Problem z delsim dialer i inne

Dla specjalistów Bezpieczeństwo
#1

Cześć!

Mam Windows XP. I mam jakieś cholerstwo na kompie - delsim dialer a może i coś jeszcze. Nie umiem tego wyrzycić. Po uruchomieniu kompa poprzednio pojawiał mi się komunikat od mojego darmowego antyvirusa (Avira AntiVir) o wirusach lub niechcianych programach w postaci:

Sformatowałem partycje C (D nie ruszałem, mam jeden dysk podzielony na partycje C i D). Zainstalowałem inny antywir - avast, ale dalej to samo. Tu z kolei pojawił się podobny komunikat ‘Znaleziono pasożyta’ zawierający ten sam plik x3a3x4q7p6.exe:

Nie wiem co robić jak już format nie pomaga. Bezpośrednio po formatowaniu jest niby OK, ale jak włącze kabel do internetu żeby ściągnąć jakiegoś antywira i następuje pierwsze skanowanie dysku C to pojawiają się te komunikaty.

Proszę o pomoc i możliwie jasne rady bądź wskazówki, bo nie jestem orłem w te klocki.

Pzdr!

#2

daj logi z Hijackthis i Silentrunners

http://forum.dobreprogramy.pl/viewtopic.php?t=36654

#3 
Logfile of HijackThis v1.99.1

Scan saved at 16:15:30, on 2007-08-06

Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\BTStack.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\Explorer.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Documents and Settings\jarcko\Pulpit\hijackthis\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

F2 - REG:system.ini: Shell=Explorer.exe %WINDIR%\BTStack.exe

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Bluetooth Stack COM Server - Unknown owner - C:\WINDOWS\BTStack.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

"Silent Runners.vbs", revision R51, http://www.silentrunners.org/

Operating System: Windows XP

Output limited to non-default values, except where indicated by "{++}"



Startup items buried in registry:

---------------------------------


HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}

"swg" = "C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe" ["Google Inc."]


HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}

"SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."]

"ATIPTA" = "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" ["ATI Technologies, Inc."]

"(Default)" = "(empty string)" [file not found]

"ATICCC" = ""C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime" [null data]

"avast!" = "C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" ["ALWIL Software"]


HKLM\Software\Microsoft\Active Setup\Installed Components\

{306D6C21-C1B6-4629-986C-E59E1875B8AF}\(Default) = (no title provided)

                                       \StubPath = ""C:\WINDOWS\System32\rundll32.exe" "C:\Program Files\Messenger\msgsc.dll",ShowIconsUser" [MS]


HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\

{AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = (no title provided)

  -> {HKLM...CLSID} = "Google Toolbar Helper"

                   \InProcServer32\(Default) = "c:\program files\google\googletoolbar1.dll" ["Google Inc."]


HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\

"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Rozszerzenie CPL kadrowania wyświetlania"

  -> {HKLM...CLSID} = "Rozszerzenie CPL kadrowania wyświetlania"

                   \InProcServer32\(Default) = "deskpan.dll" [file not found]

"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Rozszerzenie ikony HyperTerminalu"

  -> {HKLM...CLSID} = "HyperTerminal Icon Ext"

                   \InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]

"{5E2121EE-0300-11D4-8D3B-444553540000}" = "Catalyst Context Menu extension"

  -> {HKLM...CLSID} = "SimpleShlExt Class"

                   \InProcServer32\(Default) = "C:\Program Files\ATI Technologies\ATI.ACE\atiacmxx.dll" [empty string]

"{472083B0-C522-11CF-8763-00608CC02F24}" = "avast"

  -> {HKLM...CLSID} = "avast"

                   \InProcServer32\(Default) = "C:\Program Files\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]

"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"

  -> {HKLM...CLSID} = "Rozszerzenie ikon plików programu Outlook"

                   \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office\OLKFSTUB.DLL" [MS]

"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"

  -> {HKLM...CLSID} = "WinRAR"

                   \InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]


HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\

<> "Shell" = "Explorer.exe %WINDIR%\BTStack.exe" [MS], [null data]


HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\

<> AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]


HKLM\Software\Classes\*\shellex\ContextMenuHandlers\

avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"

  -> {HKLM...CLSID} = "avast"

                   \InProcServer32\(Default) = "C:\Program Files\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

  -> {HKLM...CLSID} = "WinRAR"

                   \InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]


HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

  -> {HKLM...CLSID} = "WinRAR"

                   \InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]


HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\

avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"

  -> {HKLM...CLSID} = "avast"

                   \InProcServer32\(Default) = "C:\Program Files\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

  -> {HKLM...CLSID} = "WinRAR"

                   \InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]



Group Policies {GPedit.msc branch and setting}:

-----------------------------------------------


Note: detected settings may not have any effect.


HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\


"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001

{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|

Shutdown: Allow system to be shut down without having to log on}


"undockwithoutlogon" = (REG_DWORD) hex:0x00000001

{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|

Devices: Allow undock without having to log on}



Active Desktop and Wallpaper:

-----------------------------


Active Desktop may be disabled at this entry:

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState


Displayed if Active Desktop enabled and wallpaper not set by Group Policy:

HKCU\Software\Microsoft\Internet Explorer\Desktop\General\

"Wallpaper" = "C:\WINDOWS\web\wallpaper\Idylla.bmp"


Displayed if Active Desktop disabled and wallpaper not set by Group Policy:

HKCU\Control Panel\Desktop\

"Wallpaper" = "C:\WINDOWS\web\wallpaper\Idylla.bmp"



Enabled Screen Saver:

---------------------


HKCU\Control Panel\Desktop\

"SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS]



Startup items in "jarcko" & "All Users" startup folders:

--------------------------------------------------------


C:\Documents and Settings\All Users\Menu Start\Programy\Autostart

"ATI CATALYST System Tray" -> shortcut to: "C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe SystemTray" [null data]

"Microsoft Office" -> shortcut to: "C:\Program Files\Microsoft Office\Office\OSA9.EXE -b -l" [MS]



Winsock2 Service Provider DLLs:

-------------------------------


Namespace Service Providers


HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}

000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]

000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]


Transport Service Providers


HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}

0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:

%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 11

%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05



Toolbars, Explorer Bars, Extensions:

------------------------------------


Toolbars


HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\

"{2318C2B1-4965-11D4-9B18-009027A5CD4F}"

  -> {HKLM...CLSID} = "&Google"

                   \InProcServer32\(Default) = "c:\program files\google\googletoolbar1.dll" ["Google Inc."]


HKLM\Software\Microsoft\Internet Explorer\Toolbar\

"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = (no title provided)

  -> {HKLM...CLSID} = "&Google"

                   \InProcServer32\(Default) = "c:\program files\google\googletoolbar1.dll" ["Google Inc."]



Running Services (Display Name, Service Name, Path {Service DLL}):

------------------------------------------------------------------


Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\System32\Ati2evxx.exe" ["ATI Technologies Inc."]

avast! Antivirus, avast! Antivirus, ""C:\Program Files\Alwil Software\Avast4\ashServ.exe"" ["ALWIL Software"]

avast! iAVS4 Control Service, aswUpdSv, ""C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe"" ["ALWIL Software"]

avast! Mail Scanner, avast! Mail Scanner, ""C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service" ["ALWIL Software"]

avast! Web Scanner, avast! Web Scanner, ""C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service" ["ALWIL Software"]

Bluetooth Stack COM Server, Bluetooth Stack COM Server, ""C:\WINDOWS\BTStack.exe"" [null data]



---------- (launch time: 2007-08-06 16:21:28)

<>: Suspicious data at a malware launch point.


+ This report excludes default entries except where indicated.

+ To see *everywhere* the script checks and *everything* it finds,

  launch it from a command prompt or a shortcut with the -all parameter.

+ The search for DESKTOP.INI DLL launch points on all local fixed drives

  took 9 seconds.

---------- (total run time: 91 seconds)
#4

Nie widzę w tych logach nic podejrzanego.

Możesz dać jeszcze log z ComboFixa:

http://forum.dobreprogramy.pl/viewtopic.php?t=36654

(na dole tej strony z linku) -

Log wklej na http://wklej.org/, a w poście daj tylko link.

.

EDIT:

Przy okazji:

Pobierz Windows Worms Doors Cleaner

ustaw znaczki na zielono, Netbios może być na żółto.

Po użyciu narzędzia wymagany jest restart.

.

#5

Ja już w ogóle nie wiem o co chodzi. Wczoraj po zrobieniu tych logów z Hijackthis i Silentrunners i po restarcie komputera nie pojawił się żaden komunikat o wirusach. Gdy jednak wieczorem ponownie odpaliłem kompa to już avast znowu pokazał te same komunikaty o wirusie (patrz mój pierwszy post). I czuję że nie jest w porządku bo mi się wiesza co jakiś czas komputer. Dziś z kolei jak na razie avast o niczym nie zaalarmował. Nie rozumiem tego, co tu robic?

Oto log z combofix:

http://wklej.org/id/64c9b66cf4

#6

Log z ComboFix również nic szczególnego nie pokazał.

Przeskanuj system skanerem on-line na stronie http://www.ewido.net/de/onlinescan/ i wklej tu raport ze skanowania.

Dodatkowo poczytaj o prawidłowej instalacji systemu operacyjnego:

:arrow: Prawidłowe instalowanie Windows 2000/XP/2003

#7

O kurde… Ściągnij jakiś antyDialer albo dobry antySpyware, Np.a-squared Free. Wykasował Heurestic Dialer :smiley:

#8

Przeskanowałem tym skanerem on-line, ale to też chyba nic nie pokazało. Poniżej raport. W czasie tego skanowania, avast wyświetlił swoje (znane mi już) komunikaty o posożytach.

__________________________________________________

ewido anti-spyware online scanner

	http://www.ewido.net

__________________________________________________



Name: TrackingCookie.Tradedoubler

Path: C:\Documents and Settings\jarcko\Cookies\jarcko@tradedoubler[1].txt

Risk: Medium


Name: TrackingCookie.Connextra

Path: C:\Documents and Settings\jarcko\Cookies\jarcko@connextra[1].txt

Risk: Medium


Name: TrackingCookie.Netflame

Path: C:\Documents and Settings\jarcko\Cookies\jarcko@ssl-hints.netflame[2].txt

Risk: Medium

Ściągnąłem także i przeskanowałem a-squared free:

a-squared Free - Version 3.0

Last update: 2007-08-07 14:09:24


Skanowanie ustawień:


Obiekty: Pamięć, Ślady, Ciasteczka, C:\WINDOWS\, C:\Program Files

Skanowanie archiwów: Wł.

Heurystyka: Wł.

Skanowanie reklam: Wł.


Uruchomione skanowanie:	2007-08-07 14:09:52


[2884] C:\Program Files\Internet Explorer\IEXPLORE.EXE wykryto: Trojan.Win32.Patched.w

C:\Documents and Settings\jarcko\Cookies\jarcko@showit[1].txt wykryto: Trace.TrackingCookie

C:\Documents and Settings\jarcko\Cookies\jarcko@tradedoubler[1].txt wykryto: Trace.TrackingCookie

C:\Documents and Settings\jarcko\Cookies\jarcko@please[1].txt wykryto: Trace.TrackingCookie

C:\Documents and Settings\jarcko\Cookies\jarcko@doubleclick[1].txt wykryto: Trace.TrackingCookie

C:\WINDOWS\system32\dllcache\iexplore.exe wykryto: Trojan.Win32.Patched.w

C:\WINDOWS\nircmd.exe wykryto: Heuristic.Dialer.RAS

C:\Program Files\Internet Explorer\IEXPLORE.EXE wykryto: Trojan.Win32.Patched.w


Zeskanowano


Pliki: 13805

Ślady: 307801

Ciasteczka: 57

Procesy: 27


Znaleziono


Pliki: 3

Ślady: 0

Ciasteczka: 4

Procesy: 1

Klucze rejestru: 0


Zakończono skanowanie:	2007-08-07 14:17:34

Scan time:	00:07:42

Przeskanowałem także a-squared Anti-Dialer. Pokazał wprawdzie jakieś tam wirusy, ale ich nie usunął/naprawił, a zrozumiałem że powinien, chyba że ja coś źle robię.

a-squared Anti-Dialer - Version 3.0

Last update: 2007-08-07 14:25:28


Scan settings:


Objects: Memory, C:\, D:\

Scan archives: On

ADS Scan: On


Scan start:	2007-08-07 14:25:56


C:\WINDOWS\nircmd.exe detected: Heuristic.Dialer.RAS

C:\Documents and Settings\jarcko\Pulpit\ComboFix.exe/nircmd.exe detected: Heuristic.Dialer.RAS

C:\System Volume Information\_restore{B43AED44-0B7D-4D54-A4FE-F2266D8BB25E}\RP8\A0004563.exe detected: Heuristic.Dialer.RAS


Scanned


Files: 4297

Processes: 26


Found


Files: 3

Processes: 0


Scan end:	2007-08-07 14:32:14

Scan time:	00:06:18

Co do właściwej instalacji Windowsa XP to oczywiście robię to przy odłączonym kablu, ale po instalacji systemu żeby zainstalować jakiegoś antywirusa czy firewalla to muszę się podłączyć do internetu i dopiero je ściągnąć, czy tak? Zresztą tak już wcześniej robiłem i mi się nic nie infekowało. Pomóżcie coś jeszcze, bo na razie nic nie pomaga, a ja to cieńki w tym jestem.

#9

System Volume Information to folder, w którym są przechowywane punkty przywracania systemu. Aby opróżnić ten folder należy wyłączyć na chwilkę przywracanie systemu. W tym celu należy kliknąć prawym klawiszem myszki na ikonę Mój komputer -> wybrać właściwości -> przejść na zakładkę Przywracanie systemu -> zaznaczyć opcję “Wyłącz przywracanie systemu na wszystkich dyskach” i potwierdzić. Oczywiście potem z powrotem można włączyć przywracanie systemu, ponieważ bywa ono przydatne w przypadku awarii systemu.

Wykrywanie szkodnika w pliku Internet Explorera może świadczyć o zainfekowaniu go i konieczności podjęcia odpowiednich kroków mających na celu wyleczenie pliku. Proszę więc pokazać mi log z narzędzia HaxFix wykonany z opcji numer 1 (Make logfile).

#10

Ale co z tym System Volume Information - mam tak zrobić jak napisałeś czyli wyłączyć przywracanie systemu a potem zaraz znowu włączyć czy to jest tylko taka informacja która i tak mi nic nie mówi? Na razie tego nie robiłem i wykonałem ten log z HaxFix:

HAXFIX logfile - by Marckie


version 4.49 

2007-08-07 22:12:27,90 


--- Checking for Haxdoor ---


checking for a3d files

a3d files not found


checking for matching notify keys

no matching notify keys found 


checking for matching services

no matching services found 


checking for matching safeboot services

no matching safeboot services found 


checking for other Haxdoor-files

no other Haxdoor-files found



--- Checking for Goldun ---


checking for SSODL keys

no ssodl keys found


checking for notify keys

no notify keys found


checking for services

no services found


checking for other Goldun-files

no other Goldun-files found


checking iexplore.exe

iexplore.exe is not infected 



--- Catchme logfile - thank you Gmer ---


catchme 0.3.1066 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2007-08-07 22:12:28

Windows 5.1.2600 Dodatek Service Pack. 1 FAT NTAPI


scanning hidden processes ...


scanning hidden services ...


scanning hidden autostart entries ...


scanning hidden files ...


scan completed successfully

hidden processes: 0

hidden services: 0

hidden files: 0



--- Analysing Catchme logfile ---


no matching regkeys found



Finished!
#11

hej JARCKO jak mozesz to sprawdz swoja skrzynke bo wyslalem ci wiadomosc

niestety mam ten sam problem z -----> C:\x3a3x4q7p6.exe pojawia sie jak tylko wlacze przegladarke i zaraz avast mi ryczy o wirusie. Robie usun ale po wylaczeniu kompa i ponownym uruchomieniu jest to samo.