Skocz do zawartości


tablety.pl
Zdjęcie
- - - - -

parę wirusów i restarty - jak wyczyścić komp?




  • Zamknięty Temat jest zamknięty
14 odpowiedzi w tym temacie

#1 jaseczka

jaseczka

    First Rank

  • Użytkownicy
  • 16 postów

Napisano 04 02 2006 - 19:02

Często podczas wylogowywania/wyłączania komputera pojawia się na chwilę niebieski ekran z masą tekstu, ale b. szybko znika i komputer uruchamia się ponownie :( To co wyskoczyło podczas skanowania Avastem dałam do kwarantanny (załącznik).

LOG Z HJT:

Logfile of HijackThis v1.99.1
Scan saved at 18:26:59, on 2006-02-04
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ntvdm.exe
C:\Program Files\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\Program Files\Sprint & FineReader 5.0 Office Try&Buy\Sprint\CAgent.exe
C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe
C:\Program Files\scan\HijackThis\HijackThis.exe

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL
F3 - REG:win.ini: load=C:\YDPDict\watch.exe
F2 - REG:system.ini: UserInit="main6.exe" - -
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {206E52E0-D52E-11D4-AD54-0000E86C26F6} - C:\PROGRA~1\FRESHD~1\FRESHD~1\FDCatch.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SiSSetCDfmt] C:\WINDOWS\System32\SetCDfmt.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [McAfee Guardian] "C:\Program Files\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe" /SU
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\NVIDIA\RivaTuner\RivaTuner.exe" /S
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [ABBYY Community Agent] C:\Program Files\Sprint & FineReader 5.0 Office Try&Buy\Sprint\CAgent.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Program Files\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR
O4 - HKCU\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - Networks Associates Technology, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sound Sservice Driver (Sound Service) - Unknown owner - C:\WINDOWS\System32\cfmon.exe (file missing)



LOG Z SR:

"Silent Runners.vbs", revision 43, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"McAfee.InstantUpdate.Monitor" = ""C:\Program Files\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR" ["Network Associates, Inc."]
"PayTime" = "C:\WINDOWS\System32\paytime.exe" [file not found]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"SiSSetCDfmt" = "C:\WINDOWS\System32\SetCDfmt.exe" [null data]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup" [MS]
"NeroCheck" = "C:\WINDOWS\System32\\NeroCheck.exe" ["Ahead Software Gmbh"]
"McAfee Guardian" = ""C:\Program Files\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe" /SU" ["Network Associates, Inc."]
"MCAgentExe" = "c:\PROGRA~1\mcafee.com\agent\mcagent.exe" ["Networks Associates Technology, Inc"]
"RivaTunerStartupDaemon" = ""C:\NVIDIA\RivaTuner\RivaTuner.exe" /S" ["NVIDIA World"]
"SiSUSBRG" = "C:\WINDOWS\SiSUSBrg.exe" ["Silicon Integrated Systems Corp."]
"ABBYY Community Agent" = "C:\Program Files\Sprint & FineReader 5.0 Office Try&Buy\Sprint\CAgent.exe" ["ABBYY (BIT Software)"]
"SpeedTouch USB Diagnostics" = ""C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon" ["THOMSON Telecom Belgium"]
"MCUpdateExe" = "C:\PROGRA~1\mcafee.com\agent\mcupdate.exe" ["Networks Associates Technology, Inc"]
"avast!" = "C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx" [empty string]
{206E52E0-D52E-11D4-AD54-0000E86C26F6}\(Default) = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\FRESHD~1\FRESHD~1\FDCatch.dll" ["FreshDevices Corp."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Rozszerzenie CPL kadrowania wyświetlania"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Rozszerzenie ikony HyperTerminalu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Eksplorator pulpitów"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{BB7DF450-F119-11CD-8465-00AA00425D90}" = "Microsoft Access Custom Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Microsoft Office\Office\soa800.dll" [MS]
"{59850401-6664-101B-B21C-00AA004BA90B}" = "Microsoft Office Binder Explode"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Microsoft Office\Office\UNBIND.DLL" [MS]
"{e57ce731-33e8-4c51-8354-bb4de9d215d1}" = "Uniwersalne urządzenia Plug and Play"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\upnpui.dll" [MS]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
"{D3796116-94D3-4009-96D7-51578411CC7D}" = "Outpost Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\OUTPOS~1.0\oshdlr.dll" [file not found]
"{472083B0-C522-11CF-8763-00608CC02F24}" = "avast"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]
"{CCA60260-A2C9-11D2-BA62-0020188191B2}" = "Registrar Registry Manager SHell Extension"
-> {CLSID}\InProcServer32\(Default) = "rrShellX.dll" [file not found]

HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\
INFECTION WARNING! "load" = "C:\YDPDict\watch.exe" [null data]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
INFECTION WARNING! "Userinit" = ""main6.exe" - -" [** WMI GetObject error **], [file not found], [file not found]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
ZONERMenu\(Default) = "{7485F2E3-C299-4BB7-B8C8-3AD146B63C70}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Zoner Media Explorer 5\Program\ShellExt5.dll" ["ZONER software"]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
ZONERMenu\(Default) = "{7485F2E3-C299-4BB7-B8C8-3AD146B63C70}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Zoner Media Explorer 5\Program\ShellExt5.dll" ["ZONER software"]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
ZONERMenu\(Default) = "{7485F2E3-C299-4BB7-B8C8-3AD146B63C70}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Zoner Media Explorer 5\Program\ShellExt5.dll" ["ZONER software"]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji\Microsoft\Wallpaper1.bmp"


Enabled Scheduled Tasks:
------------------------

"McAfee.com Update Check (MISIO-Kasia)" -> launches: "C:\PROGRA~1\mcafee.com\agent\mcupdate.exe /Schedule" [** WMI GetObject error **]
"McAfee.com Update Check (MISIO-Magda)" -> launches: "C:\PROGRA~1\mcafee.com\agent\mcupdate.exe /Schedule" [** WMI GetObject error **]
"McAfee.com Update Check (MISIO-admin)" -> launches: "C:\PROGRA~1\mcafee.com\agent\mcupdate.exe /Schedule" [** WMI GetObject error **]
"McAfee.com Update Check (MISIO-Ania)" -> launches: "C:\PROGRA~1\mcafee.com\agent\mcupdate.exe /Schedule" [** WMI GetObject error **]
"McAfee.com Update Check (MISIO-Darek)" -> launches: "C:\PROGRA~1\mcafee.com\agent\mcupdate.exe /Schedule" [** WMI GetObject error **]
"McAfee.com Update Check (MISIO-Ala)" -> launches: "C:\PROGRA~1\McAfee.com\Agent\mcupdate.exe /Schedule" [** WMI GetObject error **]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [** WMI GetObject error **]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [** WMI GetObject error **]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [** WMI GetObject error **]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
C:\WINDOWS\System32\CSLSP.DLL [** WMI GetObject error **], 01 - 13, 27
%SystemRoot%\system32\mswsock.dll [** WMI GetObject error **], 14 - 16, 19 - 26
%SystemRoot%\system32\rsvpsp.dll [** WMI GetObject error **], 17 - 18


Toolbars, Explorer Bars, Extensions:
------------------------------------

Explorer Bars

Dormant Explorer Bars in "View, Explorer Bar" menu

HKLM\Software\Classes\CLSID\{01002DB2-8170-4D9B-A8B1-DDC9DD114E03}\ = "Volet Wanadoo"
Implemented Categories\{00021494-0000-0000-C000-000000000046}\ [horizontal bar]
InProcServer32\(Default) = "C:\PROGRA~1\NEOSTR~1\audience\audience.dll" [** WMI GetObject error **]

HKLM\Software\Classes\CLSID\{3BAF4A27-C764-4E1A-A6F4-62F7A7E5E51C}\ = "ToolBand Class"
Implemented Categories\{00021494-0000-0000-C000-000000000046}\ [horizontal bar]
InProcServer32\(Default) = "C:\PROGRA~1\NEOSTR~1\audience\audience.dll" [** WMI GetObject error **]

HKLM\Software\Classes\CLSID\{5BF498C0-931E-4A4F-B33F-456D07137EAA}\ = "Volet Wanadoo"
Implemented Categories\{00021494-0000-0000-C000-000000000046}\ [horizontal bar]
InProcServer32\(Default) = "C:\PROGRA~1\NEOSTR~1\audience\audience.dll" [** WMI GetObject error **]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Console"
"CLSIDExtension" = "{08B0E5C0-4FCB-11CF-AAA5-00401C608501}"


Miscellaneous IE Hijack Points
------------------------------

HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\

Missing lines (compared with English-language version):
"{08C06D61-F1F3-4799-86F8-BE1A89362C85}" = "Search Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL" [** WMI GetObject error **]


HOSTS file
----------

HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\
HIJACK WARNING! "DataBasePath" = "%systemRoot%\System32\drivers\etc"


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

INFECTION WARNING! The running services cannot be counted.
Presence of a spyware service is suspected.
The script has been forced to exit.



----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
took 163 seconds.
+ The search for all Registry CLSIDs containing dormant Explorer Bars
took 36 seconds.
---------- (total run time: 254 seconds)

Załączone miniatury

  • zrzut.gif


#2 picasso

picasso

    Expert Rank

  • Użytkownicy +
  • 36724 postów
  • Płeć:Kobieta

Napisano 04 02 2006 - 19:19

Wyniki z kwarantanny w ogóle są płotkami. Za to tu jest "nieźle":

Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

INFECTION WARNING! The running services cannot be counted.
Presence of a spyware service is suspected.
The script has been forced to exit.


Nie może wylistować usług z uwagi na potencjalną obecność "spyware". Brzmi to masakrycznie .... Wstępnie widzę zamieniony wpis userinit:

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

F2 - REG:system.ini: UserInit="main6.exe" - -

O4 - HKCU\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe

O23 - Service: Sound Sservice Driver (Sound Service) - Unknown owner - C:\WINDOWS\System32\cfmon.exe (file missing)


Proszę dać mi PRZED USUWANIEM (ono będzie specjalne!) jeszcze log z Gmera (zakładka Rootkit >>> Szukaj >>> Kopiuj).



.

#3 jaseczka

jaseczka

    First Rank

  • Użytkownicy
  • 16 postów

Napisano 04 02 2006 - 19:55

---- System - GMER 1.0.6 ----

SSDT \??\C:\WINDOWS\System32\drivers\isa32.sys ZwEnumerateKey
SSDT \??\C:\WINDOWS\System32\drivers\isa32.sys ZwEnumerateValueKey
SSDT \SystemRoot\system32\DRIVERS\netpt.sys ZwOpenProcess
SSDT \??\C:\WINDOWS\System32\drivers\isa32.sys ZwQueryDirectoryFile
SSDT \SystemRoot\system32\DRIVERS\netpt.sys ZwQuerySystemInformation

---- Devices - GMER 1.0.6 ----

Device \Driver\Tcpip IRP_MJ_CREATE isa32.sys
Device \Driver\Tcpip IRP_MJ_CLOSEIRP_MJ_READ isa32.sys
Device \Driver\Tcpip IRP_MJ_INTERNAL_DEVICE_CONTROL isa32.sys

---- Processes - GMER 1.0.6 ----

Process svchost.exe (*** hidden *** ) 828
Process perfont.exe (*** hidden *** ) 1276




Przeszukiwanie zacięło się na wpisie:
Reg HKLM\Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs C:\Program Files\McAfee\McAfee Shared Components\VisualTrace\Help\Img\neotrace-helpsite_header-repeat.gif

Zaznaczyłam więc w opcjach tylko pliki i kontynuowałam wyszukiwanie. Wyniki:
File C:\WINDOWS\system32\drivers\isa32.sys
File C:\WINDOWS\system32\main6.exe
File C:\WINDOWS\Prefetch\MAIN6.EXE-2CC0C9E7.pf

#4 lopez

lopez

    Expert Rank

  • Użytkownicy +
  • 2052 postów
  • Płeć:Mężczyzna
  • Lokalizacja:Hesperyjski Sad

Napisano 04 02 2006 - 20:08

Wykonuj usuwanie! Picasso chciała tylko przetestować Gmerka. :(

Tylko plik main6.exe usuniesz dopiero po:

- Zastosowaniue tego fixa:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

Zapisz jako "FIX.REG"


I upewnieniu się, że w logu niema tego:

F2 - REG:system.ini: UserInit="main6.exe" - -



#5 picasso

picasso

    Expert Rank

  • Użytkownicy +
  • 36724 postów
  • Płeć:Kobieta

Napisano 04 02 2006 - 20:30

Wykonuj usuwanie! Picasso chciała tylko przetestować Gmerka.


Nie lopez! Co to jest wg ciebie "test Gmera"? Hmmm? Ja nie chciałam przetestować Gmera w sensie o jakim myślisz = by "tylko go uruchomić". Ja chciałam sprawdzić czy jest rootkit (a były tego znaki = ten main bardzo podejrzany + Silent "forced to exit") i JEST! Oba sterowniki tu pokazane to ROOTKIT (aktualnie są to robaki kryte techniką rootkit). A poza tym lopez chcę te pliki przekopiować dla Gmera. W ogóle chyba loga z Gmera nie sprawdziłeś!



@ jaseczka:

Sprawa jest skomplikowana. Z instrukcji lopeza proszę TYLKO zachować plik REG ale jeszcze go nie stosować! Proszę otworzyć Notatnik i wkleić w nim:

CD C:\WINDOWS\System32\drivers
ATTRIB -R -S -H isa32.sys
ATTRIB -R -S -H netpt.sys
COPY netpt.sys C:\netpt.sys
COPY isa32.sys C:\isa32.sys
DEL netpt.sys
DEL isa32.sys

CD C:\WINDOWS\system32
ATTRIB -R -S -H main6.exe
COPY main6.exe C:\main6.exe
DEL main6.exe
DEL perfont.exe
DEL paytime.exe

SC DELETE "Sound Service"


Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.BAT = Plik umieść na C:\

Gmer >>> Procesy >>> Opcja Zabij wszystko >>> w pustej linii wpisz CMD >>> Uruchom >>> a w linii komend która wyskoczy wpisz komendę:

C:\FIX.BAT

W podobny sposób wywołać plik FIX.REG od lopeza (wskazać ścieżkę dostępu do niego >>> Uruchom). A potem HijackThis by wykończyć nim podane wpisy


Co zrobić z plikami:

C:\netpt.sys
C:\isa32.sys
C:\main6.exe


... powiem potem.



.

#6 jaseczka

jaseczka

    First Rank

  • Użytkownicy
  • 16 postów

Napisano 04 02 2006 - 20:48

za późno :(
Zrobiłam jak instrukcjach.

LOG Z HJT:

Logfile of HijackThis v1.99.1
Scan saved at 20:46:20, on 2006-02-04
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\win32ssr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ntvdm.exe
C:\Program Files\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\Program Files\Sprint & FineReader 5.0 Office Try&Buy\Sprint\CAgent.exe
C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe
C:\Program Files\Neostrada TP\NeostradaTP.exe
C:\Program Files\Neostrada TP\ComComp.exe
C:\Program Files\Neostrada TP\Watch.exe
C:\Program Files\Opera7\Opera.exe
C:\WINDOWS\system32\cmd.exe
C:\Program Files\scan\HijackThis\HijackThis.exe

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL
F3 - REG:win.ini: load=C:\YDPDict\watch.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {206E52E0-D52E-11D4-AD54-0000E86C26F6} - C:\PROGRA~1\FRESHD~1\FRESHD~1\FDCatch.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SiSSetCDfmt] C:\WINDOWS\System32\SetCDfmt.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [McAfee Guardian] "C:\Program Files\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe" /SU
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\NVIDIA\RivaTuner\RivaTuner.exe" /S
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [ABBYY Community Agent] C:\Program Files\Sprint & FineReader 5.0 Office Try&Buy\Sprint\CAgent.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Program Files\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{221F8DEF-9B92-4901-89B8-209A7DBDAEB2}: NameServer = 194.204.152.34 217.98.63.164
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - Networks Associates Technology, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Performance True Type Fonts (PerfFont) - Unknown owner - C:\WINDOWS\System32\perfont.exe (file missing)
O23 - Service: Sound Sservice Driver (Sound Service) - Unknown owner - C:\WINDOWS\System32\cfmon.exe (file missing)
O23 - Service: Win32Sr - Unknown owner - C:\WINDOWS\win32ssr.exe


cfmon nie znika :D
Co zrobić z tym, co jest w kwarantannie Avasta?

#7 picasso

picasso

    Expert Rank

  • Użytkownicy +
  • 36724 postów
  • Płeć:Kobieta

Napisano 04 02 2006 - 20:50

Jaseczka problem JEST nadal i proszę dać raz jeszcze log z Gmera!!!!! Rootkit nie zejdzie "fixem lopeza". Mowy o czymś takim nie ma. Są dwa sterowniki SYS robaków które powodują mnożenie tego:

O23 - Service: Performance True Type Fonts (PerfFont) - Unknown owner - C:\WINDOWS\System32\perfont.exe (file missing)
O23 - Service: Sound Sservice Driver (Sound Service) - Unknown owner - C:\WINDOWS\System32\cfmon.exe (file missing)
O23 - Service: Win32Sr - Unknown owner - C:\WINDOWS\win32ssr.exe


Dawaj log.

Co zrobić z tym, co jest w kwarantannie Avasta?


Na boga tym się nie zajmuj na razie bo to płotki. Przecież mówię = jest rootkit w dublu sys.




.

#8 jaseczka

jaseczka

    First Rank

  • Użytkownicy
  • 16 postów

Napisano 04 02 2006 - 21:10

Gmer tym razem NIC nie znalazł :(

#9 picasso

picasso

    Expert Rank

  • Użytkownicy +
  • 36724 postów
  • Płeć:Kobieta

Napisano 04 02 2006 - 21:20

Gmer tym razem NIC nie znalazł :(

Wyświetl post



Pytanie: czy wykonano również to o czym mówiłam ja?!

#10 jaseczka

jaseczka

    First Rank

  • Użytkownicy
  • 16 postów

Napisano 04 02 2006 - 21:24

Gmer tym razem NIC nie znalazł :(

Wyświetl post



Pytanie: czy wykonano również to o czym mówiłam ja?!

Wyświetl post


tak.
Zrobiłam jeszcze skanowanie (które na jakimś wpisie się zacięło i dałam abort) RootkitRevealer i wyskoczyło to:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Record 2006-02-04 20:56 4 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-19\RefCount 2006-02-04 20:56 4 bytes Data mismatch between Windows API and raw hive data.

#11 picasso

picasso

    Expert Rank

  • Użytkownicy +
  • 36724 postów
  • Płeć:Kobieta

Napisano 04 02 2006 - 21:36

tak.


No to nic dziwnego że już nie ma nic w Gmerze! :( W takim razie musisz mieć pliki:

C:\netpt.sys
C:\isa32.sys
C:\main6.exe


Proszę je SPAKOWAĆ do ZIP i dać tu jako Załącznik. Ja dam Gmerowi.

W kwestii reszty proszę znów otworzyć Notatnik i wkleić w nim:

sc delete PerfFont
sc delete "Sound Service"
sc delete Win32Sr
del C:\WINDOWS\win32ssr.exe


Zapisać jako FIX.BAT. I akcja: Gmer >>> Zabij wszystko >>> CMD >>> C:\FIX.BAT

Po akcji pokazać logi.



.

#12 jaseczka

jaseczka

    First Rank

  • Użytkownicy
  • 16 postów

Napisano 04 02 2006 - 22:25

Logfile of HijackThis v1.99.1
Scan saved at 22:07:29, on 2006-02-04
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ntvdm.exe
C:\Program Files\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\Program Files\Sprint & FineReader 5.0 Office Try&Buy\Sprint\CAgent.exe
C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\ulmo.exe
C:\Program Files\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe
C:\Program Files\Neostrada TP\NeostradaTP.exe
C:\Program Files\Neostrada TP\ComComp.exe
C:\Program Files\Neostrada TP\Watch.exe
C:\Program Files\scan\RootkitRevealer\RootkitRevealer.exe
C:\DOCUME~1\admin\USTAWI~1\Temp\OYZAT.exe
C:\Program Files\scan\Gmer\gmer.exe
C:\Program Files\scan\HijackThis\HijackThis.exe

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL
F3 - REG:win.ini: load=C:\YDPDict\watch.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {206E52E0-D52E-11D4-AD54-0000E86C26F6} - C:\PROGRA~1\FRESHD~1\FRESHD~1\FDCatch.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SiSSetCDfmt] C:\WINDOWS\System32\SetCDfmt.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [McAfee Guardian] "C:\Program Files\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe" /SU
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\NVIDIA\RivaTuner\RivaTuner.exe" /S
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [ABBYY Community Agent] C:\Program Files\Sprint & FineReader 5.0 Office Try&Buy\Sprint\CAgent.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Windows ASN3 Services] ulmo.exe
O4 - HKLM\..\RunServices: [Windows ASN3 Services] ulmo.exe
O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Program Files\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{221F8DEF-9B92-4901-89B8-209A7DBDAEB2}: NameServer = 194.204.152.34 217.98.63.164
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - Networks Associates Technology, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: OYZAT - Sysinternals - www.sysinternals.com - C:\DOCUME~1\admin\USTAWI~1\Temp\OYZAT.exe
O23 - Service: Performance True Type Fonts (PerfFont) - Unknown owner - C:\WINDOWS\System32\perfont.exe (file missing)
O23 - Service: Sound Sservice Driver (Sound Service) - Unknown owner - C:\WINDOWS\System32\cfmon.exe (file missing)


@#!**&$@^%$!!! Avast mi z czymś wyskoczył przed chwilą (C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\CDAV45QF\exe1[1].exe i C:\inp.exe) i chciałam uruchomić Hijacka i nie mogę. W tej chwili nie działa też Ctrl+Alt+Del (chciałam zobaczyć uruchomione procesy). Gmer nic nie pokazuje. A Revealer:
HKLM\S-1-5-21-1275210071-813497703-1708537768-1008\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{5E6AB780-7743-11CF-A12B-00AA004AE837}\Count\HRZR_HVGBBYONE 2006-02-04 22:05 16 bytes Data mismatch between Windows API and raw hive data.
HKLM\S-1-5-21-1275210071-813497703-1708537768-1008\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{5E6AB780-7743-11CF-A12B-00AA004AE837}\Count\HRZR_HVGBBYONE:0k1,120 2006-02-04 22:05 16 bytes Data mismatch between Windows API and raw hive data.
HKLM\S-1-5-21-1275210071-813497703-1708537768-1008\Software\Microsoft\Windows\ShellNoRoam\Bags\133\Shell\MinPos1152x864(1).x 2006-02-04 21:23 4 bytes Data mismatch between Windows API and raw hive data.
HKLM\S-1-5-21-1275210071-813497703-1708537768-1008\Software\Microsoft\Windows\ShellNoRoam\Bags\133\Shell\MinPos1152x864(1).y 2006-02-04 21:23 4 bytes Data mismatch between Windows API and raw hive data.
HKLM\S-1-5-21-1275210071-813497703-1708537768-1008\Software\Microsoft\Windows\ShellNoRoam\Bags\133\Shell\WinPos1152x864(1).left 2006-02-04 21:23 4 bytes Data mismatch between Windows API and raw hive data.
HKLM\S-1-5-21-1275210071-813497703-1708537768-1008\Software\Microsoft\Windows\ShellNoRoam\Bags\133\Shell\WinPos1152x864(1).top 2006-02-04 21:23 4 bytes Data mismatch between Windows API and raw hive data.
HKLM\S-1-5-21-1275210071-813497703-1708537768-1008\Software\Microsoft\Windows\ShellNoRoam\Bags\133\Shell\WinPos1152x864(1).right 2006-02-04 21:23 4 bytes Data mismatch between Windows API and raw hive data.
HKLM\S-1-5-21-1275210071-813497703-1708537768-1008\Software\Microsoft\Windows\ShellNoRoam\Bags\133\Shell\WinPos1152x864(1).bottom 2006-02-04 21:23 4 bytes Data mismatch between Windows API and raw hive data.



SR nie chce się zrobić. Wiersz: 644; Znak: 2; Błąd: 0x80041003; Kod: 80041003; Źródło: (null)

#13 picasso

picasso

    Expert Rank

  • Użytkownicy +
  • 36724 postów
  • Płeć:Kobieta

Napisano 05 02 2006 - 10:07

Nadal robaki:

O4 - HKLM\..\Run: [Windows ASN3 Services] ulmo.exe
O4 - HKLM\..\RunServices: [Windows ASN3 Services] ulmo.exe

O23 - Service: Performance True Type Fonts (PerfFont) - Unknown owner - C:\WINDOWS\System32\perfont.exe (file missing)
O23 - Service: Sound Sservice Driver (Sound Service) - Unknown owner - C:\WINDOWS\System32\cfmon.exe (file missing)


A to już zbędne po użyciu RR:

O23 - Service: OYZAT - Sysinternals - www.sysinternals.com - C:\DOCUME~1\admin\USTAWI~1\Temp\OYZAT.exe


- Proszę użyć Windows Woorms Doors Cleaner.

- Następnie zmontować sobie FIX.BAT o zawartości:

DEL C:\inp.exe
DEL C:\WINDOWS\system32\ulmo.exe
SC DELETE PerfFont
SC DELETE "Sound Service"
SC DELETE OYZAT
RD /S /Q C:\WINDOWS\system32\config\system~1\ustawi~1\tempor~1\Conten~1\CDAV45QF


- Akcja Gmera >>> Zabij wszystko >>> CMD >>> C:\FIX.BAT >>> Hijackiem skosić podane linijki >>> reset kompa

- Start >>> Uruchom >>> Prefetch >>> skasuj jego zawartość >>> przez następne 3 resety komp będzie wolniejszy (to zaplanowane i tak ma być)

- Wyczyść Kwarantannę Avasta = wszystkie pliki z sekcji zarażone WON

- Uruchomić w Registry Search Tool szukanie na słowa netpt + isa32


BTW. Dzięki za pliki dla Gmera. Już mu zuploadowałam więc Załącznik stąd usuwam.


.

#14 jaseczka

jaseczka

    First Rank

  • Użytkownicy
  • 16 postów

Napisano 06 02 2006 - 10:12

Nie wiem czy już co kolwiek zrobię. Zaraz po zalogowaniu następuje wylogowanie... Mam "tylne wejście" do systemu przez linux, ale zastanawiam się czy mniej czasu nie zajmie format niż ratowanie tego co jest. jak można się dostać do rejestru Win przez Linuksa?

#15 picasso

picasso

    Expert Rank

  • Użytkownicy +
  • 36724 postów
  • Płeć:Kobieta

Napisano 06 02 2006 - 11:51

Zaraz po zalogowaniu następuje wylogowanie...


Tu zdaje się odbija się użycie fixów na Userinit .... Jeśli jesteś w pętli wylogowania a był ten main w Userinit to na stówę coś nie tak z userinit = albo plik userinit.exe jest nieobecny albo wpis z userinit uległ modyfikacji. TYlko że przecież po zastosowaniu fixa i wywaleniu maina niby było dobrze. Czyżby nawrót infekcje?

Zacznij od tego iż podrzuć świeżą kopię userinit.exe. Jeśli jest dostęp przez furtkę linucha to przez Linucha a jeśli nie da rady skorzystaj z:

Reset komputera z CD XP do Konsoli Odzyskiwania i wpisanie komendy:

EXPAND X:\i386\USERINIT.EX_ C:\WINDOWS\SYSTEM32

X - tu podstawiasz literę CD-ROMu


Jreśli zaś to kwestia rejestru i z Linucha tam też nie ma dostępu to możesz skorzystać z bootowalnego edytora "Linuchoida" co opisałam TU.





.




Użytkownicy przeglądający ten temat: 0

0 użytkowników, 0 gości, 0 anonimowych