Trojan -> wpisy rejestru

Szozda · 7 Sierpień 2007 22:57

Logfile of HijackThis v1.99.1 Scan saved at 00:55:32, on 2007-08-08 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\ATKKBService.exe C:\Program Files\Eset\nod32krn.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\RTHDCPL.EXE C:\Program Files\ATI Technologies\ATI.ACE\cli.exe C:\Program Files\D-Tools\daemon.exe C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe C:\Program Files\Eset\nod32kui.exe C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Internet Explorer\iexplore.exe D:\css\steam.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\ATI Technologies\ATI.ACE\cli.exe C:\Program Files\ATI Technologies\ATI.ACE\cli.exe C:\WINDOWS\system32\wscntfy.exe C:\Program Files\Gadu-Gadu\gg.exe C:\Documents and Settings\Szozda\Pulpit\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.yahoo.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Program Files\FlashGet\jccatch.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Program Files\FlashGet\getflash.dll O4 - HKLM…\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM…\Run: [skyTel] SkyTel.EXE O4 - HKLM…\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM…\Run: [ATICCC] “C:\Program Files\ATI Technologies\ATI.ACE\cli.exe” runtime -Delay O4 - HKLM…\Run: [DAEMON Tools-1033] “C:\Program Files\D-Tools\daemon.exe” -lang 1033 O4 - HKLM…\Run: [GrooveMonitor] “C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe” O4 - HKLM…\Run: [speedTouch USB Diagnostics] “C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe” /icon O4 - HKLM…\Run: [Flashget] C:\Program Files\FlashGet\flashget.exe /min O4 - HKLM…\Run: [nod32kui] “C:\Program Files\Eset\nod32kui.exe” /WAITSERVICE O4 - HKLM…\Run: [sunJavaUpdateSched] “C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe” O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU…\Run: [Gadu-Gadu] “C:\Program Files\Gadu-Gadu\gg.exe” /tray O4 - HKCU…\Run: [steam] “d:\css\steam.exe” -silent O8 - Extra context menu item: &Ściągnij przy pomocy FlashGet’a - C:\Program Files\FlashGet\jc_link.htm O8 - Extra context menu item: &Ściągnij wszystko przy pomocy FlashGet’a - C:\Program Files\FlashGet\jc_all.htm O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra button: Wyślij do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra ‘Tools’ menuitem: Wyślij &do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe O9 - Extra ‘Tools’ menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip…{E9ECD36C-7232-4168-844C-46B8F869DE88}: NameServer = 217.8.168.244 157.25.5.18 O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

Jestem pewien że mam wirusa tylko nie wiem czy coś w rejstrze siedzi więc proszę o sprawdzenie

adam9870 · 8 Sierpień 2007 08:40

Usuń powyżej przedstawiony wpis korzystając z HijackThis.

Z jakiego powodu podejrzewasz obecność szkodnika w systemie? Czy pojawiają się jakieś alerty programów zabezpieczających informujące o zainfekowaniu jakiegoś pliku bądź informujące o modyfikacji jakiegoś klucza rejestru? Opisz dokładniej swój problem.

Dla wykluczenia syfu możesz dodatkowo wkleić log z ComboFix.

Szozda · 8 Sierpień 2007 11:39

ComboFix 07-08-07.6 - "Szozda" 2007-08-08 13:22:24.1 - NTFSx86

jessica · 8 Sierpień 2007 12:39

Infekcja “LOP”.

Wygląda, jakby była już częściowo usuwana.

Ale spróbuj jeszcze usunąć ręcznie te foldery:

Następnie:

>>Start>>Panel Sterowania>>Zaplanowane Zadania>>zaznacz zadanie z: B30013E192138ACD >>prawoklik>>usuń

Następnie:

>>Start >>> Uruchom >>> wybierz (lub wpisz) REGEDIT >>OK>

>>rozwiń ten klucz:

(+)HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

>>w okienku po prawej zaznacz: “AudioProc” >>prawoklik>>usuń

Potem daj nowy log z ComboFixa.

.

EDIT:

Jeśli Zaplanowane Zadanie nie będzie widoczne, to zrób tak:

>>Start >>> Uruchom >>> wybierz (lub wpisz) cmd >>wklej:

.

Szozda · 8 Sierpień 2007 13:19

ComboFix 07-08-07.6 - "Szozda" 2007-08-08 15:16:08.2 - NTFSx86

jessica · 8 Sierpień 2007 13:28

Te dwa foldery dalej są.

Być może nie są puste i dlatego nie dają się usunąć.

Jeśli tak jest rzeczywiście , to usuwaj w Trybie Awaryjnym.

.

Szozda · 8 Sierpień 2007 13:45

Ok udało mi sie to usunąć czy teraz jest czysto czy jeszcze coś?

adam9870 · 8 Sierpień 2007 13:57

Dla pewności możesz wkleić jeszcze nowy log z ComboFix.

Szozda · 8 Sierpień 2007 14:17

ComboFix 07-08-07.6 - “Szozda” 2007-08-08 16:15:08.3 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1250.1.1045.18.196 [GMT 2:00] ((((((((((((((((((((((((( Files Created from 2007-07-08 to 2007-08-08 ))))))))))))))))))))))))))))))) 2007-08-08 15:58 83,592 --a------ C:\WINDOWS\system32\SSSensor.dll 2007-08-08 15:58 61,008 --a------ C:\WINDOWS\system32\drivers\Teefer.sys 2007-08-08 15:58 21,075 --a------ C:\WINDOWS\system32\drivers\wpsdrvnt.sys 2007-08-08 15:58 14,944 --a------ C:\WINDOWS\system32\drivers\wg6n.sys 2007-08-08 15:58 14,944 --a------ C:\WINDOWS\system32\drivers\wg5n.sys 2007-08-08 15:58 14,944 --a------ C:\WINDOWS\system32\drivers\wg4n.sys 2007-08-08 15:58 14,944 --a------ C:\WINDOWS\system32\drivers\wg3n.sys 2007-08-08 15:58 2007-08-08 15:58 2007-08-08 14:46 2007-08-08 13:19 51,200 --a------ C:\WINDOWS\nircmd.exe 2007-08-08 02:33 2007-08-08 02:24 2007-08-08 02:23 94,208 --a------ C:\WINDOWS\system32\pskill.exe 2007-08-08 02:23 8,636 --a------ C:\WINDOWS\system32\modifype.exe 2007-08-08 02:23 19,968 --a------ C:\WINDOWS\system32\reico.exe 2007-08-08 02:23 111,104 --a------ C:\WINDOWS\system32\Uharc.exe 2007-08-07 19:02 9,600 --a------ C:\WINDOWS\system32\drivers\hidusb.sys 2007-08-07 19:02 12,160 --a------ C:\WINDOWS\system32\drivers\mouhid.sys 2007-07-30 12:28 2007-07-29 17:27 2007-07-29 14:43 2007-07-29 14:41 2007-07-29 14:41 2007-07-29 10:54 327,168 --a------ C:\WINDOWS\IsUn0415.exe 2007-07-28 17:45 2007-07-28 15:21 2007-07-26 04:14 2,181,632 -----c— C:\WINDOWS\system32\dllcache\ntoskrnl.exe 2007-07-26 04:14 2,058,880 -----c— C:\WINDOWS\system32\dllcache\ntkrnlpa.exe 2007-07-26 03:45 27,648 -----c— C:\WINDOWS\system32\dllcache\jgpl400.dll 2007-07-26 03:45 163,840 -----c— C:\WINDOWS\system32\dllcache\jgdw400.dll 2007-07-26 03:44 28,672 --------- C:\WINDOWS\system32\verclsid.exe 2007-07-25 15:42 2007-07-25 12:24 512,096 --a------ C:\WINDOWS\system32\drivers\amon.sys 2007-07-25 12:24 298,104 --a------ C:\WINDOWS\system32\imon.dll 2007-07-25 12:24 15,424 --a------ C:\WINDOWS\system32\drivers\nod32drv.sys 2007-07-25 10:00 2007-07-25 10:00 2007-07-25 09:54 2007-07-25 09:29 2007-07-25 09:27 2007-07-25 09:24 1,402 --a------ C:\WINDOWS\mozver.dat 2007-07-25 09:21 0 --a------ C:\WINDOWS\nsreg.dat 2007-07-24 19:38 70,688 --a------ C:\WINDOWS\system32\drivers\alcaudsl.sys 2007-07-24 19:38 53,600 --a------ C:\WINDOWS\system32\drivers\alcan5wn.sys 2007-07-24 19:38 5,606 --a------ C:\WINDOWS\system32\stci.dll 2007-07-24 19:38 5,280 --a------ C:\WINDOWS\system32\drivers\alcawh.sys 2007-07-24 19:38 3,968 --a------ C:\WINDOWS\system32\drivers\alcacr.sys 2007-07-24 19:38 2007-07-24 19:29 2007-07-24 09:56 10,752 --a------ C:\WINDOWS\system32\ff_vfw.dll 2007-07-24 09:56 2007-07-24 09:56 2007-07-24 09:56 2007-07-24 09:55 2007-07-24 09:55 2007-07-24 09:55 2007-07-24 09:55 2007-07-23 18:50 51,200 --a------ C:\WINDOWS\system32\drivers\UsbSagCom.sys 2007-07-21 14:24 2007-07-21 14:22 499,712 --a------ C:\WINDOWS\system32\msvcp71.dll 2007-07-21 14:22 476,320 --a------ C:\WINDOWS\system32\imagXpr7.dll 2007-07-21 14:22 471,040 --a------ C:\WINDOWS\system32\imagXRA7.dll 2007-07-21 14:22 364,544 --a------ C:\WINDOWS\system32\TwnLib4.dll 2007-07-21 14:22 348,160 --a------ C:\WINDOWS\system32\msvcr71.dll 2007-07-21 14:22 32,768 --a------ C:\WINDOWS\system32\BCGPOleAcc.dll 2007-07-21 14:22 262,144 --a------ C:\WINDOWS\system32\imagXR7.dll 2007-07-21 14:22 2,605,056 --a------ C:\WINDOWS\system32\BCGCBPRO800u.dll 2007-07-21 14:22 2,600,960 --a------ C:\WINDOWS\system32\BCGCBPRO800.dll 2007-07-21 14:22 1,568,768 --a------ C:\WINDOWS\system32\imagX7.dll 2007-07-21 14:22 1,060,864 --a------ C:\WINDOWS\system32\mfc71.dll 2007-07-21 14:22 1,047,552 --a------ C:\WINDOWS\system32\mfc71u.dll 2007-07-21 14:22 2007-07-21 14:22 2007-07-21 14:05 32,592 --a------ C:\WINDOWS\system32\msonpmon.dll 2007-07-21 14:04 2007-07-21 14:04 2007-07-21 14:03 2007-07-21 14:01 2007-07-21 14:00 2007-07-21 13:59 2007-07-21 13:59 2007-07-21 13:53 5,248 --a------ C:\WINDOWS\system32\drivers\d347prt.sys 2007-07-21 13:53 155,136 --a------ C:\WINDOWS\system32\drivers\d347bus.sys 2007-07-21 13:53 2007-07-21 13:53 2007-07-21 13:48 2007-07-21 13:47 2007-07-20 09:49 26,496 --a–c— C:\WINDOWS\system32\dllcache\usbstor.sys 2007-07-19 21:50 2007-07-19 18:45 2007-07-19 18:45 2007-07-19 18:18 90,800 -ra------ C:\WINDOWS\system32\drivers\se2Eunic.sys 2007-07-19 18:18 88,688 -ra------ C:\WINDOWS\system32\drivers\SE2Emgmt.sys 2007-07-19 18:18 4,128 -ra------ C:\WINDOWS\system32\drivers\se2Ecr.sys 2007-07-19 18:18 18,704 -ra------ C:\WINDOWS\system32\drivers\se2End5.sys 2007-07-19 18:17 97,184 -ra------ C:\WINDOWS\system32\drivers\SE2Emdm.sys 2007-07-19 18:17 9,360 -ra------ C:\WINDOWS\system32\drivers\SE2Emdfl.sys 2007-07-19 18:17 86,560 -ra------ C:\WINDOWS\system32\drivers\SE2Eobex.sys 2007-07-19 18:17 6,240 -ra------ C:\WINDOWS\system32\drivers\SE2Ecmnt.sys (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-07-26 09:11 75486 --a------ C:\WINDOWS\system32\perfc015.dat 2007-07-26 09:11 451352 --a------ C:\WINDOWS\system32\perfh015.dat --------- C:\Program Files\Usługi online ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “RTHDCPL”=“RTHDCPL.EXE” [2006-11-14 11:21 C:\WINDOWS\RTHDCPL.exe] “SkyTel”=“SkyTel.EXE” [2006-05-16 12:04 C:\WINDOWS\SkyTel.exe] “ATICCC”=“C:\Program Files\ATI Technologies\ATI.ACE\cli.exe” [2006-01-02 18:41] “DAEMON Tools-1033”=“C:\Program Files\D-Tools\daemon.exe” [2004-08-22 17:05] “GrooveMonitor”=“C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe” [2006-10-27 00:47] “SpeedTouch USB Diagnostics”=“C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe” [2004-01-26 11:38] “Flashget”=“C:\Program Files\FlashGet\flashget.exe” [2007-07-23 09:14] “nod32kui”=“C:\Program Files\Eset\nod32kui.exe” [2007-07-25 12:23] “SunJavaUpdateSched”=“C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe” [2007-07-12 04:00] “SmcService”=“C:\PROGRA~1\Sygate\SPF\smc.exe” [2005-09-27 12:16] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “CTFMON.EXE”=“C:\WINDOWS\system32\ctfmon.exe” [2004-08-04 14:00] “Gadu-Gadu”=“C:\Program Files\Gadu-Gadu\gg.exe” [2007-07-09 09:39] “Steam”=“d:\css\steam.exe” [2007-08-06 17:23] R0 Teefer;Teefer for NT;C:\WINDOWS\system32\Drivers\Teefer.sys R1 asuskbnt;Enhanced Display Driver Helper Service;C:\WINDOWS\system32\drivers\atkkbnt.sys R1 nod32drv;nod32drv;C:\WINDOWS\system32\drivers\nod32drv.sys R1 wpsdrvnt;wpsdrvnt;??\C:\WINDOWS\system32\drivers\wpsdrvnt.sys R2 EIO;EIO;??\C:\WINDOWS\system32\drivers\EIO.sys R2 wg3n;SyGate for NT, wg3n;C:\WINDOWS\system32\Drivers\wg3n.sys R2 wg4n;SyGate for NT, wg4n;C:\WINDOWS\system32\Drivers\wg4n.sys R2 wg5n;SyGate for NT, wg5n;C:\WINDOWS\system32\Drivers\wg5n.sys R2 wg6n;SyGate for NT, wg6n;C:\WINDOWS\system32\Drivers\wg6n.sys R3 alcan5wn;SpeedTouch USB ADSL PPP Networking Driver (NDISWAN);C:\WINDOWS\system32\DRIVERS\alcan5wn.sys S3 Microsoft Office Groove Audit Service;Microsoft Office Groove Audit Service;“C:\Program Files\Microsoft Office\Office12\GrooveAuditService.exe” S3 odserv;Microsoft Office Diagnostics Service;“C:\Program Files\Common Files\Microsoft Shared\OFFICE12\ODSERV.EXE” S3 SE2Ebus;Sony Ericsson Device 046 Driver driver (WDM);C:\WINDOWS\system32\DRIVERS\SE2Ebus.sys S3 SE2Emdfl;Sony Ericsson Device 046 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\SE2Emdfl.sys S3 SE2Emdm;Sony Ericsson Device 046 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\SE2Emdm.sys S3 SE2Emgmt;Sony Ericsson Device 046 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\SE2Emgmt.sys S3 se2End5;Sony Ericsson Device 046 USB Ethernet Emulation SEMC46 (NDIS);C:\WINDOWS\system32\DRIVERS\se2End5.sys S3 SE2Eobex;Sony Ericsson Device 046 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\SE2Eobex.sys S3 se2Eunic;Sony Ericsson Device 046 USB Ethernet Emulation SEMC46 (WDM);C:\WINDOWS\system32\DRIVERS\se2Eunic.sys S3 UsbSagCom;SAGEM Full USB Driver;C:\WINDOWS\system32\DRIVERS\UsbSagCom.sys *Newly Created Service* - SMCSERVICE ************************************************************************** catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-08-08 16:15:52 Windows 5.1.2600 Dodatek Service Pack 2 NTFS scanning hidden processes … scanning hidden registry entries … [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Favorites\A\1\5\1c] “Order”=hex:08,00,00,00,02,00,00,00,b8,01,00,00,01,00,00,00,04,00,00,00,8c,… scanning hidden files … scan completed successfully hidden files: 0 ************************************************************************** Completion time: 2007-08-08 16:16:21 C:\ComboFix2.txt … 2007-08-08 15:17 C:\ComboFix3.txt … 2007-08-08 13:33 — E O F —

najświeższy log z combo

jessica · 8 Sierpień 2007 14:31

Teraz nie widzę już nic podejrzanego.

.