Proszę o sprawdzenie loga, które logi mam wywalić? Jakiś syf SpyVampire mam na kompie po tym jak moja siostra buszowała po necie…
F I X W A R E O U T
Masz ukraińską infekcję czyli Rootkit “Windows Security Center”.
Użyj FixWareout (post nr 4).
Po jego użyciu może zajść potrzeba ustawiania od nowa DNS Twojego dostawcy internetowego.
Potem te w/w wpisy sfiksuj w Hijacku:
>>Hijack>>scan(Do a system scan only)>>zaznacz je >> Fix checked. (tylko się nie pomyl przy “017”).
Następnie ściągnij Combo** Fix**.
Wklej do Notatnika :
File::
C:\Program Files\SpyVampire\SpyVampire.exe
Folder::
C:\Program Files\SpyVampire
>>Plik>>Zapisz jako… >>> ComboFix-Do (najwygodniej będzie,
jeśli zapiszesz w takiej lokalizacji, by ikonka ComboFix-Do znalazła się obok ikonki ComboFix.exe )
Przeciągnij i upuść plik ComboFix-Do.txt na plik ComboFix.exe
(czyli ikonkę ComboFix-Do.txt na ikonkę ComboFix.exe )
– tak jak na tym obrazku -->http://i12.tinypic.com/4l761r5.gif
(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER)
Po restarcie usuń ręcznie folder C: ** Qoobox**.
Czy to sam ustawiałeś?
Potem daj tu:
-
raport z C:\Fixwareout Report.txt
-
log z Hijacka
-
log z ComboFixa
INSTRUKCJA URUCHOMIENIA:
-
Trzeba zamknąć wszystkie otwarte okna i programy.
-
ComboFix uruchamia się przez dwuklik na ikonkę ComboFix.exe
-
pojawi się napis please wait - więc czekać
-
pojawi się napis the process cannot access the file because it is being users by another process - dalej czekać
-
pojawi się napis na dole okienka type 1 to continue, or 2 to abort. _ - trzeba wpisać 1 i nacisnąć ENTER
-
pojawi się napis: Scanning for infectes files…
Shouldn,t take more than 10minutes - czekać
-
W czasie skanowania nie wolno nic robić, nawet poruszać myszką.
-
Po skończeniu skanowania pojawi się log. Jeśli się nie pojawi na ekranie, to można go znaleźć na C:\ComboFix.txt
-
Log może być długi, więc zapisz go sobie gdzieś, a potem wklej na http://wklej.org/, a w poście daj tylko link.
.
Proszę…
Fixwareout
Fixwareout
Last edited 1/1/2006
Post this report in the forums please
...
Prerun check
»»»»» HKLM run and Winlogon System values
C:\WINDOWS\system32\cslnd.exe will be moved to C:\WINDOWS\temp\cslnd.ren at reboot.
»»»»» System restarted
...
Reg Entries that were deleted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\0mdm
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\1mdm
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\2mdm
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\3mdm
...
Random Runs removed from HKLM
...
PLEASE NOTE, There WILL be LEGITIMATE FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
»»»»» Searching by size/names...
»»»»»
Search five digit cs, dm kd and jb files.
This WILL/CAN also list Legit Files, Submit them at Virustotal
C:\WINDOWS\SYSTEM32\CSIVY.EXE 52 807 2007-03-15
C:\WINDOWS\SYSTEM32\DMIRG.EXE 57 941 2004-08-04
Other suspects.
C:\WINDOWS\system32\{02A51FCD-9EAA-4550-95C1-C563EB781576}.exe Deleted
C:\WINDOWS\system32\{25D9A089-32A3-4C7F-8A6D-572A4337DBFD}.exe Deleted
»»»»» Misc files.
»»»»» Checking for older varients covered by the Rem3 tool.
»»»»» Postrun check
»»»»» HKLM run
»»»»» Winlogon System value
"system"=""
»»»»»
HijackThis
Logfile of HijackThis v1.99.1
Scan saved at 23:44:49, on 2007-07-25
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Atheros\ACU.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Gadu-Gadu\gg.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe
C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\acs.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
D:\DOWNLOADS\Programy do sprawdzania logów\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL
O4 - HKLM\..\Run: [Resume copy] copyfstq.exe /startup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ACU] "C:\Program Files\Atheros\ACU.exe" -nogui
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: KODAK Software Updater.lnk = C:\Program Files\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe
O4 - Global Startup: Oprogramowanie Kodak EasyShare.lnk = C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Ściągnij przy pomocy FlashGet'a - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: Ściągnij wszystko przy pomocy FlashGet'a - C:\Program Files\FlashGet\jc_all.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by24fd.bay24.hotmail.msn.com/resources/MsnPUpld.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4C3C4470-7FFD-48C0-96AC-48FC3B74C921}: NameServer = 85.255.114.87 85.255.112.62
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Usługa konfiguracji Atheros (ACS) - Atheros - C:\WINDOWS\system32\acs.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
ComboFix
Jeszcze to nie sfiksowane:
>>Hijack>>scan(Do a system scan only)>>zaznacz go >> Fix checked.
Wydaje mi się, że raport z Fixwareout nie jest cały - przeważnie w dolnej części raportu jest podany jeden plik, (o rozszerzeniu *.ren ), którego Fixwareout nie jest w stanie usunąć i trzeba go usuwać np. ręcznie.
>>Start>>uruchom>>wybierz (lub wpisz) REGEDIT >>
>>(+)[HKEY_LOCAL_MACHINE
>>(+)software
>>(+)microsoft
>>(+)windows NT
>>(+)currentversion
>>(+)svchost
>zaznacz “Usnsvcusnsvc”
>prawoklik
>>usuń
Nic więcej podejrzanego nie widzę.
.
Dzięki serdeczne za pomoc.
O17 - HKLM\System\CCS\Services\Tcpip\..\{4C3C4470-7FFD-48C0-96AC-48FC3B74C921}: NameServer = 85.255.114.87 85.255.112.62
Co do tego loga z Hijack to po jego usunięciu nie wyświetlają mi się strony, muszę zrestartować połączenie internetowe i dopiero wtedy wszystko działa, ale ponownie Hijack ten log pokazuje - nie wiem o co chodzi
hmm dziwne bo skopiowałem cały raport z Fixwareout i tylko tyle tego jest w moim raporcie.