SpyVampire

Proszę o sprawdzenie loga, które logi mam wywalić? Jakiś syf SpyVampire mam na kompie po tym jak moja siostra buszowała po necie…

F I X W A R E O U T

Masz ukraińską infekcję czyli Rootkit “Windows Security Center”.

Użyj FixWareout (post nr 4).

Po jego użyciu może zajść potrzeba ustawiania od nowa DNS Twojego dostawcy internetowego.

Potem te w/w wpisy sfiksuj w Hijacku:

>>Hijack>>scan(Do a system scan only)>>zaznacz je >> Fix checked. (tylko się nie pomyl przy “017”).

Następnie ściągnij Combo** Fix**.

Wklej do Notatnika :

File::

C:\Program Files\SpyVampire\SpyVampire.exe


Folder::

C:\Program Files\SpyVampire

>>Plik>>Zapisz jako… >>> ComboFix-Do (najwygodniej będzie,

jeśli zapiszesz w takiej lokalizacji, by ikonka ComboFix-Do znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik ComboFix-Do.txt na plik ComboFix.exe

(czyli ikonkę ComboFix-Do.txt na ikonkę ComboFix.exe )

– tak jak na tym obrazku -->http://i12.tinypic.com/4l761r5.gif

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER)

Po restarcie usuń ręcznie folder C: ** Qoobox**.

Czy to sam ustawiałeś?

Potem daj tu:

  1. raport z C:\Fixwareout Report.txt

  2. log z Hijacka

  3. log z ComboFixa

INSTRUKCJA URUCHOMIENIA:

  1. Trzeba zamknąć wszystkie otwarte okna i programy.

  2. ComboFix uruchamia się przez dwuklik na ikonkę ComboFix.exe

  3. pojawi się napis please wait - więc czekać

  4. pojawi się napis the process cannot access the file because it is being users by another process - dalej czekać

  5. pojawi się napis na dole okienka type 1 to continue, or 2 to abort. _ - trzeba wpisać 1 i nacisnąć ENTER

  6. pojawi się napis: Scanning for infectes files…

Shouldn,t take more than 10minutes - czekać

  1. W czasie skanowania nie wolno nic robić, nawet poruszać myszką.

  2. Po skończeniu skanowania pojawi się log. Jeśli się nie pojawi na ekranie, to można go znaleźć na C:\ComboFix.txt

  3. Log może być długi, więc zapisz go sobie gdzieś, a potem wklej na http://wklej.org/, a w poście daj tylko link.

.

Proszę…

Fixwareout

Fixwareout 

Last edited 1/1/2006

Post this report in the forums please 

...

Prerun check

»»»»» HKLM run and Winlogon System values

C:\WINDOWS\system32\cslnd.exe will be moved to C:\WINDOWS\temp\cslnd.ren at reboot.

»»»»» System restarted

...

Reg Entries that were deleted 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\0mdm

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\1mdm

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\2mdm

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\3mdm

...

Random Runs removed from HKLM 

...


PLEASE NOTE, There WILL be LEGITIMATE FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.


»»»»» Searching by size/names... 


»»»»» 

Search five digit cs, dm kd and jb files.

This WILL/CAN also list Legit Files, Submit them at Virustotal

C:\WINDOWS\SYSTEM32\CSIVY.EXE 52 807 2007-03-15     

C:\WINDOWS\SYSTEM32\DMIRG.EXE 57 941 2004-08-04


Other suspects.

C:\WINDOWS\system32\{02A51FCD-9EAA-4550-95C1-C563EB781576}.exe Deleted

C:\WINDOWS\system32\{25D9A089-32A3-4C7F-8A6D-572A4337DBFD}.exe Deleted


»»»»» Misc files. 


»»»»» Checking for older varients covered by the Rem3 tool.


»»»»» Postrun check 

»»»»» HKLM run 

»»»»» Winlogon System value

"system"=""

»»»»»

HijackThis

Logfile of HijackThis v1.99.1

Scan saved at 23:44:49, on 2007-07-25

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Atheros\ACU.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe

C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\acs.exe

C:\Program Files\Common Files\LightScribe\LSSrvc.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Mozilla Firefox\firefox.exe

D:\DOWNLOADS\Programy do sprawdzania logów\hijackthis\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL

O4 - HKLM\..\Run: [Resume copy] copyfstq.exe /startup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [ACU] "C:\Program Files\Atheros\ACU.exe" -nogui

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: KODAK Software Updater.lnk = C:\Program Files\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe

O4 - Global Startup: Oprogramowanie Kodak EasyShare.lnk = C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Ściągnij przy pomocy FlashGet'a - C:\Program Files\FlashGet\jc_link.htm

O8 - Extra context menu item: Ściągnij wszystko przy pomocy FlashGet'a - C:\Program Files\FlashGet\jc_all.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by24fd.bay24.hotmail.msn.com/resources/MsnPUpld.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{4C3C4470-7FFD-48C0-96AC-48FC3B74C921}: NameServer = 85.255.114.87 85.255.112.62

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: Usługa konfiguracji Atheros (ACS) - Atheros - C:\WINDOWS\system32\acs.exe

O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

ComboFix

http://wklej.org/id/592a7627b0

Jeszcze to nie sfiksowane:

>>Hijack>>scan(Do a system scan only)>>zaznacz go >> Fix checked.

Wydaje mi się, że raport z Fixwareout nie jest cały - przeważnie w dolnej części raportu jest podany jeden plik, (o rozszerzeniu *.ren ), którego Fixwareout nie jest w stanie usunąć i trzeba go usuwać np. ręcznie.

>>Start>>uruchom>>wybierz (lub wpisz) REGEDIT >>

>>(+)[HKEY_LOCAL_MACHINE

>>(+)software

>>(+)microsoft

>>(+)windows NT

>>(+)currentversion

>>(+)svchost

>zaznacz “Usnsvcusnsvc”

>prawoklik

>>usuń

Nic więcej podejrzanego nie widzę.

.

Dzięki serdeczne za pomoc.

O17 - HKLM\System\CCS\Services\Tcpip\..\{4C3C4470-7FFD-48C0-96AC-48FC3B74C921}: NameServer = 85.255.114.87 85.255.112.62

Co do tego loga z Hijack to po jego usunięciu nie wyświetlają mi się strony, muszę zrestartować połączenie internetowe i dopiero wtedy wszystko działa, ale ponownie Hijack ten log pokazuje - nie wiem o co chodzi

hmm dziwne bo skopiowałem cały raport z Fixwareout i tylko tyle tego jest w moim raporcie.

Poczytaj:

:arrow: Zainfekowane DNS