DzikiZ
(Skabiczewski)
8 Październik 2007 17:55
#1
Wątek będący cd.
http://forum.dobreprogramy.pl/viewtopic … fc3c6cdbc8
Witam.
Mam problem związany z oprogramowaniem spyware. Objawia się to tym, że jako strona startowa w IE, ustawiona jest “C:\WINDOWS\system32\spywarewarning.mht”, a w prawym, dolnym rogu wyskakuje chmurka “Windows Security Alert”.
Jak wiele wirusów w życiu usuwałem, tak tan jest wręcz niemożliwy do usunięcia znanymi mi metodami. Pokręciłem się troszkę po zagranicznych stronach i coś niecoś znalazłęm, dzięki czemu usunąłem z katalogu Windows, kilka plików o nazwie “sv…”, które podobno miały z tym jakiś związek. Ale Nadal mam chmurkę i stronkę startową…
Mam to samo, log z HijackThis:
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:56, on 2007-10-08 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Boot mode: Normal Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\System32\termsrv.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\msdtc.exe C:\WINNT\system32\CTsvcCDA.exe C:\WINNT\System32\tcpsvcs.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\acsetupcp.exe C:\Program Files\Eset\nod32krn.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\lserver.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\System32\wins.exe C:\WINNT\system32\Dfssvc.exe C:\WINNT\System32\dns.exe C:\WINNT\System32\inetsrv\inetinfo.exe C:\WINNT\Explorer.EXE C:\WINNT\System32\svchost.exe C:\WINNT\system32\PDesk\PDesk.exe C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe C:\Program Files\Winamp\winampa.exe C:\Program Files\SAMSUNG\FW LiveUpdate\Liveupdate.exe C:\Program Files\Eset\nod32kui.exe C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINNT\system32\spywarewarning.mht O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O2 - BHO: ActiveX Control - {FDEA0326-8DD2-4563-8F67-FBE261767751} - C:\WINNT\system32\mszzg.dll (file missing) O4 - HKLM…\Run: [Jet Detection] C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe O4 - HKLM…\Run: [CTStartup] C:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE /run O4 - HKLM…\Run: [Matrox Powerdesk] C:\WINNT\system32\PDesk\PDesk.exe /Autolaunch O4 - HKLM…\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM…\Run: [sunJavaUpdateSched] “C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe” O4 - HKLM…\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe O4 - HKLM…\Run: [Name of App] C:\Program Files\SAMSUNG\FW LiveUpdate\Liveupdate.exe O4 - HKLM…\Run: [nod32kui] “C:\Program Files\Eset\nod32kui.exe” /WAITSERVICE O4 - HKCU…\Run: [cmsound] c:\winnt\vcpdll.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: &Download Flash Files - C:\PROGRA~1\LEESOFT\FLASHH~1\save.htm O15 - ProtocolDefaults: ‘http’ protocol is in Trusted Zone, should be Internet Zone O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINNT\system32\CTsvcCDA.exe O23 - Service: DHCP Client DhcpOracleReportServer-Rep60_HERBERT-OraHome901 (DhcpOracleReportServer-Rep60_HERBERT-OraHome901) - Unknown owner - C:\WINNT\system32\LDR1279.tmp.exe (file missing) O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: Print Server for Macintosh MacPrintSMTPSVC (MacPrintSMTPSVC) - Unknown owner - C:\WINNT\system32\acsetupcp.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe O23 - Service: Windows Media Program Service (nsprogram) - Unknown owner - C:\WINNT\System32\WINDOW~1\Server\nspm.exe (file missing) O23 - Service: Visibroker Activation Daemon (oad) - Unknown owner - E:\PROGRA~1\Borland\vbroker\bin\oad.exe O23 - Service: Oracle Forms Server [Forms60Server-OraHome901] (OracleFormsServer-Forms60Server-OraHome901) - Unknown owner - E:\oracle\ora901\bin\ifsrv60.exe (file missing) O23 - Service: Oracle Reports Server [Rep60_HERBERT-OraHome901] (OracleReportServer-Rep60_HERBERT-OraHome901) - Unknown owner - E:\oracle\ora901\bin\rwmts60.exe (file missing) O24 - Desktop Component 0: (no name) - (no file) – End of file - 4028 bytes
PROSZĘ O WSKAZANIE PLIKÓW DO PRZESKANOWANIA NA http://www.virustotal.com/en/indexf.html
Monczkin
(Monczkin)
8 Październik 2007 18:00
#2
??
Nazwij temat konkretnie i popraw logi - obejmij je znacznikami
jessica
(jessica)
8 Październik 2007 18:35
#3
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINNT\system32\spywarewarning.mht O2 - BHO: ActiveX Control - {FDEA0326-8DD2-4563-8F67-FBE261767751} - C:\WINNT\system32\mszzg.dll (file missing) O4 - HKCU…\Run: [cmsound] c:\winnt\vcpdll.exe O24 - Desktop Component 0: (no name) - (no file
>>Hijack>>scan(Do a system scan only)>>zaznacz je >> Fix checked .
Ściągnij -->ComboFix (na dole tej strony z linku).
Wklej do Notatnika :
File::
C:\WINNT\system32\spywarewarning.mht
C:\WINNT\system32\mszzg.dll
C:\winnt\vcpdll.exe
>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )
– podobnie jak na tym obrazku –>
(jeśli pojawi się pytanie " 1 or 2 " - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)
Po restarcie usuń ręcznie folder C: * * Qoobox**.
Log z ComboFixa wklej na http://wklej.org/ , a w poście daj tylko link.(czyli skopiuj adres z paska adresów) .
Te zaznaczone na czerwono możesz sprawdzić na VIRUSTOTAL.
jessi
DzikiZ
(Skabiczewski)
8 Październik 2007 19:12
#4
Logi znajdują się na
http://wklej.org/id/9d7c09b375
chmurka ma się zupełnie nieźle, z dwóch wskazanych plików tego drugiego (nspm.exe) nie znalazłem - musiałem go wcześniej usunąć.
spywarewarning.mht trzyma się mocno - nie mogę go usunąć ani zmienić mu nazwy: ‘there has been sharing violation’ - jakiś proces go trzyma.
DzikiZ
(Skabiczewski)
9 Październik 2007 16:14
#6
Chmurki to jakoś nie ruszyło…
Może miało tu coś do rzeczy, że najpierw uruchomiłem SDFix-a, po czym dopiero skasowałem ręcznie
C:\Documents and Settings\Administrator\Application Data\tvmknwrd.dll
C:\Program Files\desktop.ini
a
C:\WINNT\system32\shdocpe.dll
nie znalazłem?
Log z SDFix:
SDFix: Version 1.107 Run by Administrator on Wt 2007-10-09 at 17:55 Microsoft Windows 2000 [Version 5.00.2195] Running From: C:\SDFix Safe Mode: Checking Services: Name: wins ImagePath: %SystemRoot%\System32\wins.exe wins - Deleted Restoring Windows Registry Values Restoring Windows Default Hosts File Rebooting… Normal Mode: Checking Files: Trojan Files Found: C:\wintemp.log - Deleted C:\WINNT\system32\TFTP1948 - Deleted Folder C:\WINNT\system32\services - Removed Removing Temp Files… ADS Check: C:\WINNT No streams found. C:\WINNT\system32 No streams found. C:\WINNT\system32\svchost.exe No streams found. C:\WINNT\system32\ntoskrnl.exe No streams found. Final Check: Remaining Services: ------------------ Remaining Files: --------------- File Backups: - C:\SDFix\backups\backups.zip Files with Hidden Attributes: Sat 16 May 1998 95,864 …SH. — “C:\COMMAND.COM ” Wed 3 Oct 2007 48,128 …SHR — “C:\WINNT\system32\acsetupcp.exe” Tue 31 Aug 2004 15,360 …SHR — “C:\WINNT\system32\shdocpe.dll” Fri 28 Jul 2006 1,682 A.SH. — “C:\WINNT\system32\KGyGaAvL.sys” Fri 28 Jul 2006 56 …SHR — “C:\WINNT\system32\D82C951FCC.sys” Sun 21 Jan 2007 70,144 …SHR — “C:\Program Files\01-mp3search\Setup.exe” Tue 8 Mar 2005 16,384 A.SHR — “C:\Program Files\01-mp3search_Setup.dll” Sat 5 Mar 2005 48 A.SH. — “C:\Documents and Settings\All Users\DRM\v2ks.sec.bak” Sat 5 Mar 2005 400 A.SH. — “C:\Documents and Settings\All Users\DRM\v2ks.bla.bak” Sun 6 May 2007 4,348 …SH. — “C:\Documents and Settings\All Users\DRM\DRMv1.bak” Finished!
Patrząc na log chętnie bym się pozbył
Wed 3 Oct 2007 48,128 …SHR — “C:\WINNT\system32\acsetupcp.exe”
Tue 31 Aug 2004 15,360 …SHR — “C:\WINNT\system32\shdocpe.dll”
Przepuściłem w/w dwa pliki przez ComboFix’a i w końcu pozbyłem się dziada.
Dziękuję za sensowne odpowiedzi/podpowiedzi (nie te o mks-ie…).
DzikiZ
(Skabiczewski)
10 Październik 2007 14:49
#8
Nie zapisałem go nigdzie, chyba że z automatu jest gdzieś przechowywany.
Gutek
(Gutek)
10 Październik 2007 22:42
#9
Na C:\ loga nie masz z Combo?
DzikiZ
(Skabiczewski)
11 Październik 2007 14:56
#10
http://wklej.org/id/6a401ca3af
Mam coś jeszcze przeskanować?
Gutek
(Gutek)
11 Październik 2007 22:13
#11
To jest stary log miałeś dać z dnia dzisiejszego
DzikiZ
(Skabiczewski)
13 Październik 2007 19:04
#12
Log jest z dnia, w którym skasowałem ostatecznie trojana.