Windows krzyczy że system zainfekowany i co dalej?

wojtas69 (Wojtas96) 2007-02-18 21:24:28 UTC #1

program Spybot S&D wskazał na element D:\WINDOWS|system32\rpcc.dll jako niemożliwy do naprawienia

log z HJT poniżej, proszę o sugestie

Logfile of HijackThis v1.99.1 Scan saved at 21:51:16, on 2007-02-18 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\system32\spoolsv.exe D:\Program Files\Common Files\Autodata Limited Shared\Service\ADCDLicSvc.exe D:\WINDOWS\TEMP\184.tmp D:\Program Files\Norton AntiVirus\navapsvc.exe D:\Program Files\Norton AntiVirus\SAVScan.exe D:\WINDOWS\system32\svchost.exe D:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe D:\WINDOWS\system32\WgaTray.exe D:\WINDOWS\Explorer.EXE D:\WINDOWS\system32\wscntfy.exe D:\Program Files\Java\jre1.5.0_06\bin\jusched.exe D:\Program Files\HP\HP Software Update\HPWuSchd2.exe D:\WINDOWS\system32\ctfmon.exe D:\Program Files\Messenger\msmsgs.exe D:\Program Files\Skype\Phone\Skype.exe D:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe D:\Program Files\Windows Communicator\Communicator.exe D:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe D:\DOCUME~1\michciu\USTAWI~1\Temp\NeuIHbqfh D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\system32\svchost.exe D:\Program Files\Internet Explorer\iexplore.exe D:\WINDOWS\smss.exe D:\WINDOWS\dsrss.exe D:\WINDOWS\winlogon.exe D:\Program Files\Java\jre1.5.0_06\bin\jucheck.exe D:\Program Files\WinRAR\WinRAR.exe D:\DOCUME~1\michciu\USTAWI~1\Temp\Rar$EX00.599\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://as.starware.com/dp/search?x=wKX1 ... U+kzNTAL9x R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: ib15_27.CBrowserHelper - {1E6CE4CD-161B-4847-B8BF-E2EF72299D69} - D:\WINDOWS\system32\ib15.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: Explorer Class - {962F12AE-2773-4BEB-99EA-B5C3AB9A6606} - D:\WINDOWS\system32\xsfer.dll O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Program Files\Norton AntiVirus\NavShExt.dll O2 - BHO: (no name) - {CA356D79-679B-4b4c-8E49-5AF97014F4C1} - (no file) O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Program Files\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM..\Run: [ccApp] "D:\Program Files\Common Files\Symantec Shared\ccApp.exe" O4 - HKLM..\Run: [symantec NetDriver Monitor] D:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe O4 - HKLM..\Run: [sunJavaUpdateSched] D:\Program Files\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM..\Run: [HP Software Update] D:\Program Files\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM..\Run: [ControlPanel] D:\WINDOWS\system32\cmd32.exe internat.dll,LoadKeyboardProfile O4 - HKLM..\Run: [Microsoft Windows Session Manager Subsystem] D:\WINDOWS\smss.exe O4 - HKLM..\Run: [Microsoft Windows Logon Process] D:\WINDOWS\winlogon.exe O4 - HKLM..\Run: [WinSysModule] dsrss.exe O4 - HKCU..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe O4 - HKCU..\Run: [MSMSGS] "D:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU..\Run: [skype] "D:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU..\Run: [Windows installer] C:\winstall.exe O4 - Global Startup: HP Digital Imaging Monitor.lnk = D:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe O4 - Global Startup: Windows Communicator.lnk = D:\Program Files\Windows Communicator\Communicator.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe O16 - DPF: {5A09E43F-A0A7-4ABF-AF80-11367CF1DC8F} (MainControl Class) - http://mks.com.pl/skaner/SkanerOnline.cab O17 - HKLM\System\CCS\Services\Tcpip..{7B8631A2-7B6B-49F1-B410-EC03E79EC066}: NameServer = 194.204.152.34,80.55.254.26 O20 - AppInit_DLLs: D:\WINDOWS\system32\win_46.dll O21 - SSODL: OPwcu - {38EBA61F-9241-0CB5-B5C4-836E660BD5E1} - D:\WINDOWS\system32\aski.dll O23 - Service: Autodata Limited License Service - Unknown owner - D:\Program Files\Common Files\Autodata Limited Shared\Service\ADCDLicSvc.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - D:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe O23 - Service: Macromedia Updater (mmupdate) - Unknown owner - D:\WINDOWS\TEMP\184.tmp".exe (file missing) O23 - Service: Windows Logon Process Service (MSWinLogonProcService) - Unknown owner - D:\WINDOWS\winlogon.exe" -service (file missing) O23 - Service: Usługa Auto Protect programu Norton AntiVirus (navapsvc) - Symantec Corporation - D:\Program Files\Norton AntiVirus\navapsvc.exe O23 - Service: Pml Driver HPZ12 - HP - D:\WINDOWS\system32\HPZipm12.exe O23 - Service: SAVScan - Symantec Corporation - D:\Program Files\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - D:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - D:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - D:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe

JNJN (JNJN) 2007-02-18 21:28:58 UTC #2

Przeczytaj tematy przyklejone w tym dziale i popraw posta.JNJN

adam9870 (adam9870) 2007-02-18 21:55:03 UTC #3

Nie trzymaj hijacka w TEMPie lub innym katalogu tymczasowym. Umieść go np. na pulpicie.

Użyj Windows Worms Doors Cleanera zmień znaczki z disable na enable (wszystkie znaczki maja być na zielono, jeżeli któryś z nich będzie na żółto to go zostaw). Po użyciu narzędzia wymagany jest restart.

Start => uruchom => wpisz cmd i kliknij OK => w konsoli, która się otworzy wpisz:

Ściągasz program KillBox, zaznaczasz Delete on reboot , w polu full path of file wklej ścieżki:

D:\WINDOWS\system32\ib15.dll

D:\WINDOWS\system32\xsfer.dll

D:\WINDOWS\system32\cmd32.exe

D:\WINDOWS\smss.exe

D:\WINDOWS\dsrss.exe

D:\WINDOWS\winlogon.exe

C:\winstall.exe

D:\WINDOWS\system32\win_46.dll

D:\WINDOWS\system32\aski.dll

po wklejeniu każdej ścieżki z osobna klikasz na czerwonego iksa, ale dopiero po wklejeniu ostatniej zgadzasz się na restart.

Użyj progrmu ATF Cleaner i przeczyść Current User Temp oraz All Users Temp.

Użyj narzędzia SmitFraudFix z opcji numer 2 w trybie awaryjnym.

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://as.starware.com/dp/search?x=wKX1 ... Hhd+DajEBe o1Lxl6vnRWwbt7kFifbhsAt8n6iCmOTMza1H6AEY2IgeysmZ1h93lmCEglotfNvB3RLM9Bkt2zsl0NDH d4oTcQOEZdDUpGnI8mVgxDezxG6KiyIdgl53PlvMznJSc0nURH+rtxViVU+kzNTAL9x O2 - BHO: ib15_27.CBrowserHelper - {1E6CE4CD-161B-4847-B8BF-E2EF72299D69} - D:\WINDOWS\system32\ib15.dll O2 - BHO: Explorer Class - {962F12AE-2773-4BEB-99EA-B5C3AB9A6606} - D:\WINDOWS\system32\xsfer.dll O2 - BHO: (no name) - {CA356D79-679B-4b4c-8E49-5AF97014F4C1} - (no file) O4 - HKLM..\Run: [ControlPanel] D:\WINDOWS\system32\cmd32.exe internat.dll,LoadKeyboardProfile O4 - HKLM..\Run: [Microsoft Windows Session Manager Subsystem] D:\WINDOWS\smss.exe O4 - HKLM..\Run: [Microsoft Windows Logon Process] D:\WINDOWS\winlogon.exe O4 - HKLM..\Run: [WinSysModule] dsrss.exe O4 - HKCU..\Run: [Windows installer] C:\winstall.exe O20 - AppInit_DLLs: D:\WINDOWS\system32\win_46.dll O21 - SSODL: OPwcu - {38EBA61F-9241-0CB5-B5C4-836E660BD5E1} - D:\WINDOWS\system32\aski.dll O23 - Service: Macromedia Updater (mmupdate) - Unknown owner - D:\WINDOWS\TEMP\184.tmp".exe (file missing) O23 - Service: Windows Logon Process Service (MSWinLogonProcService) - Unknown owner - D:\WINDOWS\winlogon.exe" -service (file missing)

Usuń wpisy HJT.

Po wykonaniu pokaż nowy log z HijackThis, SilentRunners oraz zawartość pliku c:\rapport.txt

Oparte na Discourse, najlepiej oglądać z włączonym JavaScriptem