Zamulanie sieci


(Sastec) #1

Witam

Nie zauważyłem w zasadach wzmianki o dublowaniu tematów jeśli jest taka zasada to z góry przepraszam za jej złamanie.

A oto z czym przychodzę:

Praktycznie nowo zainstalowany win2000 i neo. I po restarcie kompa góra dwie strony w sieci można obejrzeć, a potem już kicha.

Zauważyłem, że w procesach mam winamp.exe a jeszcze winampa nie zdażyłem zainstalować, zakończyłem proces i sieć zaczęła śmigać. :slight_smile:

Proszę podpowiedzieć jak sie tego bezpiecznie pozbyć a i zerknąć przy okazji czy jeszcze czegoś trefnego nie widać.

Logfile of HijackThis v1.99.1

Scan saved at 16:54:30, on 2007-06-05

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)


Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\Explorer.EXE

C:\WINNT\system32\vcmpodcg.exe

C:\WINNT\system32\internat.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINNT\system32\cmd.exe

D:\hijackThis\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL (file missing)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [Winamp Agent] C:\WINNT\system32\winamp.exe

O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\WINNT\system32\vcmpodcg.exe

O4 - HKLM\..\Run: [SYSTEM] winmgrd.exe

O4 - HKLM\..\RunServices: [SYSTEM] winmgrd.exe

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - HKCU\..\Run: [SYSTEM] winmgrd.exe

O4 - HKCU\..\RunServices: [SYSTEM] winmgrd.exe

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1180951080690

O17 - HKLM\System\CCS\Services\Tcpip\..\{911DABC3-2CD0-4865-BCBF-6A0B5CE95AA7}: NameServer = 194.204.159.1 217.98.63.164

O23 - Service: Usługa administracyjna Menedżera dysków logicznych (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

P.S. W aktywnych procesach nie ma zakończonego "winamp.exe"

Pozdrawiam


(Gutek) #2

w trybie awaryjnym usuń plki ręcznie, a wpisy HJT

Daj log z Combofix


(Sastec) #3

cobofix:


(Gutek) #4

Pobierz The Avenger. Wypakuj => uruchom => zaznacz opcję Input script manually => kliknij w taką lupkę => w okienku, które się otworzy wklej:

kliknij klawisz Done => teraz kliknij na zielone światełko => powinna pojawić się pewna informacja i kliknij OK (teraz restart).

Otwórz Notatnik i wklej w nim to:

Plik >>> Zapisz jako >>> Ustaw rozszerzenie z TXT na Wszystkie pliki >>> zapisz pod nazwą FIX.REG >>> kliknij podwójnie zrobiony plik i potwierdź >>> reset kompa


(Sastec) #5

Po restarcie wyskoczylo:

Logfile of The Avenger version 1, by Swandog46

Running from registry key:

\Registry\Machine\System\CurrentControlSet\Services\nfruqsal


*******************


Script file located at: npcwhtkj


Could not open script file! Error


Could not open script file! Status: 0xc000003b Abort!

Tak mialo byc?


(Gutek) #6

Daj nowy log z Combo


(Sastec) #7

Odpaliłem AVG anti-spyware i znalazł jeszcze 6 trefnych plików.

Został z nich już tylko jeden, do którego nie mogę się dobrać:

C:\WINNT\system32\winmgrd.exe -> Backdoor.Rbot : Ignored.

Nie widać go nawet w trybie awaryjnym.


(Gutek) #8

The Avenger=> uruchom => zaznacz opcję Input script manually => kliknij w taką lupkę => w okienku, które się otworzy wklej:

kliknij klawisz Done => teraz kliknij na zielone światełko => powinna pojawić się pewna informacja i kliknij OK (teraz restart).

Dokończyć skanerami online - Skanery do wyboru


(Sastec) #9

Ok, wygląda na to, że poskutkowało.

Dzieki! !!