mlody889
5 Październik 2007 22:07
#1
Witam.
Mam problem związany z oprogramowaniem spyware. Objawia się to tym, że jako strona startowa w IE, ustawiona jest “C:\WINDOWS\system32\spywarewarning.mht”, a w prawym, dolnym rogu wyskakuje chmurka “Windows Security Alert”.
Jak wiele wirusów w życiu usuwałem, tak tan jest wręcz niemożliwy do usunięcia znanymi mi metodami. Pokręciłem się troszkę po zagranicznych stronach i coś niecoś znalazłęm, dzięki czemu usunąłem z katalogu Windows, kilka plików o nazwie “sv…”, które podobno miały z tym jakiś związek. Ale Nadal mam chmurkę i stronkę startową…
Logfile of HijackThis v1.99.1 Scan saved at 23:56:33, on 2007-10-05 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\System32\cisvc.exe C:\WINDOWS\system32\usmtc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\CTHELPER.EXE C:\Program Files\Lexmark X6100 Series\bak\lxbfbmgr.exe C:\Program Files\Microangelo\muamgr.exe C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\WINDOWS\system32\cidaemon.exe C:\Program Files\Gadu-Gadu\gg.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\WINDOWS\Explorer.exe C:\WINDOWS\system32\Notepad.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Outlook Express\msimn.exe C:\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\system32\spywarewarning.mht R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM…\Run: [WINDVDPatch] CTHELPER.EXE O4 - HKLM…\Run: [Lexmark X6100 Series] C:\Program Files\Lexmark X6100 Series\bak\lxbfbmgr.exe O4 - Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microangelo Desktop.lnk = C:\Program Files\Microangelo\muamgr.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe O8 - Extra context menu item: Eksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O15 - Trusted Zone: http://*.mks.com.pl O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://www.modgik.lodz.pl/Mapa/mgaxctrl.cab O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab O17 - HKLM\System\CCS\Services\Tcpip…{32E847D6-74BC-40B4-8C01-C3F669F61D4B}: NameServer = 217.76.114.129,217.76.112.66 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: Posłaniec MessengerW32Time (MessengerW32Time) - Unknown owner - C:\WINDOWS\system32\LDR9.tmp.exe (file missing) O23 - Service: Plug and Play PlugPlayALG (PlugPlayALG) - Unknown owner - C:\WINDOWS\system32\usmtc.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe (file missing)
Sprzątam go co chwile, ale to co uznacie za śmieci (3 ostatnie linijki + 1 od góry), notorycznie powracają.
Znalazłem jeszcze program, z którego też wam wkleje loga. On pokazuje troszkę więcej a’propos mojego problemu…
Die 30 neuesten Dateien im Ordner Windows: ***** ***** ***** ***** ***** ***** Scanning C:\WINDOWS ***** ***** ***** ***** ***** ***** 2007-10-05 setupact.log 23 24:174˙628 2007-10-05 {00000002-00000000-00000003-00001102-00000002-00211102}.CDF 13 40:3˙373˙917 2007-10-05 {00000002-00000000-00000003-00001102-00000002-00211102}.BAK 13 40:3˙373˙917 2007-10-05 wiadebug.log 13 39:237 2007-10-05 0.log 13 39:0 2007-10-05 bootstat.dat 13 39:2˙048 2007-10-05 SchedLgU.Txt 13 37:32˙418 2007-10-05 wiaservc.log 13 37:50 2007-10-05 WindowsUpdate.log 13 37:414˙525 2007-10-04 winamp.ini 14 20:192 2007-10-04 NeroDigital.ini 11 47:230 2007-10-03 ntbtlog.txt 13 49:6˙195˙234 2007-10-02 wincmd.ini 19 56:1˙378 2007-10-02 wcx_ftp.ini 19 56:1˙741 2007-10-02 wmsetup.log 16 38:249˙603 2007-09-27 DirectX.log 01 08:164˙134 2007-09-22 setupapi.log 19 32:716˙873 2007-09-22 MusicMaker.INI 16 19:79 2007-09-12 msettings.ini 21 11:22˙143 2007-09-10 lexstat.ini 20 50:644 2007-08-09 ARPR.INI 17 20:854 2007-08-02 xmlhelper.dll 16 47:0 Pack 2007-07-29 Codec 22 02:14˙303 2007-07-13 filog.ini 14 20:24 2007-06-28 spupdsvc.log 15 12:111˙822 2007-06-28 imsins.log 13 25:1˙374 2007-06-28 tabletoc.log 13 25:5˙216 Die 50 neuesten Dateien im Ordner Windows\system32: ***** ***** ***** ***** ***** ***** Scanning C:\WINDOWS\system32 ***** ***** ***** ***** ***** ***** 2007-10-05 tmp.txt 14 02:0 2007-10-05 tmp.reg 14 02:1˙392 2007-10-05 spywarewarning.mht 13 39:39˙882 2007-10-05 BMXStateBkp-{00000002-00000000-00000003-00001102-00000002-00211102}.rfx 13 38:16˙916 2007-10-05 BMXState-{00000002-00000000-00000003-00001102-00000002-00211102}.rfx 13 38:16˙916 2007-10-05 BMXBkpCtrlState-{00000002-00000000-00000003-00001102-00000002-00211102}.rfx 13 38:28˙692 2007-10-05 settings.sfm 13 38:1˙080 2007-10-05 DVCState-{00000002-00000000-00000003-00001102-00000002-00211102}.dat 13 38:24 2007-10-05 BMXCtrlState-{00000002-00000000-00000003-00001102-00000002-00211102}.rfx 13 38:28˙692 2007-10-05 settingsbkup.sfm 13 38:1˙080 2007-10-05 DVCStateBkp-{00000002-00000000-00000003-00001102-00000002-00211102}.dat 13 38:24 2007-10-03 1130355355.dat 13 29:144 2007-10-03 usmtc.exe 13 08:48˙128 2007-09-30 wpa.dbl 16 05:2˙206 2007-08-07 FNTCACHE.DAT 14 39:418˙248 2007-07-11 LOm22mx2.exe 20 00:0 2007-06-27 BASSMOD.dll 21 13:34˙308 2007-06-27 QuickTime.qtp 00 53:8˙531 2007-04-27 ativmsi.dll 00 30:56 2007-03-28 SymNeti.dll 18 41:517˙848 2007-03-28 SymRedir.dll 18 41:132˙824 2007-03-15 SkanerOnline.dll 12 00:466˙432 2007-02-19 KGyGaAvL.sys 18 30:9˙392 2007-02-19 3D13F2010C.sys 18 30:104 2007-02-06 SysPr.prx 16 02:271˙202 2007-02-06 plugin1.dat 12 10:51˙733 2007-01-20 PerfStringBackup.INI 16 57:946˙448 2007-01-20 perfh015.dat 16 57:437˙184 2007-01-20 perfc015.dat 16 57:67˙578 2007-01-20 perfc009.dat 16 57:53˙170 2007-01-20 perfh009.dat 16 57:380˙756 2007-01-19 SkanerOnlineUninstall.exe 09 40:89˙088 2007-01-16 WinSys16.crc 23 34:13 2007-01-04 jupdate-1.5.0_10-b03.log 12 52:8˙657 2006-12-12 jupdate-1.5.0_09-b03.log 17 13:8˙428 2006-12-11 RBDELDRV.BAT 07 16:194 2006-12-05 VIPv3_EXT.dll 14 44:7˙762˙134 2006-12-04 uxtheme.dll 20 23:219˙648 2006-12-04 amcompat.tlb 15 47:16˙832 2006-12-04 nscompat.tlb 15 47:23˙392 2006-11-22 vimc.exe 21 02:413˙518 2006-11-09 javaws.exe 15 07:127˙078 2006-11-09 jpicpl32.cpl 15 07:49˙265 2006-11-09 javaw.exe 13 28:53˙346 2006-11-09 java.exe 13 28:49˙248 2006-11-02 wpdshextres.dll 11 52:42˙496 2006-11-01 SVKP.sys 16 52:2˙368 ***** ***** ***** ***** ***** ***** Scanning C:\WINDOWS\system32\drivers\etc\hosts ***** ***** ***** ***** ***** ***** # Copyright © 1993-1999 Microsoft Corp. # # To jest przykładowy plik HOSTS używany przez Microsoft TCP/IP # w systemie Windows. # Ten plik zawiera mapowania adresów IP na nazwy komputerów # Każdy wpis powinien być w osobnej linii. # W pierwszej kolumnie powinny być umieszczone adresy IP, a następnie # odpowiadające im nazwy komputerów. Adres i nazwa powinny być oddzielone # co najmniej jedną spacją # # Dodatkowo, komentarze (takie jak te) można wstawiać w poszczególnych # liniach lub po nazwie komputera, oznaczając je symbolem ‘#’. # # Na przykład: # # 102.54.94.97 rhino.acme.com # serwer źródłowy # 38.25.63.10 x.acme.com # komputer kliencki x 127.0.0.1 localhost ***** ***** ***** ***** ***** ***** Scanning Processe ***** ***** ***** ***** ***** ***** Nazwa obrazu PID Nazwa sesji Nr sesji Uľycie pam. ========================= ====== ================ ======== ============ System Idle Process 0 Console 0 16 KB System 4 Console 0 236 KB SMSS.EXE 680 Console 0 288 KB CSRSS.EXE 744 Console 0 3˙800 KB WINLOGON.EXE 772 Console 0 2˙736 KB SERVICES.EXE 820 Console 0 2˙688 KB LSASS.EXE 832 Console 0 1˙412 KB SVCHOST.EXE 980 Console 0 3˙768 KB SVCHOST.EXE 1048 Console 0 3˙076 KB SVCHOST.EXE 1140 Console 0 17˙572 KB SVCHOST.EXE 1196 Console 0 2˙424 KB SVCHOST.EXE 1284 Console 0 2˙812 KB LEXBCES.EXE 1680 Console 0 2˙572 KB SPOOLSV.EXE 1712 Console 0 6˙096 KB LEXPPS.EXE 1720 Console 0 2˙184 KB CISVC.EXE 720 Console 0 1˙444 KB USMTC.EXE 1012 Console 0 1˙448 KB SVCHOST.EXE 1932 Console 0 3˙276 KB ALG.EXE 1516 Console 0 2˙248 KB CTHELPER.EXE 548 Console 0 3˙052 KB LXBFBMGR.EXE 560 Console 0 1˙676 KB MUAMGR.EXE 584 Console 0 1˙640 KB ACROTRAY.EXE 588 Console 0 1˙808 KB cidaemon.exe 3624 Console 0 320 KB gg.exe 3300 Console 0 19˙228 KB firefox.exe 3232 Console 0 63˙752 KB OSE.EXE 1316 Console 0 1˙220 KB Explorer.exe 3456 Console 0 21˙496 KB WinRAR.exe 3496 Console 0 9˙396 KB cmd.exe 2924 Console 0 1˙712 KB tasklist.exe 2612 Console 0 3˙988 KB wmiprvse.exe 3016 Console 0 5˙760 KB Microsoft Windows XP [Wersja 5.1.2600] http://www.paules-pc-forum.de ***** Malware Team ***** ***** Ende des Scans 2007-10-05 um 23:38:16,59 ***
Proszę o skuteczną pomoc.
Pozdrawiam.
Gutek
5 Październik 2007 23:45
#2
mlody889
6 Październik 2007 00:07
#3
Więc…
Złączono Posta : 06.10.2007 (Sob) 2:12
jeszcze jednego gnoja znalazłem, patrząc przypadkiem w usługi:
jessica
6 Październik 2007 08:52
#4
Wklej do Notatnika :
File::
C:\WINDOWS\system32\usmtc.exe
C:\WINDOWS\system32\DRIVERS\vzipwdm.sys
C:\WINDOWS\system32\LDR9.tmp
C:\WINDOWS\system32\activexdebugger32.exe
C:\WINDOWS\system32\lsasss.exe
Driver::
PlugPlayALG
VZIPWDM
MessengerW32Time
Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Lexmark_X79-55]
>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )
– podobnie jak na tym obrazku –>
(jeśli pojawi się pytanie " 1 or 2 " - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)
Po restarcie usuń ręcznie folder C: * * Qoobox**.
Daj log z ComboFixa.
Wg mnie, Twoim głównym problemem jest infekcja z pendrive:
Na podstawie =http://xforum.pl/lofiversion/index.php/t5319.html Nazywa się activexdebugger32.exe Zauważalne szkody: - użycie 100% procesora - brak możliwości wejścia na pendrive z Mojego Komputera - większość programów antywirusowych go nie widzi (NOD32 już sobie radzi, ale nie usuwa wpisów z rejestru i pliku AUTORUN.INF) - activexdebugger32 opisany jest jako Microsoft ActiveX Debugger Configuration Application for Java. Kopiuje się do katalogu X:\WINDOWS\System32, gdzie X to nasza partycja systemowa. Rozprzestrzenia się poprzez sieć między komputerami, a także przez pendrive’y. Po włożeniu pendrive’a do usb, robak kopiuje się na niego, My nic nie zauważymy, bo pliki te są ukryte. Mówię pliki, ponieważ activexdebugger32.exe tworzy sobie na pendrive plik AUTORUN.INF, przez którego przy ponownym włożeniu pendrive do usb, nie można się na niego dostać z Mojego Komputera - po dwukliku wyskakuje okno wyboru programu do otwarcia Oto zawartość tego pliku: [AutoRun] open=activexdebugger32.exe shellexecute=activexdebugger32.exe f shell\Auto\command=activexdebugger32.exe f shell=Auto shell\open=Open(O) shell\open\Command=activexdebugger32.exe f shell\open\Default=1 shell\explore=Explorer(X) shell\explore\Command=activexdebugger32.exe f Jak usunąć? 1) Otwieramy jakikolwiek folder, wchodzimy w Narzędzia - Opcje folderów - Widok - Odznaczamy “Ukryj pliki chronione i systemowe” - potwierdzamy. 1. a) Jeśli w menu Narzędzia nie ma widocznej pozycji “Opcji Folderów”, wchodzimy w Panel Sterowania i tam w Opcje Folderów. Dalej patrz pkt 1. 2) Wchodzimy na nasz pendrive i usuwamy plik " activexdebugger32.exe" oraz “AUTORUN.INF”. Żeby wejść na pendrive (przez dwuklik nie da rady), należy kliknąć na niego prawym klawiszem myszy i wybrać “autoodtwarzanie”, potem “wyświetl pliki” i OK…Lub drugi sposób - wejść w jakikolwiek folder i z pasku adresu/ścieżki wybrać nasz pendrive. 3) Wchodzimy do katalogu X:\Windows\System32 i usuwamy plik “activexdebugger32.exe”. (x to litera partycji z windowsem) 4) Jeszcze tylko czyszczenie rejestru (ręcznie!): Start - Uruchom - regedit - Edycja - Znajdź - wpisujemy activexdebugger i szukamy. Gdy znajdzie pierwszy wpis, wciskamy klawisz Delete i potwierdzamy Enterem. Wciskamy klawisz F3, co wywoła dalsze przeszukiwanie rejestru. Gdy znajdzie następny wpis, również kasujemy Delete i potwierdzamy Enter. I tak kilka razy, aż do ukazania się “Przeszukiwanie rejestru zakończone”. To wszystko. Dla pewności sprawdzamy raz jeszcze nasz pendrive, folder System32 i rejestr, czy wszystko na pewno usunęliśmy.
jessi
mlody889
6 Październik 2007 12:37
#5
C:\WINDOWS\system32\DRIVERS\vzipwdm.sys
To jest sterownik mojej karty Video Zip :?
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Lexmark_X79-55]
A to od drukarki… coś z nim nie tak, myslicie?
Co do Pendrive, to nie moę wchodzić… nie zawsze. Pojawiają się obce komendy, a jako przyczynę podaje nie dokończenie polecenia załadowania pamięcie (czy coś takiego). Na Mp3 było Autorun.ini i activex3debugger32.exe. W katalogu systemowym nic nie znalazłem.
Złączono Posta : 06.10.2007 (Sob) 14:49
jessica
6 Październik 2007 16:58
#6
To nie jest od drukarki, lecz od Trojana udającego drukarkę - patrz -->http://www.castlecops.com/s13436-Lexmark_X79_55.html
Jeśli to jest od Twojej karty Video Zip, to dlaczego oprócz Ciebie, nikt na świecie nie ma takiego pliku?
Chyba, że nikt na świecie też nie ma takiej karty…
W logu nie widzę nic podejrzanego.
jessi
mlody889
6 Październik 2007 17:59
#7
dobrze ;] Dziękuję bardzo. Wygląda na to, że pomogło
Gutek
7 Październik 2007 00:00
#8
Daj nowy log z Combo - kontrolnie!
