Co kilka minut pojawia się tekst jak w temacie posta, ikonka cały czas widoczna w trayu. Mam pozamykane porty WWDC - są na zielono z wyjątkiem NetBIOS, który jest na żółto. Uruchamiałem SmitfraudFix z opcją 2, usunąłem w HJT wpis: O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll, ale ikonka nie znika i pojawia się wciąż napis w “dymku” - your computer is infected. Ponadto przy zamykaniu systemu pojawia się przez chwile komunikat: “Zainicjowanie aplikacji nie powiodło się, gdyż jest właśnie zamykana”
Wklejam logi:
HJT
Logfile of HijackThis v1.99.1 Scan saved at 15:48:22, on 2007-02-24 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\tcpipmon.exe C:\WINDOWS\System32\tcpipmon.exe C:\Download\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O4 - HKLM…\Run: [tcpipmon] tcpipmon.exe O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
Sillent
“Silent Runners.vbs”, revision 49, http://www.silentrunners.org/ Operating System: Windows XP Output limited to non-default values, except where indicated by “{++}” Startup items buried in registry: --------------------------------- HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++} “tcpipmon” = “tcpipmon.exe” [MS] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ “{42071714-76d4-11d1-8b24-00a0c9068ff3}” = “Rozszerzenie CPL kadrowania wyświetlania” -> {HKLM…CLSID} = “Rozszerzenie CPL kadrowania wyświetlania” \InProcServer32(Default) = “deskpan.dll” [file not found] “{88895560-9AA2-1069-930E-00AA0030EBC8}” = “Rozszerzenie ikony HyperTerminalu” -> {HKLM…CLSID} = “HyperTerminal Icon Ext” \InProcServer32(Default) = “C:\WINDOWS\System32\hticons.dll” [“Hilgraeve, Inc.”] “{0006F045-0000-0000-C000-000000000046}” = “Microsoft Outlook Custom Icon Handler” -> {HKLM…CLSID} = “Rozszerzenie ikon plików programu Outlook” \InProcServer32(Default) = “C:\Program Files\Microsoft Office\Office10\OLKFSTUB.DLL” [MS] “{42042206-2D85-11D3-8CFF-005004838597}” = “Microsoft Office HTML Icon Handler” -> {HKLM…CLSID} = (no title provided) \InProcServer32(Default) = “C:\Program Files\Microsoft Office\Office10\msohev.dll” [MS] “{B41DB860-8EE4-11D2-9906-E49FADC173CA}” = “WinRAR shell extension” -> {HKLM…CLSID} = “WinRAR” \InProcServer32(Default) = “C:\Program Files\WinRAR\rarext.dll” [null data] HKLM\Software\Classes\Folder\shellex\ColumnHandlers\ {F9DB5320-233E-11D1-9F84-707F02C10627}(Default) = “PDF Column Info” -> {HKLM…CLSID} = “PDF Shell Extension” \InProcServer32(Default) = “C:\Program Files\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll” [“Adobe Systems, Inc.”] HKLM\Software\Classes*\shellex\ContextMenuHandlers\ WinRAR(Default) = “{B41DB860-8EE4-11D2-9906-E49FADC173CA}” -> {HKLM…CLSID} = “WinRAR” \InProcServer32(Default) = “C:\Program Files\WinRAR\rarext.dll” [null data] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ WinRAR(Default) = “{B41DB860-8EE4-11D2-9906-E49FADC173CA}” -> {HKLM…CLSID} = “WinRAR” \InProcServer32(Default) = “C:\Program Files\WinRAR\rarext.dll” [null data] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ WinRAR(Default) = “{B41DB860-8EE4-11D2-9906-E49FADC173CA}” -> {HKLM…CLSID} = “WinRAR” \InProcServer32(Default) = “C:\Program Files\WinRAR\rarext.dll” [null data] Group Policies {GPedit.msc branch and setting}: ----------------------------------------------- Note: detected settings may not have any effect. HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\ “shutdownwithoutlogon” = (REG_DWORD) hex:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Shutdown: Allow system to be shut down without having to log on} “undockwithoutlogon” = (REG_DWORD) hex:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Devices: Allow undock without having to log on} Active Desktop and Wallpaper: ----------------------------- Active Desktop may be disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState Displayed if Active Desktop enabled and wallpaper not set by Group Policy: HKCU\Software\Microsoft\Internet Explorer\Desktop\General\ “Wallpaper” = “C:\Documents and Settings\Agnieszka\Ustawienia lokalne\Dane aplikacji\Microsoft\Wallpaper1.bmp” Displayed if Active Desktop disabled and wallpaper not set by Group Policy: HKCU\Control Panel\Desktop\ “Wallpaper” = “C:\Documents and Settings\Agnieszka\Ustawienia lokalne\Dane aplikacji\Microsoft\Wallpaper1.bmp” Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = “%SystemRoot%\System32\mswsock.dll” [MS] 000000000002\LibraryPath = “%SystemRoot%\System32\winrnr.dll” [MS] 000000000003\LibraryPath = “%SystemRoot%\System32\mswsock.dll” [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 11 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 ---------- + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + The search for DESKTOP.INI DLL launch points on all local fixed drives took 199 seconds. ---------- (total run time: 1283 seconds)
Combofix
ComboFix 07-02-11 - Running from: “C:\Download\hijackthis\combofix” ((((((((((((((((((((((((((((((( Files Created from 2007-01-24 to 2007-02-24 )))))))))))))))))))))))))))))))))) 2007-02-24 15:20 2007-02-24 14:59 1,466 --a------ C:\WINDOWS\system32\tmp.reg 2007-02-24 14:57 524,288 --ah----- C:\DOCUME~1\ADMINI~1\NTUSER.DAT 2007-02-24 14:57 2007-02-24 14:57 2007-02-24 14:57 2007-02-24 14:57 2007-02-24 14:57 2007-02-24 14:57 2007-02-24 14:57 2007-02-24 14:45 2007-02-24 12:16 48,128 --a------ C:\hntrdcrm.exe 2007-02-24 12:16 30,720 --a------ C:\WINDOWS\system32\tcpipmon.exe 2007-02-24 12:14 5,120 --a------ C:\WINDOWS\msnhp32.dll 2007-02-23 15:51 2007-02-21 20:42 2007-02-21 20:41 5,140,056 --a------ C:\spik200.exe 2007-02-21 20:41 2007-02-12 22:22 2007-02-12 14:59 2007-02-10 12:09 2007-02-10 09:37 2007-02-08 20:31 2007-02-08 19:59 2007-02-08 19:54 2007-02-07 20:31 2007-02-07 20:31 2007-02-07 20:30 2007-02-07 20:30 2007-02-07 20:30 2007-02-07 20:29 2007-02-03 20:14 2007-01-29 20:26 2007-01-27 18:41 2007-01-26 16:58 (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-02-10 12:20 1632 --a------ C:\WINDOWS\system32\d3d8caps.dat 2007-01-14 17:57 -------- d-------- C:\DOCUME~1\AGNIES~1\Dane aplikacji\media player classic 2007-01-12 20:46 -------- d-------- C:\Program Files\cartall 2007-01-12 15:33 -------- d-------- C:\Program Files\gadu-gadu 2006-12-13 13:25 69952 --a------ C:\WINDOWS\system32\skaneronlineuninstall.exe 2006-12-10 18:06 921600 --a------ C:\WINDOWS\system32\vorbisenc.dll 2006-12-10 18:06 45056 --a------ C:\WINDOWS\system32\ogg.dll 2006-12-10 18:06 237568 --a------ C:\WINDOWS\system32\oggds.dll 2006-12-10 18:06 188416 --a------ C:\WINDOWS\system32\vorbis.dll 2006-12-10 18:05 9216 --a------ C:\WINDOWS\system32\cpuinf32.dll 2006-12-10 18:05 679936 --a------ C:\WINDOWS\system32\xvidcore.dll 2006-12-10 18:05 245760 --a------ C:\WINDOWS\system32\mplvpx.dll 2006-12-10 18:05 155648 --a------ C:\WINDOWS\system32\xvidvfw.dll 2006-12-10 18:04 626688 --a------ C:\WINDOWS\system32\xvid.dll 2006-12-02 10:27 2036094 --a------ C:\Program Files\bez˙tytuu.bmp (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run] “tcpipmon”=“tcpipmon.exe” [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL] “Installed”=“1” [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI] “Installed”=“1” “NoChange”=“1” [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS] “Installed”=“1” [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Agnieszka^Menu Start^Programy^Autostart^Rejestrowanie produktów Corela.lnk] “path”=“C:\Documents and Settings\Agnieszka\Menu Start\Programy\Autostart\Rejestrowanie produktów Corela.lnk” “backup”=“C:\WINDOWS\pss\Rejestrowanie produktów Corela.lnkStartup” “location”=“Startup” “command”=“C:\PROGRA~1\Corel\GRAPHI~1\Register\Remind32.exe " “item”=“Rejestrowanie produktów Corela” [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users.WINDOWS^Menu Start^Programy^Autostart^Microsoft Office.lnk] “path”=“C:\Documents and Settings\All Users.WINDOWS\Menu Start\Programy\Autostart\Microsoft Office.lnk” “backup”=“C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup” “location”=“Common Startup” “command”=“C:\PROGRA~1\MICROS~2\Office10\OSA.EXE -b -l” “item”=“Microsoft Office” [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Hurricanesoft Internet Security 2006] “key”=“SOFTWARE\Microsoft\Windows\CurrentVersion\Run” “item”=“HIS2006” “hkey”=“HKLM” “command”=“C:\Program Files\Hurricanesoft\Hurricanesoft Internet Security 2006\HIS2006.exe” “inimapping”=“0” [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS] “key”=“SOFTWARE\Microsoft\Windows\CurrentVersion\Run” “item”=“msmsgs” “hkey”=“HKCU” “command”=”“C:\Program Files\Messenger\msmsgs.exe” /background" “inimapping”=“0” [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] “SecurityProviders”=“msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll” [HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost] LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0 NetworkService REG_MULTI_SZ DnsCache\0\0 rpcss REG_MULTI_SZ RpcSs\0\0 imgsvc REG_MULTI_SZ StiSvc\0\0 termsvcs REG_MULTI_SZ TermService\0\0 ~ ~ ~ ~ ~ ~ ~ ~ Hijackthis Backups ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ backup-20070224-151022-348 O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll backup-20070224-151001-789 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\npjpi150_10.dll backup-20070224-150938-779 O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx backup-20070224-150907-375 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll backup-20070224-150848-478 O4 - HKLM…\Run: [sunJavaUpdateSched] “C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe” backup-20070224-150827-767 O4 - HKLM…\Run: [QuickTime Task] “C:\Program Files\QuickTime\qttask.exe” -atboottime backup-20070224-150801-776 O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MainControl Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab backup-20070224-150728-500 R3 - Default URLSearchHook is missing backup-20070224-150728-417 O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32\rpcc.dll (file missing) ******************************************************************** catchme 0.1 W2K/XP - userland rootkit detector by Gmer, 17 October 2006 http://www.gmer.net scanning hidden processes … scanning hidden services … scanning hidden autostart entries … scanning hidden files … scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 ******************************************************************** Completion time: 07-02-24 15:50:54
Smitfraudfix
SmitFraudFix v2.144 Scan done at 16:29:19,38, 2007-02-24 Run from C:\Download\hijackthis\smithfraudfix\SmitfraudFix OS: Microsoft Windows XP [Wersja 5.1.2600] - Windows_NT The filesystem type is FAT32 Fix run in normal mode »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix !Attention, following keys are not inevitably infected! SrchSTS.exe by S!Ri Search SharedTaskScheduler’s .dll »»»»»»»»»»»»»»»»»»»»»»»» Killing process »»»»»»»»»»»»»»»»»»»»»»»» hosts 127.0.0.1 localhost »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix GenericRenosFix by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !Attention, following keys are not inevitably infected! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] “System”="" »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning Registry Cleaning done. »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix !Attention, following keys are not inevitably infected! SrchSTS.exe by S!Ri Search SharedTaskScheduler’s .dll »»»»»»»»»»»»»»»»»»»»»»»» End
adam9870
(adam9870)
24 Luty 2007 17:32
#2
Proszę nie używać ComboFixa ze względów bezpieczeństwa ponieważ zastosowanie jego bez wcześniejszego wykluczenia rootkita może bardzo źle się skończyć. Aktualnie Autor narzędzia pracuje nad poprawieniem tej kwestii ale zapewne to trochę potrwa. Zamiast jego możesz używać ComboScan .
Usunąłeś prawidłowe wpisy z hijacka:
Przywróć je za pomocą funkcji View the list of backups. Opis znajduje się tutaj:
http://forum.dobreprogramy.pl/viewtopic.php?t=36654
Przeskanuj plik C:\hntrdcrm.exe na stronie http://www.virustotal.com/ a jeśli okaże się szkodliwy to ścieżkę do niego również wklej w killboxie.
Ściągasz program KillBox , zaznaczasz Delete on reboot , w polu full path of file wklej ścieżki:
C:\WINDOWS\system32\tcpipmon.exe
C:\WINDOWS\msnhp32.dll
po wklejeniu każdej ścieżki z osobna klikasz na czerwonego iksa, ale dopiero po wklejeniu ostatniej zgadzasz się na restart.
Otwórz Notatnik i wklej w nim to:
Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG >>> kliknij dwa razy na utworzony plik FIX.REG i potwierdź dodanie do rejestru >>> restart.
Usuń wpis HJT jeśli będzie.