Windows sie muli

przemo66 · 24 Sierpień 2007 18:58

Hej dzisiaj skanowalem kompa (avastem) i mi wykryl Win32:Trojan-gen. {Other} :evil: . Skasowal go lecz nie widze jakiejkolwiek porawy , komp sie muli ze az szkoda gadac i spowalnia neta prosze o niezwloczna pomoc

Logfile of HijackThis v1.99.1 Scan saved at 20:56:24, on 2007-08-24 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\System32\acs.exe C:\Program Files\ATI Technologies\ATI.ACE\cli.exe C:\Program Files\TP-LINK\TWCU\TWCU.exe C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\WINDOWS\System32\ctfmon.exe E:\Program Files\Ashampoo\Ashampoo UnInstaller Platinum 2\UIWatcher.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe E:\Program Files\Winamp\winamp.exe C:\Program Files\Mozilla Firefox\firefox.exe E:\Program Files\Gadu-Gadu\gg.exe C:\Program Files\WinRAR\WinRAR.exe C:\DOCUME~1\Franek\USTAWI~1\Temp\Rar$EX12.136\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.bearshare.com/sidebar.html?src=ssb R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.bearshare.com/sidebar.html?src=ssb R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.pl/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Give4Free Plugin Installer - {208E7E77-507A-4649-B0C9-D39E9049C7A2} - C:\Program Files\Give4Free Plugin\ibho1.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM…\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp O4 - HKLM…\Run: [ATICCC] “C:\Program Files\ATI Technologies\ATI.ACE\cli.exe” runtime O4 - HKLM…\Run: [TWCU] “C:\Program Files\TP-LINK\TWCU\TWCU.exe” -nogui O4 - HKLM…\Run: [sunJavaUpdateSched] “C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe” O4 - HKLM…\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU…\Run: [uIWatcher] E:\Program Files\Ashampoo\Ashampoo UnInstaller Platinum 2\UIWatcher.exe O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office10\OSA.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windows … 6409002281 O17 - HKLM\System\CCS\Services\Tcpip…{332FE867-BC64-413F-A9CD-16D8EF001DA2}: NameServer = 85.255.116.105,85.255.112.215 O17 - HKLM\System\CCS\Services\Tcpip…{A2F8338A-3282-4DC9-9A40-96E11C0FE294}: NameServer = 194.204.159.1,194.204.152.34 O17 - HKLM\System\CCS\Services\Tcpip…{E175A171-2F3E-46AB-9977-DC4ED5431698}: NameServer = 85.255.116.105,85.255.112.215 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.105 85.255.112.215 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.105 85.255.112.215 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.105 85.255.112.215 O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing) O23 - Service: TP-LINK Configuration Service (ACS) - Unknown owner - C:\WINDOWS\System32\acs.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

LostWorld · 24 Sierpień 2007 19:42

Użyj Fixwareuot

Po jego użyciu może zajść potrzeba ustawiania od nowa DNS Twojego dostawcy internetowego.

przemo66:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.bearshare.com/sidebar.html?src=ssb R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.bearshare.com/sidebar.html?src=ssb R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb O2 - BHO: Give4Free Plugin Installer - {208E7E77-507A-4649-B0C9-D39E9049C7A2} - C:\Program Files\Give4Free Plugin\ibho1.dll O17 - HKLM\System\CCS\Services\Tcpip…{332FE867-BC64-413F-A9CD-16D8EF001DA2}: NameServer = 85.255.116.105,85.255.112.215 O17 - HKLM\System\CCS\Services\Tcpip…{E175A171-2F3E-46AB-9977-DC4ED5431698}: NameServer = 85.255.116.105,85.255.112.215 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.105 85.255.112.215 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.105 85.255.112.215 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.105 85.255.112.215

Te wpisy kasujesz czyli

Hijack => scan(Do a system scan only) => zaznacz je => Fix checked.

Potem log z Combofix i raport z C:\FixWareout.txt

http://forum.dobreprogramy.pl/viewtopic.php?t=36654

przemo66 · 25 Sierpień 2007 08:12

usunalem te logi ktore kazales ale nie czaje 2 czesci zadania co mam zrobic z tym programem Fixwareout?

jessica · 25 Sierpień 2007 08:44

Jak to co?

Użyj go wg opisu: opis użycia FixWareout.

Bez użycia FixWareout to samo sfiksowanie wpisów w Hijacku nic nie daje.

Ten Rootkit zmienia DNS-y.

jessi

przemo66 · 25 Sierpień 2007 09:24

ja cie zrobilem to tym progiem i po ponownym uruchomieniu kompa wyswietlil mi sie blad

istnieje konflikt adresow IP z innym systemem w sieci

Złączono Posta : 25.08.2007 (Sob) 11:40

a o to raport FixWareout jesli jest cos nie tak prosze o pomoc

[Fixwareout edited 2007/07/05]


»»»»»Prerun check



System was rebooted successfully. 


»»»»» Postrun check 

HKLM\SOFTWARE\~\Winlogon\ "System"="" 

....

....

»»»»» Misc files. 

....

»»»»» Checking for older varients.

....


»»»»» Current runs (hklm hkcu "run" Keys Only)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"

"Tweak UI"="RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp"

"ATICCC"="\"C:\\Program Files\\ATI Technologies\\ATI.ACE\\cli.exe\" runtime"

"TWCU"="\"C:\\Program Files\\TP-LINK\\TWCU\\TWCU.exe\" -nogui"

"SunJavaUpdateSched"="\"C:\\Program Files\\Java\\jre1.6.0_02\\bin\\jusched.exe\""

"avast!"="C:\\PROGRA~1\\ALWILS~1\\Avast4\\ashDisp.exe"

jessica · 25 Sierpień 2007 10:07

Po pierwsze: - to nie jest cały raport

Po drugie: po użyciu FixWareout trzeba oc nowa ustawiać DNS swego dostawcy internetowego, choć chyba w Twoim przypadku to nie będzie konieczne, bo w logu Hijacka był także jeden prawidłowy wpis “017”:

Po trzecie: miałeś dać także log z ComboFixa.

jessi

przemo66 · 25 Sierpień 2007 10:15

juz daje ale ciagle mi wyskakuje ten blad :istnieje konflikt adresow IP z innym systemem w sieci

ComboFix 07-08-25.2 - "Franek" 2007-08-25 11:54:09.1 - NTFSx86 

Microsoft Windows XP Professional 5.1.2600.0.1250.1.1045.18.99 [GMT 2:00]

 * Created a new restore point



((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))



C:\Program Files\myglobalsearch

C:\Program Files\myglobalsearch\bar\History\search



((((((((((((((((((((((((( Files Created from 2007-07-25 to 2007-08-25 )))))))))))))))))))))))))))))))



2007-08-25 11:51	51,200	--a------	C:\WINDOWS\nircmd.exe

2007-08-25 10:53	6,945	--a------	C:\dnsbak.reg

2007-08-22 12:28	
 



[color=darkblue][size=75][i][b]Złączono Posta[/b]: 25.08.2007 (Sob) 12:18[/i][/size][/color]

Prosze oto on

[code]Username “Franek” - 2007-08-25 11:35:13 [Fixwareout edited 2007/07/05] »»»»»Prerun check System was rebooted successfully. »»»»» Postrun check HKLM\SOFTWARE~\Winlogon\ “System”="" … … »»»»» Misc files. … »»»»» Checking for older varients. … »»»»» Current runs (hklm hkcu “run” Keys Only) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “NeroFilterCheck”=“C:\WINDOWS\system32\NeroCheck.exe” “Tweak UI”=“RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp” “ATICCC”="“C:\Program Files\ATI Technologies\ATI.ACE\cli.exe” runtime" “TWCU”="“C:\Program Files\TP-LINK\TWCU\TWCU.exe” -nogui" “SunJavaUpdateSched”="“C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe”" “avast!”=“C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe” [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “CTFMON.EXE”=“C:\WINDOWS\System32\ctfmon.exe” “UIWatcher”=“E:\Program Files\Ashampoo\Ashampoo UnInstaller Platinum 2\UIWatcher.exe” … Hosts file was reset, If you use a custom hosts file please replace it »»»»» End report »»»»»

jessica · 25 Sierpień 2007 10:48

Nic już z tego nie rozumiem, bo z raportu FixWareout wynika, że niczego nie usuwał, ani nie zmieniał.

Jeśli nic nie zmieniał, to skąd kłopoty z DNS?

W logu ComboFixa niczego podejrzanego nie widzę.

W sprawie problemu z DNS chyba musisz porozumieć się ze swoim dostawcą internetowym, by wyjaśnił, dlaczego występuje konflikt, choć nie powinien występować.?

jessi

przemo66 · 25 Sierpień 2007 12:59

nie wiem zadzwonie do niego ale mam neta u niego od roku i mi sie nic takiego nie wyswietlalo a teraz zaczelo wiec sie zaniepokoilem ale komp i tak chodzi jakby mial ze 100lat a przeciez nie mam najgorszego sprzetu

(1,7GHz AMD , 256ramów , karta radeon 9250 128mb no i dysk 40 gb )

Nie da sie nic zrobic ?

jessica · 25 Sierpień 2007 13:34

Podejrzewam, że to ten ukraiński Rootkit coś narozrabiał, ale nie wiem, co?

Przypadkowo oglądałam Twój najnowszy log z Hijacka na innym forum i w logu nie było już śladów Rootkita. Ale może pozostało coś, jakaś zmiana, której w logu nie widać.

Myślę, że @ Wiewia lepiej się na tym zna ode mnie, więc Ci pewnie tam skutecznie pomoże.

Powodzenia.

jessi

przemo66 · 25 Sierpień 2007 13:46

dziex oby, bo raczej do uslugodawcy mojego internetu nie mam co sie glosic bo on sie tak zna ze juz wole was posluchac niz go…