Strona banku wskazująca na wirus w komputerze


(Jplaga) #1

Tydzień temu wykryte i usunięte przez Kaspersky: Koń trojański Trojan-Downloader.Win32.Small.ems, Koń trojański Trojan-Downloader.JS.Psyme.fl . Dzisiaj wyłącvzały się strony podczas korzystani8a z internetu - program nic nie wykrył, a przy próbie wejścia na stronę banku - pojawiała się strona z rządaniem kodów - po rozmowie telefonicznej z bankiem prawie pewnik, że COŚ siedzi w komputerze. Proszę o pomoc.

Logi z hijtackthis:

Logfile of HijackThis v1.99.1

Scan saved at 23:27:05, on 2007-04-29

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\CTsvcCDA.EXE

C:\WINDOWS\system32\crypserv.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe

C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe

C:\Program Files\Ahead\InCD\InCD.exe

C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\OLYMPUS\OLYMPUS Master\Monitor.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\CursorXP\CursorXP.exe

C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe

C:\WINDOWS\System32\WgaTray.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Program Files\Java\jre1.5.0_10\bin\jucheck.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\DOCUME~1\Jola\USTAWI~1\Temp\Rar$EX00.562\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: AH IE BHO - {10384d0e-2bc1-48b6-844b-ad0e9e6d2511} - C:\Program Files\ZoomText 8.1\AHOI\ah_ie_bho.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"

O4 - HKLM\..\Run: [DeviceDiscovery] "C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe"

O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe"

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe

O4 - HKLM\..\Run: [OM_Monitor] "C:\Program Files\OLYMPUS\OLYMPUS Master\FirstStart.exe"

O4 - HKLM\..\Run: [SpywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"

O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [PDF Converter Registry Controller] "C:\Program Files\ScanSoft\PDF Converter\RegistryController.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [kav] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [OM_Monitor] C:\Program Files\OLYMPUS\OLYMPUS Master\Monitor.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Odkurzacz-MCD] C:\Program Files\Odkurzacz\odk_mcd.exe

O4 - HKCU\..\Run: [CursorXP] "C:\Program Files\CursorXP\CursorXP.exe" -s

O4 - HKCU\..\Run: [Creative Detector] C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe /R

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

O8 - Extra context menu item: Open PDF in Word - res://C:\Program Files\ScanSoft\PDF Converter\IEShellExt.dll /100

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra button: Ochrona WWW - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{664F370C-1220-4D01-94D8-4D0F5B2074A5}: NameServer = 192.168.1.1

O17 - HKLM\System\CCS\Services\Tcpip\..\{CCAFF892-9568-4E4B-95FA-30E129AF97CC}: NameServer = 192.168.1.1

O17 - HKLM\System\CCS\Services\Tcpip\..\{EC26F1CC-33B6-46FE-9378-A9D3C88F9CA3}: NameServer = 192.168.1.1

O20 - Winlogon Notify: klogon - C:\WINDOWS\System32\klogon.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Kaspersky Anti-Virus Home Edition 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE

O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe 


 [code]

Silentrunners

kod:

"Silent Runners.vbs", revision 49, http://www.silentrunners.org/Operating System: Windows XP Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "CTFMON.EXE" = "C:\WINDOWS\System32\ctfmon.exe" [MS] "OM_Monitor" = "C:\Program Files\OLYMPUS\OLYMPUS Master\Monitor.exe" ["OLYMPUS IMAGING CORP."] "MSMSGS" = ""C:\Program Files\Messenger\msmsgs.exe" /background" [MS] "Odkurzacz-MCD" = "C:\Program Files\Odkurzacz\odk_mcd.exe" ["Franmo Software"] "odk_mcd" = "(empty string)" [file not found] "CursorXP" = ""C:\Program Files\CursorXP\CursorXP.exe" -s" [" "] "Creative Detector" = "C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe /R" ["Creative Technology Ltd"] "swg" = "C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe" ["Google Inc."] HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "ATIPTA" = ""C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"" ["ATI Technologies, Inc."] "DeviceDiscovery" = ""C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe"" ["Hewlett-Packard"] "HP Software Update" = ""C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe"" [null data] "HPDJ Taskbar Utility" = "C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe" ["HP"] "OM_Monitor" = ""C:\Program Files\OLYMPUS\OLYMPUS Master\FirstStart.exe"" ["OLYMPUS IMAGING CORP."] "SpywareTerminator" = ""C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"" [file not found] "InCD" = "C:\Program Files\Ahead\InCD\InCD.exe" ["Copyright © ahead software gmbh and its licensors"] "PDF Converter Registry Controller" = ""C:\Program Files\ScanSoft\PDF Converter\RegistryController.exe"" ["ScanSoft, Inc."] "SunJavaUpdateSched" = "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe" ["Sun Microsystems, Inc."] "NeroCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"] "kav" = ""C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"" ["Kaspersky Lab"] "(Default)" = "(empty string)" [file not found] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}(Default) = (no title provided) -> {HKLM...CLSID} = "AcroIEHlprObj Class" \InProcServer32(Default) = "C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx" [empty string] {10384d0e-2bc1-48b6-844b-ad0e9e6d2511}(Default) = "AH IE BHO" -> {HKLM...CLSID} = "AhIeBho Class" \InProcServer32(Default) = "C:\Program Files\ZoomText 8.1\AHOI\ah_ie_bho.dll" ["Ai Squared "] {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}(Default) = (no title provided) -> {HKLM...CLSID} = "SSVHelper Class" \InProcServer32(Default) = "C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll" ["Sun Microsystems, Inc."] {AA58ED58-01DD-4d91-8333-CF10577473F7}(Default) = (no title provided) -> {HKLM...CLSID} = "Google Toolbar Helper" \InProcServer32(Default) = "c:\program files\google\googletoolbar3.dll" ["Google Inc."] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Rozszerzenie CPL kadrowania wyświetlania" -> {HKLM...CLSID} = "Rozszerzenie CPL kadrowania wyświetlania" \InProcServer32(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Rozszerzenie ikony HyperTerminalu" -> {HKLM...CLSID} = "HyperTerminal Icon Ext" \InProcServer32(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]


(Nowy10) #2

log z silenta jest ucięty


(system) #3

nie wpisuj nic czytałem na interiapl że to hakerzy okradają tak ludzi nie wpisuj żadnych kodów :wink:


(Hashi) #4

Radze zainstalować FF albo Opere. One nie dadzą się oszukać. Opera pod wzgledem phisingu wypada najlepiej.


(Jplaga) #5

Wiem, że log jest ucięty. Pojawił się jeszcze jeden problem. Nie "wchodzi" do internetu. Piszę z innego komputera.Czy na pierwszy rzut oka widać po logach, że jest coś nie w porządku?


(Monczkin) #6

Więc jak mamy to zweryfikować ??

Proszę wkleić loga zgodnie z zasadami jakie obowiązują w dziale bezpieczeństwo.


(Hashi) #7

zainstaluj to, tak na przyszłość (dodatek McAfee sprawdzajacy strone pod kątem wyłudzeń):

http://www.siteadvisor.com/download/ie2.html


(adam9870) #8

Logi są ok, choć log z silenta jest ucięty.

Pozamykaj porty robakom. W tym celu użyj Windows Worms Doors Cleanera zmień znaczki z disable na enable (wszystkie znaczki maja być na zielono, jeżeli któryś z nich będzie na żółto to go zostaw). Po użyciu narzędzia wymagany jest restart.

Proponuję zainstalować dodatek Service Pack 2. Poprawia on bezpieczeństwo w systemie, dodaje nową funkcjonalność etc. Możesz go pobrać stąd:

:arrow: http://dobreprogramy.pl/index.php?dz=2&t=35&id=795


(Jplaga) #9

Odzyskałam łącze internetowe. Mogę wkleić log.

Oto on:


(Joan Sunshine) #10

start > uruchom > cmd > wpisz

sc stop gb

sc delete gb

Ściągasz narzędzie KillBox, zaznaczasz Delete on Reboot, potem klikasz All Files i wklejasz do pola Full Path of File to Delete ścieżki:

C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.dll

Klikasz X i reset sysa.

Przeczyść rejestr – użyj do tego jv16 PowerTools 2006 1.5.2.344.

Daj nowe logi :slight_smile:


(Jplaga) #11

Dziękuję! Już robię.

Złączono Posta : 30.04.2007 (Pon) 20:47

Zrobiłam wszystko.

Nowe logi:

I następna z silent runs:

Złączono Posta : 30.04.2007 (Pon) 21:53

Czy teraz jest już czysty??? :o :!:

Złączono Posta : 30.04.2007 (Pon) 21:54

Czy teraz jest już czysty??? :o :!:


(Gutek) #12

Syfu nie widać :wink:


(Jplaga) #13

Dziękuję za pomoc! Wszystko już działa ok. :stuck_out_tongue: