Trojan.Win32.Qhost.el

[ihuarraquax]

Gdzie mogę znaleźć informacje na temat tego wirusa? Może ktoś się z nim
zetknął? Komputer zaczął się dziwnie zachowywać, m.in. nie można go było
wyłączyć i nie działało też Ctrl-Alt-Del. Program antywirusowy wykrył na
dysku wirusa, którego nazwał Trojan.Win32.Qhost.el
Chciałbym wiedzieć, czy te objawy były od tego wirusa.

[kolobos]

Trojan to nie wirus. Wklej na forum log z hijackthis.

Log z hijackthis

[ihuarraquax]

W międzyczasie znalazł się następny: Trojan-PSW.Win32.Agent.bu
Zainfekowany był plik C:\WINDOWS\kl.exe

Wcześniejszy, tzn. wspomniany w temacie Trojan.Win32.Qhost.el
zainfekował olik c:\WINDOWS\hosts

Obydwa plik, tzn. hosts i kl.exe - skasowałem ręcznie.

Log z hijackthis wygląda tak:


Logfile of HijackThis v1.99.1
Scan saved at 22:37:33, on 2002-10-28
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe
C:\WINDOWS\System32\mszx23.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpm.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\Avp32.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\Avp32.exe
C:\Documents and Settings\Agnieszka\Pulpit\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
c:\secure32.html
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no
file)
O1 - Hosts: systat 11/tcp users #Użytkownicy aktywni
O1 - Hosts: systat 11/tcp users #Użytkownicy aktywni
O1 - Hosts: daytime 13/tcp
O1 - Hosts: daytime 13/udp
O1 - Hosts: qotd 17/tcp quote #Cytat dnia
O1 - Hosts: qotd 17/udp quote #Cytat dnia
O1 - Hosts: chargen 19/tcp ttytst source #Generator znaków
O1 - Hosts: chargen 19/udp ttytst source #Generator znaków
O1 - Hosts: ftp-data 20/tcp #FTP, dane
O1 - Hosts: ftp 21/tcp #FTP. control
O1 - Hosts: telnet 23/tcp
O1 - Hosts: smtp 25/tcp mail #Simple Mail Transfer Protocol
O1 - Hosts: time 37/tcp timserver
O1 - Hosts: time 37/udp timserver
O1 - Hosts: rlp 39/udp resource #Protokół lokalizowania zasobów
O1 - Hosts: nameserver 42/tcp name #Serwer nazw hostów
O1 - Hosts: nameserver 42/udp name #Serwer nazw hostów
O1 - Hosts: nicname 43/tcp whois
O1 - Hosts: domain 53/tcp #Serwer nazw domen
O1 - Hosts: domain 53/udp #Serwer nazw domen
O1 - Hosts: bootps 67/udp dhcps #Serwer protokołu Bootstrap
O1 - Hosts: bootpc 68/udp dhcpc #Klient protokołu Bootstrap
O1 - Hosts: tftp 69/udp #Trywialny transfer plików
O1 - Hosts: gopher 70/tcp
O1 - Hosts: finger 79/tcp
O1 - Hosts: kerberos 88/tcp krb5 kerberos-sec #Kerberos
O1 - Hosts: kerberos 88/udp krb5 kerberos-sec #Kerberos
O1 - Hosts: hostname 101/tcp hostnames #Serwer nazw hostów NIC
O1 - Hosts: iso-tsap 102/tcp #ISO-TSAP klasy 0
O1 - Hosts: rtelnet 107/tcp #Usługa zdalnego protokołu Telnet
O1 - Hosts: pop2 109/tcp postoffice #Protokół urzędu pocztowego - wersja 2
O1 - Hosts: pop3 110/tcp #Protokół urzędu pocztowego - wersja 3
O1 - Hosts: sunrpc 111/tcp rpcbind portmap #Zdalne wywoływanie procedur SUN
O1 - Hosts: sunrpc 111/udp rpcbind portmap #Zdalne wywoływanie procedur SUN
O1 - Hosts: auth 113/tcp ident tap #Protokół identyfikacji
O1 - Hosts: uucp-path 117/tcp
O1 - Hosts: nntp 119/tcp usenet #Protokół transferu wiadomości sieciowych
O1 - Hosts: ntp 123/udp #Protokół czasu sieciowgo
O1 - Hosts: epmap 135/tcp loc-srv #Rozpoznawanie punktów końcowych DCE
O1 - Hosts: epmap 135/udp loc-srv #Rozpoznawanie punktów końcowych DCE
O1 - Hosts: netbios-ns 137/tcp nbname #Usługa nazw NETBIOS
O1 - Hosts: netbios-ns 137/udp nbname #Usługa nazw NETBIOS
O1 - Hosts: netbios-dgm 138/udp nbdatagram #Usługa datagramów NETBIOS
O1 - Hosts: netbios-ssn 139/tcp nbsession #Usługa sesji NETBIOS
O1 - Hosts: imap 143/tcp imap4 #Protokół dostępu do wiadomości internetowych
(IMAP)
O1 - Hosts: pcmail-srv 158/tcp #Serwer PCMail
O1 - Hosts: snmp 161/udp #SNMP
O1 - Hosts: snmptrap 162/udp snmp-trap #Pułapka SNMP
O1 - Hosts: print-srv 170/tcp #PostScript sieciowy
O1 - Hosts: bgp 179/tcp #Protokół bram granicznych
O1 - Hosts: irc 194/tcp #Protokół Internet Relay Chat (IRC)
O1 - Hosts: ipx 213/udp #IPX prze IP
O1 - Hosts: ldap 389/tcp #Lightweight Directory Access Protocol
O1 - Hosts: microsoft-ds 445/tcp
O1 - Hosts: microsoft-ds 445/udp
O1 - Hosts: kpasswd 464/tcp # Kerberos (v5)
O1 - Hosts: kpasswd 464/udp # Kerberos (v5)
O1 - Hosts: isakmp 500/udp ike #Internetowa wymiana kluczy
O1 - Hosts: exec 512/tcp #Zdalne wykonywanie procesów
O1 - Hosts: biff 512/udp comsat
O1 - Hosts: login 513/tcp #Logowanie zdalne
O1 - Hosts: who 513/udp whod
O1 - Hosts: cmd 514/tcp shell
O1 - Hosts: syslog 514/udp
O1 - Hosts: printer 515/tcp spooler
O1 - Hosts: router 520/udp route routed
O1 - Hosts: timed 525/udp timeserver
O1 - Hosts: tempo 526/tcp newdate
O1 - Hosts: courier 530/tcp rpc
O1 - Hosts: conference 531/tcp chat
O1 - Hosts: netnews 532/tcp readnews
O1 - Hosts: netwall 533/udp #Emisje awaryjne
O1 - Hosts: uucp 540/tcp uucpd
O1 - Hosts: klogin 543/tcp #Logowanie Kerberos
O1 - Hosts: kshell 544/tcp krcmd #Zdalna powłoka Kerberos
O1 - Hosts: wins 1512/tcp #Microsoft Windows Internet Name Service
O1 - Hosts: wins 1512/udp #Microsoft Windows Internet Name Service
O1 - Hosts: ingreslock 1524/tcp ingres
O1 - Hosts: l2tp 1701/udp #Protokół tunelowania warstwy drugiej
O1 - Hosts: pptp 1723/tcp #Protokół tunelowania Point-to-point
O1 - Hosts: radius 1812/udp #Protokół uwierzytelniania RADIUS
O1 - Hosts: radacct 1813/udp #Protokół kont RADIUS
O1 - Hosts: nfsd 2049/udp nfs #Serwer NFS
O1 - Hosts: knetd 2053/tcp #Protokół demultipleksowania Kerberos
O1 - Hosts: man 9535/tcp #Serwer zdalnej dokumentacji Man
O1 - Hosts: gds_db 3050/tcp
O2 - BHO: BolgerObj Class - {302A3240-4805-4a34-97D7-1645A0B08410} -
C:\WINDOWS\Bolger.dll
O2 - BHO: IE Update Class - {5B4AB8E2-6DC5-477A-B637-BF3C1A2E5993} -
C:\WINDOWS\isrvs\sysupd.dll (file missing)
O4 - HKLM\..\Run: [AVPCC] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus
for Workstation\avpcc.exe" /wait
O4 - HKLM\..\Run: [Service Host] C:\WINDOWS\System32\Services\{FEB0B350-E793-
4F9A-84D6-185470A4ADBA}\SVCHOST.EXE
O4 - HKCU\..\Run: [System] C:\WINDOWS\svchost.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-
00401C608501} - C:\WINDOWS\System32\msjava.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{BDB3331B-664E-472D-A58D-7F6C9FACCFCB}:
NameServer = 194.204.159.1,194.204.152.34,192.168.1.1
O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} -
C:\WINDOWS\isrvs\mfiltis.dll
O20 - Winlogon Notify: drct16 - C:\WINDOWS\SYSTEM32\drct16.dll
O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - C:\Program
Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe" /service
(file missing)
O23 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner -
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for
Workstation\avpm.exe" /service (file missing)
O23 - Service: Loading Outpost Connections (KDE) - Unknown owner -
C:\WINDOWS\System32\cmdtel.exe (file missing)
O23 - Service: Visibroker Activation Daemon (oad) - Unknown owner - C:\PROGRA~1
\Borland\vbroker\bin\oad.exe
O23 - Service: VisiBroker Smart Agent (osagent) - Unknown owner - C:\PROGRA~1
\Borland\vbroker\bin\osagent.exe
O23

Trzeci trojan znaleziony

[ihuarraquax]

I jeszcze się znalazł Trojan.Win32.StartPage.agp
w pliku c:\WINDOWS\system32\paytime.exe

Plik paytime.exe również skasowałem.

Inne niepokojące objawy są takie:
- w pewnej chwili przestają działać zwykłe mechanizmy: podwójne kliknięcie na
Notepad nie otwiera notatnika, próba sprowadzenia okna do paska nie sprowadza
okna do paska, itp.
- niektóre przypadkowe pliki wyświetlają się w Exploratorze na niebiesko, przy
czym są to np. niektóre moje dokumenty, np. z dziesięciu stworzonych przeze
mnie txt któryś jeden jest na niebiesko; więc nie żadne systemowe ani nic
takiego.

[Gość: Kolobos]

Przeskanuj system przy pomocy ewido, zamknij porty w wwdc. Zmien tez przegladarke na Opere skoro z IE korzystac nie umiesz.

W menadzerze zadan zakoncz:
C:\WINDOWS\System32\mszx23.exe

W hjt usun:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
c:\secure32.html <- plik usun z dysku.
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
c:\secure32.html
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no
file)
O2 - BHO: BolgerObj Class - {302A3240-4805-4a34-97D7-1645A0B08410} -
C:\WINDOWS\Bolger.dll <- plik usun z dysku.
O2 - BHO: IE Update Class - {5B4AB8E2-6DC5-477A-B637-BF3C1A2E5993} -
C:\WINDOWS\isrvs\sysupd.dll (file missing)
O4 - HKLM\..\Run: [Service Host] C:\WINDOWS\System32\Services\{FEB0B350-E793-
4F9A-84D6-185470A4ADBA}\SVCHOST.EXE <- usun katalog {FE....
O4 - HKCU\..\Run: [System] C:\WINDOWS\svchost.exe <- plik usun z dysku.
O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} -
C:\WINDOWS\isrvs\mfiltis.dll <- katalog isrvs usun z dysku.
O20 - Winlogon Notify: drct16 - C:\WINDOWS\SYSTEM32\drct16.dll

Usluga do kasacji:
O23 - Service: Loading Outpost Connections (KDE) - Unknown owner -
C:\WINDOWS\System32\cmdtel.exe (file missing)

Sciagnij:
users.telenet.be/marcvn/tools/haxfix.exe wybierz opcje trzy i jako klucz do usuniecia wpisz: drct

Do tego:
siri.urz.free.fr/Fix/SmitfraudFix_En.php robisz to co masz pod Clean, log z usuwania wklejasz na forum.

Wpisy > O1 - Hosts znasz?

Wklejasz tez log z hjt (w osobnym poscie z racji na limit znakow).

[ihuarraquax]

Gość portalu: Kolobos napisał(a):

> O4 - HKLM\..\Run: [Service Host] C:\WINDOWS\System32\Services\{FEB0B350-E793-
> 4F9A-84D6-185470A4ADBA}\SVCHOST.EXE <- usun katalog {FE....
> O4 - HKCU\..\Run: [System] C:\WINDOWS\svchost.exe <- plik usun z dysku.

Czy mam usunąć plik C:\WINDOWS\system32\svchost.exe? W folderze C:\WINDOWS\ nie
mam pliku svchost.exe

A ten C:\WINDOWS\system32\svchost.exe usunąć się nie daje.


Zapuściłem AVG Anti-Spyware. To jest to ewido? Skanuje, wypisuje że Infected
objects jest 71, ale z treści w rubrykach Threat i Risk (np. Adware.VX2 czy
TrackingCookie.Spylog) nie potrafię wyciągnąć wniosków, nie wiem, o które pliki
chodzi.

Wpisów > O1 - Hosts nie znam.

Zaraz wkleję aktualny log z hijackthis.

Nowy log z hijackthis

[ihuarraquax]

Logfile of HijackThis v1.99.1
Scan saved at 13:01:42, on 2002-10-29
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Agnieszka\Pulpit\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
www.google.pl/advanced_search?hl=pl&num=100&lr=lang_pl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
c:\secure32.html
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no
file)
O1 - Hosts: systat 11/tcp users #Użytkownicy aktywni
O1 - Hosts: systat 11/tcp users #Użytkownicy aktywni
O1 - Hosts: daytime 13/tcp
O1 - Hosts: daytime 13/udp
O1 - Hosts: qotd 17/tcp quote #Cytat dnia
O1 - Hosts: qotd 17/udp quote #Cytat dnia
O1 - Hosts: chargen 19/tcp ttytst source #Generator znaków
O1 - Hosts: chargen 19/udp ttytst source #Generator znaków
O1 - Hosts: ftp-data 20/tcp #FTP, dane
O1 - Hosts: ftp 21/tcp #FTP. control
O1 - Hosts: telnet 23/tcp
O1 - Hosts: smtp 25/tcp mail #Simple Mail Transfer Protocol
O1 - Hosts: time 37/tcp timserver
O1 - Hosts: time 37/udp timserver
O1 - Hosts: rlp 39/udp resource #Protokół lokalizowania zasobów
O1 - Hosts: nameserver 42/tcp name #Serwer nazw hostów
O1 - Hosts: nameserver 42/udp name #Serwer nazw hostów
O1 - Hosts: nicname 43/tcp whois
O1 - Hosts: domain 53/tcp #Serwer nazw domen
O1 - Hosts: domain 53/udp #Serwer nazw domen
O1 - Hosts: bootps 67/udp dhcps #Serwer protokołu Bootstrap
O1 - Hosts: bootpc 68/udp dhcpc #Klient protokołu Bootstrap
O1 - Hosts: tftp 69/udp #Trywialny transfer plików
O1 - Hosts: gopher 70/tcp
O1 - Hosts: finger 79/tcp
O1 - Hosts: kerberos 88/tcp krb5 kerberos-sec #Kerberos
O1 - Hosts: kerberos 88/udp krb5 kerberos-sec #Kerberos
O1 - Hosts: hostname 101/tcp hostnames #Serwer nazw hostów NIC
O1 - Hosts: iso-tsap 102/tcp #ISO-TSAP klasy 0
O1 - Hosts: rtelnet 107/tcp #Usługa zdalnego protokołu Telnet
O1 - Hosts: pop2 109/tcp postoffice #Protokół urzędu pocztowego - wersja 2
O1 - Hosts: pop3 110/tcp #Protokół urzędu pocztowego - wersja 3
O1 - Hosts: sunrpc 111/tcp rpcbind portmap #Zdalne wywoływanie procedur SUN
O1 - Hosts: sunrpc 111/udp rpcbind portmap #Zdalne wywoływanie procedur SUN
O1 - Hosts: auth 113/tcp ident tap #Protokół identyfikacji
O1 - Hosts: uucp-path 117/tcp
O1 - Hosts: nntp 119/tcp usenet #Protokół transferu wiadomości sieciowych
O1 - Hosts: ntp 123/udp #Protokół czasu sieciowgo
O1 - Hosts: epmap 135/tcp loc-srv #Rozpoznawanie punktów końcowych DCE
O1 - Hosts: epmap 135/udp loc-srv #Rozpoznawanie punktów końcowych DCE
O1 - Hosts: netbios-ns 137/tcp nbname #Usługa nazw NETBIOS
O1 - Hosts: netbios-ns 137/udp nbname #Usługa nazw NETBIOS
O1 - Hosts: netbios-dgm 138/udp nbdatagram #Usługa datagramów NETBIOS
O1 - Hosts: netbios-ssn 139/tcp nbsession #Usługa sesji NETBIOS
O1 - Hosts: imap 143/tcp imap4 #Protokół dostępu do wiadomości internetowych
(IMAP)
O1 - Hosts: pcmail-srv 158/tcp #Serwer PCMail
O1 - Hosts: snmp 161/udp #SNMP
O1 - Hosts: snmptrap 162/udp snmp-trap #Pułapka SNMP
O1 - Hosts: print-srv 170/tcp #PostScript sieciowy
O1 - Hosts: bgp 179/tcp #Protokół bram granicznych
O1 - Hosts: irc 194/tcp #Protokół Internet Relay Chat (IRC)
O1 - Hosts: ipx 213/udp #IPX prze IP
O1 - Hosts: ldap 389/tcp #Lightweight Directory Access Protocol
O1 - Hosts: microsoft-ds 445/tcp
O1 - Hosts: microsoft-ds 445/udp
O1 - Hosts: kpasswd 464/tcp # Kerberos (v5)
O1 - Hosts: kpasswd 464/udp # Kerberos (v5)
O1 - Hosts: isakmp 500/udp ike #Internetowa wymiana kluczy
O1 - Hosts: exec 512/tcp #Zdalne wykonywanie procesów
O1 - Hosts: biff 512/udp comsat
O1 - Hosts: login 513/tcp #Logowanie zdalne
O1 - Hosts: who 513/udp whod
O1 - Hosts: cmd 514/tcp shell
O1 - Hosts: syslog 514/udp
O1 - Hosts: printer 515/tcp spooler
O1 - Hosts: router 520/udp route routed
O1 - Hosts: timed 525/udp timeserver
O1 - Hosts: tempo 526/tcp newdate
O1 - Hosts: courier 530/tcp rpc
O1 - Hosts: conference 531/tcp chat
O1 - Hosts: netnews 532/tcp readnews
O1 - Hosts: netwall 533/udp #Emisje awaryjne
O1 - Hosts: uucp 540/tcp uucpd
O1 - Hosts: klogin 543/tcp #Logowanie Kerberos
O1 - Hosts: kshell 544/tcp krcmd #Zdalna powłoka Kerberos
O1 - Hosts: wins 1512/tcp #Microsoft Windows Internet Name Service
O1 - Hosts: wins 1512/udp #Microsoft Windows Internet Name Service
O1 - Hosts: ingreslock 1524/tcp ingres
O1 - Hosts: l2tp 1701/udp #Protokół tunelowania warstwy drugiej
O1 - Hosts: pptp 1723/tcp #Protokół tunelowania Point-to-point
O1 - Hosts: radius 1812/udp #Protokół uwierzytelniania RADIUS
O1 - Hosts: radacct 1813/udp #Protokół kont RADIUS
O1 - Hosts: nfsd 2049/udp nfs #Serwer NFS
O1 - Hosts: knetd 2053/tcp #Protokół demultipleksowania Kerberos
O1 - Hosts: man 9535/tcp #Serwer zdalnej dokumentacji Man
O1 - Hosts: gds_db 3050/tcp
O2 - BHO: BolgerObj Class - {302A3240-4805-4a34-97D7-1645A0B08410} -
C:\WINDOWS\Bolger.dll (file missing)
O2 - BHO: IE Update Class - {5B4AB8E2-6DC5-477A-B637-BF3C1A2E5993} -
C:\WINDOWS\isrvs\sysupd.dll (file missing)
O4 - HKLM\..\Run: [AVPCC] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus
for Workstation\avpcc.exe" /wait
O4 - HKLM\..\Run: [Service Host] C:\WINDOWS\System32\Services\{FEB0B350-E793-
4F9A-84D6-185470A4ADBA}\SVCHOST.EXE
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-
Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [System] C:\WINDOWS\svchost.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-
00401C608501} - C:\WINDOWS\System32\msjava.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{BDB3331B-664E-472D-A58D-7F6C9FACCFCB}:
NameServer = 194.204.159.1,194.204.152.34,192.168.1.1
O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} -
C:\WINDOWS\isrvs\mfiltis.dll
O20 - Winlogon Notify: drct16 - drct16.dll (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. -
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - C:\Program
Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe" /service
(file missing)
O23 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner -
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for
Workstation\avpm.exe" /service (file missing)
O23 - Service: Loading Outpost Connections (KDE) - Unknown owner -
C:\WINDOWS\System32\cmdtel.exe (file missing)
O23 - Service: Visibroker Activation Daemon (oad) - Unknown owner - C:\PROGRA~1
\Borland\vbroker\bin\oad.exe
O23 - Service: VisiBroker Smart Agent (osagent) - Unknown owner - C:\PROGRA~1
\Borland\vbroker\bin\osagent.exe
O23 - Servic

+ ostatnia linijka (bo ją ucięło)

[ihuarraquax]

O23 - Service: System Startup Service (SvcProc) - Unknown owner -
C:\WINDOWS\svcproc.exe (file missing)

[Gość: Kolobos]

Dlaczego nie usunales tego co podalem i znowu wklejasz ten sam syf?!
Mam Ci znowu pisac to samo?! Marnujesz tylko moj czas.
Masz zrobic wszystko co napisalem!

[ihuarraquax]

Gość portalu: Kolobos napisał(a):

> W hjt usun:
> R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
> c:\secure32.html <- plik usun z dysku.

Plik c:\secure32.html - usunąłem i po usunięciu go zdecydowanie nie ma.
W nowym logu jest jednak:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
c:\secure32.html

czyli, jak to ująłeś, ten sam syf.
Co mam zrobić, żeby następnym razem Cię tak nie zdenerwować? Co to znaczy
"W hjt usun"?

[Gość: Kolobos]

Masz usunac podane wpisy w hijackthis, a nie tylko usunac pliki z dysku.
Do tego masz wkleic log z haxfix oraz z SmitfraudFix.

Log z Smithfraud

[ihuarraquax]

Log z SmithFraud:

SmitFraudFix v2.115

Scan done at 16:22:43,15, 2002-10-30
Run from C:\Program Files\SmitfraudFix
OS: Microsoft Windows XP [Wersja 5.1.2600] - Windows_NT
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Agnieszka


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Agnieszka\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\AGNIES~1\Ulubione


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Moja bieľĄca strona g?˘wna"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32


»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

Log z haxfix

[ihuarraquax]

HAXFIX logfile - by Marckie
--------------
version 4.28
2002-10-29 14:58:54,95

-

log z haxfix oraz z SmitfraudFix - chyba nic

[ihuarraquax]

na oko laika: haxfix i SmitfraudFix chyba nic nie znalazły, co?

[Gość: Kolobos]

Wiec teraz wklej nowy log z hijackthis, zobaczymy czy juz jest ok.

[Gość: Kolobos]

> Czy mam usunąć plik C:\WINDOWS\system32\svchost.exe? W folderze C:\WINDOWS\
> nie mam pliku svchost.exe
> A ten C:\WINDOWS\system32\svchost.exe usunąć się nie daje.

Chyba jasno napisalem co i gdzie masz usuwac! Wiec dlaczego probujesz usuwac inne pliki?!

> Zapuściłem AVG Anti-Spyware. To jest to ewido? Skanuje, wypisuje że Infected
> objects jest 71, ale z treści w rubrykach Threat i Risk (np. Adware.VX2 czy
> TrackingCookie.Spylog) nie potrafię wyciągnąć wniosków, nie wiem, o które
> pliki chodzi.

Masz usunac wszystko co znajdzie...

mój menedżer zadań Windows

[ihuarraquax]

Czy coś z poniższej listy jest wiruem? To jest mój menedżer zadań Windows.
Udało mi się to odczytać zaraz po włączeniu komputera, tzn. zanim przestały
działać Ctrl-Alt-Del i inne rzeczy:

taskmgr.exe
wuauclt.exe
svchost.exe
AvpM.exe
avpcc.exe
spoolsv.exe
svchost.exe
svchost.exe
svchost.exe
svchost.exe
lsass.exe
services.exe
winlogon.exe
csrss.exe
smss.exe
avpupd.exe
avgas.exe
avpcc.exe
explorer.exe

[Gość: Kolobos]

Nie.