKCU…\Run: [Auto File System Conversion Utility] C:\WINDOWS\System32\wbem\scricon.exe

O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background

O4 - HKCU…\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] “C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe”

O4 - HKCU…\RunServices: [Auto File System Conversion Utility] C:\WINDOWS\System32\wbem\scricon.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab

O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - http://www.nanoscan.com/cabs/nanoinst.cab

O20 - AppInit_DLLs: D:\Programy\OUTPOS~1\OUTPOS~1\wl_hook.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Programy\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: avast! Antivirus - ALWIL Software - D:\Programy\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - D:\Programy\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - D:\Programy\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: DirectX DLL register (dxregsvc) - Unknown owner - C:\WINDOWS\System32\dxdllreg.exe (file missing)

O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - D:\Programy\Outpost Firewall\Outpost Firewall…\outpost.exe

Proszę o pomoc bo już mnie krew zalewa …

Jaki programy mogą to usunąć ?

Monczkin · 25 Sierpień 2007 21:09

Proszę objąć loga znacznikami quote

jessica · 25 Sierpień 2007 22:07

Te w/w wpisy sfiksuj w Hijacku:

>>Hijack>>scan(Do a system scan only)>>zaznacz je >> Fix checked.

Pobierz i użyj SDFix

Działa tylko w Trybie Awaryjnym!

Pokaż Report.txt znajdujący się w folderze SDFix.

Potem ściągnij ComboFix (na dole tej strony z linku) -

Wklej do Notatnika :

File::

C:\WINDOWS\System32\wbem\scricon.exe


Registry::

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]

"Auto File System Conversion Utility"=-

>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie,

jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

(czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku -->http://img.wklej.org/images/88953CFScript-createdbyMiekiemoes.gif

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: ** Qoobox**.

Daj tu raport z SDFix oraz log z ComboFix.

Log wklej na http://wklej.org/, a w poście daj tylko link.

jessi