Wirus - spyware warning + log

arawis · 20 Październik 2007 14:35

Witam wszystkich

Problem ten już był tutaj opisywany. Otóż polega on na tym, że strona startowa w IE jest ustawiona na:

C:\WINDOWS\system32\spywarewarning.mht

a w prawym rogu na dole co jakiś czas wyskakują mi komunikaty o tym, że mój komputer został zaatakowany przez programy szpiegowskie.

Załączam log z HijackThis (wersja 2.0.2) i proszę, doradźcie, co tam jest nie tak.

Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 16:21:24, on 2007-10-20 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Vtune\TBPanel.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe C:\Program Files\QuickTime\qttask.exe C:\Program Files\iTunes\iTunesHelper.exe C:\Program Files\D-Tools\daemon.exe C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe C:\WINDOWS\svc.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Messenger\msmsgs.exe C:\WINDOWS\svhoster.exe C:\WINDOWS\runsql.exe C:\Program Files\Gadu-Gadu\gg.exe C:\Program Files\AntiVir PersonalEdition Classic\sched.exe C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\adsndsm.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\iPod\bin\iPodService.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\wuauclt.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\system32\spywarewarning.mht R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing) O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing) O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing) O4 - HKLM…\Run: [Gainward] C:\Program Files\Vtune\TBPanel.exe /A O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM…\Run: [nwiz] nwiz.exe /install O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM…\Run: [avgnt] “C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe” /min O4 - HKLM…\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM…\Run: [RemoteControl] “C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe” O4 - HKLM…\Run: [QuickTime Task] “C:\Program Files\QuickTime\qttask.exe” -atboottime O4 - HKLM…\Run: [iTunesHelper] “C:\Program Files\iTunes\iTunesHelper.exe” O4 - HKLM…\Run: [bearShare] “C:\Program Files\BearShare\BearShare.exe” /pause O4 - HKLM…\Run: [NI.UERSL_9999_N91S2209] “c:\documents and settings\administrator\dane aplikacji\errorsafeswedishnewreleaseinstall[2].exe” -nag O4 - HKLM…\Run: [DAEMON Tools-1033] “C:\Program Files\D-Tools\daemon.exe” -lang 1033 O4 - HKLM…\Run: [net64] C:\WINDOWS\svhoster.exe O4 - HKLM…\Run: [Adobe Reader Speed Launcher] “C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe” O4 - HKLM…\Run: [netzip] C:\WINDOWS\svzip.exe O4 - HKLM…\Run: [runsql] C:\WINDOWS\runsql.exe O4 - HKLM…\Run: [netsv32] C:\WINDOWS\sv.exe O4 - HKLM…\Run: [netc] C:\WINDOWS\svc.exe O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background O4 - HKCU…\Run: [AQQ] C:\PROGRA~1\Wapster\AQQ\AQQ.exe O4 - HKCU…\Run: [Gadu-Gadu] “C:\Program Files\Gadu-Gadu\gg.exe” /tray O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA LOKALNA’) O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’) O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’) O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’) O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {69EF49E5-FE46-4B92-B5FA-2193AB7A6B8A} (GameLauncher Control) - http://www.acclaim.com/cabs/acclaim_v5.cab O17 - HKLM\System\CCS\Services\Tcpip…{C3BEC9ED-4A74-4711-8F6A-1A4868EC1508}: NameServer = 91.189.140.254 O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: ClipBook ClipSrvhelpsvc (ClipSrvhelpsvc) - Unknown owner - C:\WINDOWS\system32\adsndsm.exe O23 - Service: ClipBook ClipSrvSysmonLog (ClipSrvSysmonLog) - Unknown owner - C:\WINDOWS\system32\activedsd.exe O23 - Service: Klient DHCP DhcpAppMgmt (DhcpAppMgmt) - Unknown owner - C:\WINDOWS\system32\amcompatt.exe (file missing) O23 - Service: Klient DHCP DhcpAppMgmt DhcpAppMgmtShellHWDetectionNVSvc (DhcpAppMgmtShellHWDetectionNVSvc) - Unknown owner - C:\WINDOWS\system32\advapi32f.exe (file missing) O23 - Service: Klient DHCP DhcpWmi (DhcpWmi) - Unknown owner - C:\WINDOWS\system32\1033t.exe (file missing) O23 - Service: HTTP SSL HTTPFilterNetlogon (HTTPFilterNetlogon) - Unknown owner - C:\WINDOWS\system32\1760907725hj.exe (file missing) O23 - Service: iPod Service - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Wykrywanie sprzętu powłoki ShellHWDetectionNetDDEdsdm (ShellHWDetectionNetDDEdsdm) - Unknown owner - C:\WINDOWS\system32\aaaamonp.exe (file missing) O23 - Service: Wykrywanie sprzętu powłoki ShellHWDetectionNVSvc (ShellHWDetectionNVSvc) - Unknown owner - C:\WINDOWS\system32\1760907725h.exe (file missing) O23 - Service: Telefonia TapiSrvPolicyAgent (TapiSrvPolicyAgent) - Unknown owner - C:\WINDOWS\system32\acleditz.exe (file missing) O23 - Service: Usługa dostarczania sieci xmlprovSysmonLog (xmlprovSysmonLog) - Unknown owner - C:\WINDOWS\system32\1041d.exe (file missing) – End of file - 6782 bytes

jessica · 20 Październik 2007 16:37

>>Hijack>>scan(Do a system scan only)>>zaznacz je >> Fix checked.

Potem ściągnij -->ComboFix.

Wklej do Notatnika :

File::

C:\WINDOWS\svc.exe

C:\WINDOWS\svhoster.exe

C:\WINDOWS\runsql.exe

C:\WINDOWS\system32\adsndsm.exe

C:\WINDOWS\system32\spywarewarning.mht

C:\documents and settings\administrator\dane aplikacji\errorsafeswedishnewreleaseinstall[2].exe

C:\documents and settings\administrator\dane aplikacji\errorsafeswedishnewreleaseinstall.exe

C:\WINDOWS\svzip.exe

C:\WINDOWS\sv.exe

C:\WINDOWS\system32\activedsd.exe

C:\WINDOWS\system32\amcompatt.exe

C:\WINDOWS\system32\advapi32f.exe

C:\WINDOWS\system32\1033t.exe

C:\WINDOWS\system32\1760907725hj.exe

C:\WINDOWS\system32\aaaamonp.exe

C:\WINDOWS\system32\1760907725h.exe

C:\WINDOWS\system32\acleditz.exe

C:\WINDOWS\system32\1041d.exe


Driver::

ClipSrvhelpsvc

ClipSrvSysmonLog

DhcpAppMgmt

DhcpAppMgmtShellHWDetectionNVSvc

DhcpWmi

HTTPFilterNetlogon

ShellHWDetectionNetDDEdsdm

ShellHWDetectionNVSvc

TapiSrvPolicyAgent

xmlprovSysmonLog


Registry::

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] 

"NI.UERSL_9999_N91S2209"=-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] 

"net64"=-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] 

"netzip"=-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] 

"runsql"=-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

"netsv32"=-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

"netc"=-

>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku –>

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: ** Qoobox**.

Daj log z Hijacka i log z ComboFixa.

Log wklej na http://wklej.org/, a w poście daj tylko link.(czyli skopiuj adres z paska adresów).

jessi

arawis · 20 Październik 2007 17:38

Zrobiłam tak i wszystko już działa jak powinno

Tu jest log z HijackThis:

http://wklej.org/id/c389efe399

A tu z Combofix (ten, który powstał po usunięciu śmieci)

http://wklej.org/id/3b94f15875

Dzięki

jessica · 20 Październik 2007 17:54

Wklej do Notatnika :

File::

C:\WINDOWS\system32\wqjevkyn.fsu


Driver::

WQJEVKYN

>>Plik>>Zapisz jako… >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

– podobnie jak na tym obrazku –>

Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: ** Qoobox**.

Log do kontroli.

jessi

arawis · 21 Październik 2007 08:08

Log z ComboFix:

http://www.wklej.org/id/78b0ce308e

jessica · 21 Październik 2007 08:13

Wg mnie - jest czysto.

jessi

arawis · 21 Październik 2007 08:22

Dzięki za pomoc