m4z! Opublikowano 16 Marca 2008 Zgłoś Opublikowano 16 Marca 2008 Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:23:47, on 2008-03-16 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.20696) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\Documents and Settings\Mazi\Menu Start\Programy\Autostart\ctfmon.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\PnkBstrA.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe" O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA') O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'USŁUGA LOKALNA') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA') O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'USŁUGA SIECIOWA') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user') O4 - Startup: ctfmon.exe O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe -- End of file - 4195 bytes Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
Kolobos Opublikowano 16 Marca 2008 Zgłoś Opublikowano 16 Marca 2008 Sprawdz sam na http://www.hijackthis.de , a jak chcesz pomocy na forum to wysil sie i opisz DOKLADNIE problem + daj wymagane logi. Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
m4z! Opublikowano 16 Marca 2008 Zgłoś Opublikowano 16 Marca 2008 sprawdzalem na ow stronie, jednak sie nic nie dowiedzialem tresciwego. problem z ctfmon.exe ktory ciagle mi sie wlacza w autostarcie, oraz niekiedy komputer nie chce sie wylaczyc/zrestartowac. musze wowczas uzyc przycisku power/reset. rowniez mam problem z mysza razer diamnodback - czasami po wlaczeniu kompa musze ja wypiac i wpiac aby dzialala. Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
m4z! Opublikowano 16 Marca 2008 Zgłoś Opublikowano 16 Marca 2008 jak narazie chyba sobie poradzilem co do ctfmon, gdyz to co napisal XaD robilem i problem dalej wystepowal. zainstalowalem ctfmon remover, wywalilem wszystkie pliki znalezione na C: zawierajace w sobie nazwe ctfmon oraz wszystkie klucze z rejestru zawierajace ctfmon. Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
m4z! Opublikowano 16 Marca 2008 Zgłoś Opublikowano 16 Marca 2008 (edytowane) Java zaistalowana nowa jak zaleciles 8O combofix wywalil syf dt. autorun.inf 8O zalaczam loga z combofix'a _______ edit wlasnie zalaczylem jeszcze raz combofixa i z tego co mi sie wydaje znow wywalilo mi te pliki autorun.inf na kazdej z partycji : < ComboFix.txt ComboFix2.txt Edytowane 16 Marca 2008 przez m4z! Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
m4z! Opublikowano 17 Marca 2008 Zgłoś Opublikowano 17 Marca 2008 (edytowane) qoobox wywalony klucz rejestru wywalony raport załączony 8O Report.txt Edytowane 17 Marca 2008 przez m4z! Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
m4z! Opublikowano 17 Marca 2008 Zgłoś Opublikowano 17 Marca 2008 zrobione 8O bede raportowal czy wystepuje problem z mysza albo zwieszka przy wylaczaniu systemu. dzialo sie tak, ze klikalem wylacz komputer i niby juz sie wylacza, lecz mysza przestaje reagowac, klawiatura tez, poprostu zwiecha, system zawisa. Jak narazie problem nie wystepuje, jesli sie pojawi to napisze:) dzieki wielkie XaD za pomoc 8O Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
m4z! Opublikowano 24 Marca 2008 Zgłoś Opublikowano 24 Marca 2008 znowu mnie jakas syfioza dopadla aaaaaaaaaaaaaaaaa mam tak ze cos porobie na kompie i zaraz zuzycie kompa 50% a w procesach same systemowe uslugi. : < logi z combofixa oraz sdfixa! Report.txt ComboFix.txt Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
Kolobos Opublikowano 25 Marca 2008 Zgłoś Opublikowano 25 Marca 2008 Utworz plik CFScript.txt i wklej do niego: Driver:: yeyqase Folder:: C:\Recycled\ File:: C:\pagefile.sys.vbs C:\WINDOWS\pagefile.sys.vbs C:\WINDOWS\system32\ras\yeyqase.mis Registry:: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "MSRegInfo"=- [hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks] "{D318119E-CB62-4039-AE9B-CF9575BCAA7F}"=- [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSRegInfo] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpyHunter Security Suite] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7edffcd8-f37c-11dc-acf3-00e04ceabae3}] [-HKEY_LOCAL_MACHINE\system\ControlSet002\Services\yeyqase] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\yeyqase] Zapisz i przeciagnij na ikone combofix.exe, po uzyciu daj log z combofix + nowy z sdfix. Zrob tez skan przy pomocy: http://dnl-eu10.kaspersky-labs.com/devbuilds/AVPTool/ , po przeskanowaniu wklej na http://wklej.org to co Ci sie wyswietli w zakaldce Detected (tylko nie dawaj calego log'a, ktory jest zbedny). Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
m4z! Opublikowano 25 Marca 2008 Zgłoś Opublikowano 25 Marca 2008 (edytowane) a wiec tak, combofix raport oraz sdfix zalaczone. log z avp -> http://wklej.org/id/552ecbdeee mam taki problem nadal: 1) wchodze na google.pl 2) wpisuje przykladowy txt do wyszukiwarki ( np devbuilds/AVPTool) 3) po najechaniu na dowolny link, mysz znajduje sie tam gdzie 1 strzalka lecz nie klikam w ow link -> na dole w przegladarce powinien sie wyswietlic niby adres tego odnosnika czyli : dnl-eu11.kaspersky-labs.com/devbuilds/AVPTool/ wyswietla sie jednak adres (przy drugiej strzalce na zalaczonym obrazku) http://mysunnyfinder.com/devbuilds%2FAVPTool/ ktory przekierowuje na strone -> http://www.infestop.com/promo/ddd6b15a876f...19605/3/Btraff/ problem wystepuje powiedzmy w kilku linkach na stronie, czyli gdzie nie klikne to tak czy siak mnie przekierowuje na infestop. wyszukiwalem juz wszelakie wpisy, pliki itd itp dt. infestop i nic nie znalazlem. przeinstalowalem firefox'a oraz zainstalowalem najnowsza wersje (firefox 3 beta 4) i problem nadal sie pojawia. uzywalem spyware doctor, sdfix, combofix, hjt, kvp, spybot s&d, spyhunter, no praktycznie wszystkiego co niby najlepsze jednak z tym sobie nie radzi.. moze ktos wie o co chodzi? edit na szukajkach onetu i interii problem nie wystepuje Report.txt ComboFix.txt Edytowane 25 Marca 2008 przez m4z! Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
Kolobos Opublikowano 25 Marca 2008 Zgłoś Opublikowano 25 Marca 2008 Start->Uruchom->netsh winsock reset Uzyj tez fixwareout + daj log z hijackthis. Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
m4z! Opublikowano 25 Marca 2008 Zgłoś Opublikowano 25 Marca 2008 (edytowane) logi z fixwareout oraz hijackthis zalączone. Niestety komenda netsh winsock reset oraz potraktowanie systemu fixwareout nie pomogły. edit dorzuciłem jeszcze log z silent runner fixwareout.txt hijackthis.txt silent_runners.txt Edytowane 25 Marca 2008 przez m4z! Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
Kolobos Opublikowano 26 Marca 2008 Zgłoś Opublikowano 26 Marca 2008 Daj log z gmera (rootkit + uslugi). Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
m4z! Opublikowano 26 Marca 2008 Zgłoś Opublikowano 26 Marca 2008 nie do konca jestem pewien czy chodzilo o te logi: rootkit.txt us__ugi.txt Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
Kolobos Opublikowano 26 Marca 2008 Zgłoś Opublikowano 26 Marca 2008 Utowrz nowy CFScript.txt: Driver:: utqynte0 File:: C:\WINDOWS\system32\Drivers\utqynte0.sys C:\WINDOWS\System32\Drivers\ak7o2u3z.SYS Po wykonaniu daj log. W gmerze kliknij na tych wpisach prawym przyciskiem myszy i przywroc ssd: SSDT spph.sys ZwEnumerateKey [0xBA6C6CA2] SSDT spph.sys ZwEnumeratevaluateueKey [0xBA6C7030] SSDT spph.sys ZwOpenKey [0xBA6A80C0] SSDT spph.sys ZwQueryKey [0xBA6C7108] SSDT spph.sys ZwQueryValueKey [0xBA6C6F88] Po wszystkim zrob reset i po resecie daj nowy log z gmera. Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
m4z! Opublikowano 27 Marca 2008 Zgłoś Opublikowano 27 Marca 2008 nowe logi gmer uslugi, gmer system oraz combofix. z tego co przegladam to to te pliki ktorym dalem przywroc ssd zmienily nazwy i nadal sa zasyfione tyle ze nieweim jak to naprawic wciaz. Kolobos licze na Ciebie:) system.txt uslugi.txt ComboFix.txt Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
Kolobos Opublikowano 27 Marca 2008 Zgłoś Opublikowano 27 Marca 2008 Usun jeszcze z dysku: C:\WINDOWS\SET97.tmp C:\WINDOWS\SET94.tmp C:\WINDOWS\SETA3.tmp Ten sterownik z losowa nazwa zapewne ma zwiazek z SPTD (Daemon Tools). Czy problem ze stronami nadal wystepuje? Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
m4z! Opublikowano 27 Marca 2008 Zgłoś Opublikowano 27 Marca 2008 wykasowalem ow pliki niestety problem nie zniknal.. eeeeeeh chyba format jest pottrzebny niestety.. 8O mimo wszystko dzieki za poomoc Kolobos ! Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
Kolobos Opublikowano 28 Marca 2008 Zgłoś Opublikowano 28 Marca 2008 (edytowane) Jezeli jeszcze nie formatowales, to zrob jeszcze skan tym: http://download.drweb.com/drweb+cureit/ Wyglada na to, ze masz rootkita w mbr. Edytowane 28 Marca 2008 przez Kolobos Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
m4z! Opublikowano 30 Marca 2008 Zgłoś Opublikowano 30 Marca 2008 niestety bylem juz po formacie Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
