Wtam
Ostatnio miałem mały problem z virami typu: Backdoor.Perlovga.A; Dropper.Small.apl; Trojan.Copier no przynajmniej te udało sie wykryc po kilku scanach net przestał działac i pare innych kłopotów też się pojawiło. W końcu bezradny postawiłem nowy system i spotkała mnie nowa niespodzianaka w postaci kolejnych zainfekowanych plików, które chyba udało mi się usuną. Poniżej podaje loga z Hijacka z prośbą o ich sprawdzenie.
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:34:23, on 2007-12-29 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\wscntfy.exe C:\Program Files\ATI Technologies\ATI.ACE\cli.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe C:\WINDOWS\system32\RaConfig.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.adobe.com/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza F3 - REG:win.ini: load=C:\WINDOWS\svchost.exe O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM…\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM…\Run: [ATICCC] “C:\Program Files\ATI Technologies\ATI.ACE\cli.exe” runtime O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA LOKALNA’) O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’) O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’) O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’) O4 - Startup: Connection through RT2400 Wireless LAN Card.lnk = ? O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe O4 - Global Startup: RaConfig.lnk = C:\WINDOWS\system32\RaConfig.exe O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra ‘Tools’ menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra ‘Tools’ menuitem: @xpsp3res.dll ,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab O17 - HKLM\System\CCS\Services\Tcpip…{77C6FC4E-B0E0-4C5C-B6A6-4256F6713E29}: NameServer = 213.199.204.162 213.199.204.3 O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe – End of file - 3302 bytes
THX za pomoc i pozdr. all
Gutek
(Gutek)
29 Grudzień 2007 18:52
#2
F3 - REG:win.ini: load=C:\WINDOWS\svchost.exe
Pobierz program SDFix
Dzięki Gutek2222
a co tak naprawde oznacza ten wpis ?? za co jest odpowiedzialny ??
Gutek
(Gutek)
29 Grudzień 2007 20:18
#5
Nie poszło wszystko - Daj log z ComboFix
Infekcja z pena:
C:\copy.exe
C:\WINDOWS\xcopy.exe
Ponizej raport z ComboFix-a, odpaliłem go najpierw w awaryjnym a nstępnie po restarcie kompa raport wyswietlił się w trybie normalnym.
Ps. jak rozpoznajesz jaki i kiedy plik jest zarażony ?? można sie tego w jakiś łatwy sposób nauczy są jakieś poradniki itp. ?? moge dostac jakiś link??
ComboFix 07-12-21.4 - Sylwunia 2007-12-30 12:34:34.1 - [color=red][b]FAT32[/b][/color]x86 MINIMAL
Gutek
(Gutek)
30 Grudzień 2007 13:40
#7
Otwórz Notatnik i wklej w nim to:
Windows Registry Editor Version 5.00
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG >>> kliknij dwa razy na utworzony plik FIX.REG i potwierdź dodanie do rejestru >>> restart.
Wyskakuje mały błąd o braku spójności danych - “tylko dane w postaci binarnej” o ile dobrze pamiętam co mam z tym dale zrobić ??
Gutek
(Gutek)
30 Grudzień 2007 20:18
#9
>>Start >>> Uruchom >>> wybierz (lub wpisz) REGEDIT>>OK>
>rozwiń ten klucz,klikając na (+):
>(+)HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2
>zaznacz: D>>prawoklik>>usuń
>zwiń ten klucz, klikając na (-).