Skocz do zawartości


Zdjęcie

Logi - Robale w systemie


  • Zamknięty Temat jest zamknięty
20 odpowiedzi w tym temacie

#1 Alex84

Alex84

    Początkujący

  • 11 postów

Napisano 08 05 2008 - 12:52

Witam,

mam problem. Posiadam Kasperskiego 7. Skanowałem nim oraz Ad-Aware i Spybotem, Ad-Aware i Kaspersky usuneły po 1 robaku.
Jednak nadal mam spowolnione łącze i mam niedopasowaną rozdzielczość monitora (obraz wychodzi pooza ekran i go nie widać).
Daje loga z Hijack-a. Z góry dzięki za jakąkolwiek pomoc.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:03, on 2008-05-08
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Analog Devices\SoundMAX\smax4.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
E:\Program Files\<a href="http://www.download.net.pl/1/Winamp/">Winamp</a>\winampa.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
E:\Program Files\Unlocker\UnlockerAssistant.exe
E:\Program Files\Spyware Doctor\SDTrayApp.exe
C:\WINDOWS\system32\ctfmon.exe
E:\PROGRA~1\WapSter\WAPSTE~1\AQQ.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
E:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Messenger\msmsgs.exe
E:\Program Files\Uniblue\RegistryBooster 2\RegistryBooster.exe
C:\Program Files\Skype\Phone\Skype.exe
E:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Common Files\InterVideo\DeviceService\DevSvc.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
e:\Program Files\Spyware Doctor\svcntaux.exe
e:\Program Files\Spyware Doctor\swdsvc.exe
e:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Opera\Opera.exe
e:\Program Files\<a href="http://www.download.net.pl/1/Winamp/">Winamp</a>\winamp.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: (no name) - {0579B4B1-0293-4d73-B02D-5EBB0BA0F0A2} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - e:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA} - (no file)
O4 - HKLM\..\Run: [SoundMAXPnP] "C:\Program Files\Analog Devices\Core\smax4pnp.exe"
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\smax4.exe" /tray
O4 - HKLM\..\Run: [JMB36X Configure] "C:\WINDOWS\system32\JMRaidTool.exe" boot
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [<a href="http://www.download.net.pl/1/Winamp/">Winamp</a>Agent] "e:\Program Files\<a href="http://www.download.net.pl/1/Winamp/">Winamp</a>\winampa.exe"
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] "E:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [SDTray] "e:\Program Files\Spyware Doctor\SDTrayApp.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [AQQ] E:\PROGRA~1\WapSter\WAPSTE~1\AQQ.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] "e:\Program Files\Spybot - Search & Destroy\TeaTimer.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Uniblue RegistryBooster 2] E:\Program Files\Uniblue\RegistryBooster 2\RegistryBooster.exe /S
O4 - HKCU\..\Run: [AlcoholAutomount] "e:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Sony Ericsson PC Suite] "e:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: + Offline &Explorer: Download the link - file://E:\Program Files\Offline Explorer\Add_UrlO.htm
O8 - Extra context menu item: + Offline E&xplorer: Download the current page - file://E:\Program Files\Offline Explorer\Add_AllO.htm
O8 - Extra context menu item: Dodaj do blokowanych banerów - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Statystyki dla ochrony WWW - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: Wyślij do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: Wyślij &do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - e:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - e:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Capture Device Service - InterVideo Inc. - C:\Program Files\Common Files\InterVideo\DeviceService\DevSvc.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - e:\Program Files\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - e:\Program Files\Spyware Doctor\swdsvc.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - e:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe

--
End of file - 9710 bytes


  • 0

#2 Celdur

Celdur

    Republic of Gamers

  • 6 100 postów

Napisano 08 05 2008 - 13:24

Sugeruję zainstalowanie sobie innej/lepszej ochrony kompa..Dla przykładu Symantec NIS 07 usunie Ci wszyściutko z komputera bez żadnego problemu.

  • 0

#3 Alex84

Alex84

    Początkujący

  • 11 postów

Napisano 08 05 2008 - 13:31

aha to ok. mam na jednej z płyt dołączonej do gazety wersje trial. Czy jeszcze coś dodać do Symanteca? firewall?
  • 0

#4 Celdur

Celdur

    Republic of Gamers

  • 6 100 postów

Napisano 08 05 2008 - 13:42

Symantec Norton Internet Security to już jest całość, Antyvir + firewall. Jeśli posiadasz samego Antyvira Symantec'a 2007 to on też wystarczy aby się wszystkiego pozbyć. Ale wtedy potrzebujesz bardzo dobrego osobnego firewalla.
  • 0

#5 Alex84

Alex84

    Początkujący

  • 11 postów

Napisano 08 05 2008 - 14:47

hmm a jest coś zamiast NIS bo coś mi on nie chodzi.
  • 0

#6 Celdur

Celdur

    Republic of Gamers

  • 6 100 postów

Napisano 08 05 2008 - 14:51

Nie znam nic równie niezawodnego, więc nie polecę Ci jakiegoś bubla. Mówię tak dlatego, że przetestowałem w życiu większość takich softów, które są na rynku i wyrobiłem sobie zdanie. Możesz w sumie spróbować też KIS'a. A dlaczego Ci nie działa NIS?
  • 0

#7 Alex84

Alex84

    Początkujący

  • 11 postów

Napisano 08 05 2008 - 16:01

z tą płytą z NIS jest coś nie tak. KIS usunął jednego trojana. ekran mam ok. pozostaje łącze...:/
  • 0

#8 Celdur

Celdur

    Republic of Gamers

  • 6 100 postów

Napisano 08 05 2008 - 16:19

No to w takim razie KIS także sobie nie do końca radzi. Użyj combofix'a jeśli NIS'a nie możesz postawić, może on coś znajdzie. Ale szkoda, że Sym coś Ci szwankuje bo już byś miał z czapki. Jeszcze możesz spróbować MKS Online, a nóż mu sie uda.
  • 0

#9 Killaz

Killaz

    Profesjonalista

  • 2 300 postów

Napisano 08 05 2008 - 16:30

Używam KIS'a 6.0 i jestem zadowolony. Od ponad roku nic mi nie wlazło, a jeśli już, to pojawia się alert i KIS usuwa nieproszonych gości.
  • 0

#10 wncvirus

wncvirus

    Leń !

  • 851 postów

Napisano 09 05 2008 - 12:00

Odpal hjt wybierz opcję do a system scan only.Zrobi Ci się log i zaznacz kwadraty obok poniższych wpisów i daj fix

O2 - BHO: (no name) - {0579B4B1-0293-4d73-B02D-5EBB0BA0F0A2} - (no file)
O2 - BHO: (no name) - {F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA} - (no file)

Po wykonaniu tego daj loga z combofix
  • 0

#11 Alex84

Alex84

    Początkujący

  • 11 postów

Napisano 11 05 2008 - 16:09

Dzieki wielkie. usunołem wpisy i potem zrobie Combo loga. teraz doszło to że: - nie moge oglądać meczy przez neta sop castem TVantsem itp. - nie mogę się połączyć z FTP (blad komputera hosta), - nie mogę grać w gry internetowe (też błąd z hostem)...co robić :/

ok log z ComboFix

SmitFraudFix v2.274

Scan done at 13:59:22,26, 2008-01-11
Run from C:\Documents and Settings\Olek\SmitfraudFix
OS: Microsoft Windows XP [Wersja 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Analog Devices\SoundMAX\smax4.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
E:\Program Files\Winamp\winampa.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
C:\PROGRA~1\WapSter\AQQ\AQQ.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
E:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Common Files\InterVideo\DeviceService\DevSvc.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\Common Files\Teleca Shared\Generic.exe
C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Opera\Opera.exe
C:\WINDOWS\system32\wuauclt.exe
E:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
C:\Program Files\Webroot\Spy Sweeper\SSU.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Olek


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Olek\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Olek\Ulubione


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Moja bieľĄca strona gˆ˘wna"
 

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
[img]http://www.forum.tweaks.pl/public/style_emoticons/default/excl.gif[/img]!Attention, following keys are not inevitably infected![img]http://www.forum.tweaks.pl/public/style_emoticons/default/excl.gif[/img]

IEDFix.exe by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
[img]http://www.forum.tweaks.pl/public/style_emoticons/default/excl.gif[/img]!Attention, following keys are not inevitably infected![img]http://www.forum.tweaks.pl/public/style_emoticons/default/excl.gif[/img]

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
[img]http://www.forum.tweaks.pl/public/style_emoticons/default/excl.gif[/img]!Attention, following keys are not inevitably infected![img]http://www.forum.tweaks.pl/public/style_emoticons/default/excl.gif[/img]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="C:\\PROGRA~1\\KASPER~1\\KASPER~1.0\\adialhk.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
[img]http://www.forum.tweaks.pl/public/style_emoticons/default/excl.gif[/img]!Attention, following keys are not inevitably infected![img]http://www.forum.tweaks.pl/public/style_emoticons/default/excl.gif[/img]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Marvell Yukon 88E8001/8003/8010 PCI Gigabit Ethernet Controller - Sterownik miniport Harmonogramu pakietów
DNS Server Search Order: 192.168.1.100

HKLM\SYSTEM\CCS\Services\Tcpip\..\{EAB3BE7E-4688-4CE0-9943-8D8C885E1F8E}: DhcpNameServer=192.168.1.100
HKLM\SYSTEM\CS1\Services\Tcpip\..\{EAB3BE7E-4688-4CE0-9943-8D8C885E1F8E}: DhcpNameServer=192.168.1.100
HKLM\SYSTEM\CS2\Services\Tcpip\..\{EAB3BE7E-4688-4CE0-9943-8D8C885E1F8E}: DhcpNameServer=192.168.1.100
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.100
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.100
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.100


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End


  • 0

#12 wncvirus

wncvirus

    Leń !

  • 851 postów

Napisano 11 05 2008 - 21:28

No w tym logu nic złego nie widzę.

  • 0

#13 Alex84

Alex84

    Początkujący

  • 11 postów

Napisano 11 05 2008 - 21:50

ale jest tu i uwdzie infection...ale nie wiem, nie znam sie na tym wiec sie nie wypowiadam.

dzisiaj chcialem obejzec mecz przez sopcasta ale był błąd. to samo radia internetowe, łaczenie z FTP i gry online (wszedzie problem z host). chyba ktos mi zblokował DNS'y...myslalem ze to firewall odinstalowałem go ale nic (FORT KNOX firewall).
  • 0

#14 wncvirus

wncvirus

    Leń !

  • 851 postów

Napisano 11 05 2008 - 23:05

Log jest czysty.Wiesz może jaki powinneś mieć adres dns?.Czy 192.168.1.100 - ten co masz w logu z Sfdix jest prawidłowy?

Do wyboru:
1) -->http://www.searchengines.pl/Kolekcja-narzedzi-usuwajacych-!-t31936.html
2) -->http://www.bezpieczenstwosystemow.pl/index.php?topic=5.0
3) -->http://forum.idg.pl/index.php?showtopic=118804 (niżej na stronie linku).
Po jego użyciu może zajść potrzeba ustawiania od nowa DNS Twojego dostawcy internetowego.
-->http://www.searchengines.pl/Zainfekowane-DNS-t47691.html - Jak przywrócić prawidłowe DNS

Po wykonaniu tego możesz do rzucić loga z combofixa.
  • 0

#15 Alex84

Alex84

    Początkujący

  • 11 postów

Napisano 12 05 2008 - 06:16

ok jak wrócę, do domu później to poskanuje. Daje jeszcze netstat

Dołączona grafika
  • 0

#16 Alex84

Alex84

    Początkujący

  • 11 postów

Napisano 12 05 2008 - 21:03

ok daje loga z combofixa po fixwareout

ComboFix 08-05-09.1 - Olek 2008-05-12 21:04:47.4 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1250.1.1045.18.1552 [GMT 2:00]
Running from: E:\ComboFix.exe

[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED [img]http://www.forum.tweaks.pl/public/style_emoticons/default/excl.gif[/img][/b][/color]
.

(((((((((((((((((((((((((   Files Created from 2008-04-12 to 2008-05-12  )))))))))))))))))))))))))))))))
.

2008-05-12 20:39 . 2008-05-12 20:42	<DIR>	d--------	C:\fixwareout
2008-05-11 16:03 . 1999-12-17 10:13	49,664	--a------	C:\WINDOWS\unvise32.exe
2008-05-08 16:03 . 2008-05-08 16:36	<DIR>	d--------	C:\Program Files\Symantec
2008-05-08 14:43 . 2008-05-08 14:58	249,856	---------	C:\WINDOWS\Setup1.exe
2008-05-08 14:43 . 2008-05-08 14:58	73,216	--a------	C:\WINDOWS\ST6UNST.EXE
2008-05-08 14:35 . 2008-05-08 14:35	<DIR>	d--------	C:\Documents and Settings\Olek\Dane aplikacji\Symantec
2008-05-08 14:15 . 2008-05-08 16:36	<DIR>	d--------	C:\Documents and Settings\All Users\Dane aplikacji\Symantec
2008-05-08 14:14 . 2008-05-08 16:37	<DIR>	d--------	C:\Program Files\Common Files\Symantec Shared
2008-05-07 20:32 . 2008-05-07 20:32	<DIR>	d--------	C:\!KillBox
2008-04-27 17:16 . 2008-04-27 17:16	<DIR>	d--------	C:\Documents and Settings\All Users\Dane aplikacji\Ubisoft
2008-04-26 11:57 . 2008-05-09 23:49	320	--a------	C:\WINDOWS\HAFASWIN.INI
2008-04-26 11:57 . 2008-04-26 11:57	21	--a------	C:\WINDOWS\progman.ini
2008-04-23 21:33 . 2008-05-03 10:23	791,224	--a------	C:\WINDOWS\system32\GDIPFONTCACHEV1.DAT
2008-04-16 08:15 . 2007-10-12 15:14	3,734,536	--a------	C:\WINDOWS\system32\d3dx9_36.dll
2008-04-16 08:15 . 2007-10-12 15:14	1,374,232	--a------	C:\WINDOWS\system32\D3DCompiler_36.dll
2008-04-16 08:15 . 2007-10-02 09:56	444,776	--a------	C:\WINDOWS\system32\d3dx10_36.dll
2008-04-16 08:15 . 2007-10-22 03:39	267,272	--a------	C:\WINDOWS\system32\xactengine2_10.dll
2008-04-12 18:14 . 2008-04-12 18:14	<DIR>	d--hs----	C:\found.000
2008-04-12 02:09 . 2008-01-01 01:00	60,273	--a------	C:\WINDOWS\system32\pthreadGC2.dll
2008-04-12 02:09 . 2008-04-10 17:50	7,680	--a------	C:\WINDOWS\system32\ff_vfw.dll
2008-04-12 02:09 . 2008-04-10 17:50	6,144	--a------	C:\WINDOWS\system32\ff_acm.acm
2008-04-12 02:09 . 2008-01-01 01:00	547	--a------	C:\WINDOWS\system32\ff_vfw.dll.manifest

.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-12 19:06	79,867,680	--sha-w	C:\WINDOWS\system32\drivers\fidbox.dat
2008-05-12 19:06	2,318,880	--sha-w	C:\WINDOWS\system32\drivers\fidbox2.dat
2008-05-12 18:59	---------	d-----w	C:\Documents and Settings\Olek\Dane aplikacji\Skype
2008-05-12 18:56	---------	d-----w	C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab
2008-05-12 18:40	223,328	--sha-w	C:\WINDOWS\system32\drivers\fidbox2.idx
2008-05-12 18:40	1,076,156	--sha-w	C:\WINDOWS\system32\drivers\fidbox.idx
2008-05-12 14:47	---------	d-----w	C:\Documents and Settings\Olek\Dane aplikacji\MyPhoneExplorer
2008-05-12 12:53	---------	d-----w	C:\Documents and Settings\Olek\Dane aplikacji\skypePM
2008-05-11 14:25	---------	d---a-w	C:\Documents and Settings\All Users\Dane aplikacji\TEMP
2008-05-06 20:51	---------	d--h--w	C:\Program Files\InstallShield Installation Information
2008-04-27 21:28	---------	d-----w	C:\Program Files\Java
2008-04-27 15:15	22,328	----a-w	C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-04-27 15:15	22,328	----a-w	C:\Documents and Settings\Olek\Dane aplikacji\PnkBstrK.sys
2008-04-27 15:15	2,337,865	----a-w	C:\WINDOWS\system32\pbsvc.exe
2008-04-27 15:15	107,832	----a-w	C:\WINDOWS\system32\PnkBstrB.exe
2008-04-26 22:25	---------	d-----w	C:\Documents and Settings\Olek\Dane aplikacji\Tibia
2008-04-17 13:46	96,645	----a-w	C:\WINDOWS\system32\drivers\klin.dat
2008-04-17 13:46	87,941	----a-w	C:\WINDOWS\system32\drivers\klick.dat
2008-04-15 20:11	---------	d-----w	C:\Program Files\TibiaTek Development Team
2008-04-07 04:32	---------	d-----w	C:\Program Files\Opera
2008-04-04 21:00	3,086,336	----a-w	C:\WINDOWS\system32\flvvideo.dll
2008-03-13 19:49	---------	d-----w	C:\Program Files\Avanquest update
2008-03-13 19:49	---------	d-----w	C:\Documents and Settings\All Users\Dane aplikacji\BVRP Software
2008-03-13 19:47	---------	d-----w	C:\Documents and Settings\All Users\Dane aplikacji\Sony Ericsson
2008-03-13 19:44	---------	d-----w	C:\Program Files\Common Files\Teleca Shared
2008-03-13 19:44	---------	d-----w	C:\Program Files\Common Files\Sony Ericsson Shared
2008-03-13 19:44	---------	d-----w	C:\Documents and Settings\All Users\Dane aplikacji\Teleca
2008-02-15 13:40	32	----a-w	C:\Documents and Settings\All Users\Dane aplikacji\ezsid.dat
.

(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown 
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{602ADB0E-4AFF-4217-8AA1-95DAC4DFA408}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:44 15360]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe" [ ]
"AQQ"="E:\PROGRA~1\WapSter\WAPSTE~1\AQQ.exe" [2008-04-28 21:15 1209328]
"DAEMON Tools Lite"="C:\Program Files\DAEMON Tools Lite\daemon.exe" [2007-12-19 22:13 486856]
"SpybotSD TeaTimer"="e:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2007-08-31 17:46 1460560]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-08-04 01:55 1667584]
"Uniblue RegistryBooster 2"="E:\Program Files\Uniblue\RegistryBooster 2\RegistryBooster.exe" [2008-01-12 17:34 1910040]
"AlcoholAutomount"="e:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" [2007-12-22 09:23 221568]
"Skype"="C:\Program Files\Skype\Phone\Skype.exe" [2008-02-01 18:26 22014760]
"Sony Ericsson PC Suite"="e:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" [2007-11-20 16:29 360448]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="C:\Program Files\Analog Devices\Core\smax4pnp.exe" [2006-09-26 09:29 872448]
"JMB36X Configure"="C:\WINDOWS\system32\JMRaidTool.exe" [2006-08-14 04:51 352256]
"ATICCC"="C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-09-25 10:12 90112]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 02:11 132496]
"WinampAgent"="e:\Program Files\Winamp\winampa.exe" [2007-12-20 17:16 37376]
"AVP"="C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" [2007-06-28 13:51 218376]
"UnlockerAssistant"="E:\Program Files\Unlocker\UnlockerAssistant.exe" [2006-09-07 19:19 15872]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"isDeleteMe"="C:\WINDOWS\system32\cmd.exe" [2004-08-04 00:44 395776]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 00:44 15360]

C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\
Adobe Reader Speed Launch.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-24 08:05:26 29696]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"= ctwdm32.dll
"aux1"= ctwdm32.dll
"msacm.ac3filter"= ac3filter.acm
"msacm.dvacm"= C:\PROGRA~1\COMMON~1\ULEADS~1\Vio\Dvacm.acm
"msacm.MPEGacm"= C:\PROGRA~1\COMMON~1\ULEADS~1\MPEG\MPEGacm.acm
"msacm.ulmp3acm"= C:\PROGRA~1\COMMON~1\ULEADS~1\MPEG\ulmp3acm.acm
"msacm.avis"= ff_acm.acm

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\WapSter\\AQQ\\AQQ.exe"=
"C:\\PROGRA~1\\WapSter\\AQQ\\AQQ.exe"=
"C:\\WINDOWS\\system32\\PnkBstrA.exe"=
"C:\\WINDOWS\\system32\\PnkBstrB.exe"=
"C:\\Program Files\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"C:\\totalcmd\\TOTALCMD.EXE"=
"C:\\Program Files\\Winamp Remote\\bin\\Orb.exe"=
"C:\\Program Files\\Winamp Remote\\bin\\OrbTray.exe"=
"C:\\Program Files\\Winamp Remote\\bin\\OrbStreamerClient.exe"=
"C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE"=
"C:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"E:\\Program Files\\KONAMI\\Pro Evolution Soccer 2008\\PES2008.exe"=
"E:\\Program Files\\THQ\\S.T.A.L.K.E.R. - Shadow of Chernobyl\\bin\\XR_3DA.exe"=
"E:\\Program Files\\THQ\\S.T.A.L.K.E.R. - Shadow of Chernobyl\\bin\\dedicated\\XR_3DA.exe"=
"E:\\Program Files\\SopCast\\SopCast.exe"=
"E:\\Program Files\\SopCast\\adv\\SopAdver.exe"=
"C:\\Program Files\\TibiaTek\\TibiaTek Bot\\TibiaTekBot.exe"=
"E:\\Program Files\\WapSter\\WapSter AQQ\\AQQ.exe"=
"E:\\Program Files\\Valve\\hl.exe"=
"E:\\Program Files\\Valve\\hlds.exe"=
"E:\\Program Files\\Ubisoft\\Tom Clancy's Splinter Cell Double Agent\\SCDA-Offline\\System\\SplinterCell4.exe"=
"E:\\Program Files\\Electronic Arts\\Crytek\\Crysis\\Bin32\\Crysis.exe"=
"E:\\Program Files\\Electronic Arts\\Crytek\\Crysis\\Bin32\\CrysisDedicatedServer.exe"=
"E:\\Program Files\\TVAnts\\Tvants.exe"=
"E:\\Program Files\\Ubisoft\\Tom Clancy's Rainbow Six Vegas 2\\Binaries\\R6Vegas2_Game.exe"=
"E:\\Program Files\\Ubisoft\\Tom Clancy's Rainbow Six Vegas 2\\Binaries\\R6Vegas2_Launcher.exe"=
"C:\\Program Files\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"27015:UDP"= 27015:UDP:1
"27016:UDP"= 27016:UDP:2
"27015:TCP"= 27015:TCP:3

R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-04-04 15:58]
S3 ALSysIO;ALSysIO;C:\DOCUME~1\Olek\USTAWI~1\Temp\ALSysIO.sys []
S3 ddsxeiservice;ddsxeiservice2;E:\Program Files\sXe Injected\ddsxei.sys []
S3 s816bus;Sony Ericsson Device 816 driver (WDM);C:\WINDOWS\system32\DRIVERS\s816bus.sys [2007-06-19 09:51]
S3 s816mdfl;Sony Ericsson Device 816 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\s816mdfl.sys [2007-06-19 09:51]
S3 s816mdm;Sony Ericsson Device 816 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\s816mdm.sys [2007-06-19 09:51]
S3 s816mgmt;Sony Ericsson Device 816 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\s816mgmt.sys [2007-06-19 09:51]
S3 s816nd5;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (NDIS);C:\WINDOWS\system32\DRIVERS\s816nd5.sys [2007-06-19 09:51]
S3 s816obex;Sony Ericsson Device 816 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\s816obex.sys [2007-06-19 09:51]
S3 s816unic;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (WDM);C:\WINDOWS\system32\DRIVERS\s816unic.sys [2007-06-19 09:51]

.
Contents of the 'Scheduled Tasks' folder
"2008-05-03 08:59:01 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-12 21:06:15
Windows 5.1.2600 Dodatek Service Pack 2 NTFS

scanning hidden processes ... 

scanning hidden autostart entries ...

scanning hidden files ... 

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2008-05-12 21:06:56
ComboFix-quarantined-files.txt  2008-05-12 19:06:44

Pre-Run: 12,753,391,616 bajtów wolnych
Post-Run: 12,751,327,232 bajtów wolnych

173

i daje jeszcze screna z programu ACTIVE PORTS. a i czy może mój router (Pentagram Cerberus P 6311-072) jest zainfekowany?



pozdrawiam
  • 0

#17 Alex84

Alex84

    Początkujący

  • 11 postów

Napisano 13 05 2008 - 17:08

dobra daje sobie chyba spokój. robie formata i mam pytanie czy to utnie te problemy? (DNS, złe dopasowanie obrazu na ekranie?)
  • 0

#18 jackowski007

jackowski007

    Początkujący

  • 13 postów

Napisano 13 05 2008 - 17:14

Tak tylko po instalacji zainstaluj najpierw jakiegoś antywirusa i firewalla a potem podłącz sieć.
  • 0

#19 wncvirus

wncvirus

    Leń !

  • 851 postów

Napisano 13 05 2008 - 21:59

W Twoim logu nic nie widzę podejrzanego no chyba że coś przypadkowo przeoczyłem ale nie sądzę.
  • 0

#20 Alex84

Alex84

    Początkujący

  • 11 postów

Napisano 13 05 2008 - 23:04

kurcze to ja już nie wiem :/ może pozostałosci po firewallu że nie mogę sluchac radia, grać w CS'a, łączyć się z FTP :/ kurcze jak to usunąć bo pozatym jak usunołem jednego trojana to net już mi nie muli...nie mogę nawet meczu obejżec na sopcascie :/:/:/

hmm, a może coś jest z routerem bo 2 komputer który jest podłączny do niego ma te same obiawy?

  • 0




Użytkownicy przeglądający ten temat: 0

0 użytkowników, 0 gości, 0 anonimowych