sprawdzenie logów

IP: *.uml.lodz.pl 17.07.07, 09:51
Witam
Po przeskanowaniu komputera Kasperskim, NOD-32 i AD-Aware, wykrywany i
niszczony jest Trojan-proxy.Win32.Slaper.p (czasami Slaper.c). Po połączeniu
z intetrnetem Nod wykrywa zagrożenie wirusowe ze strony
www.quitlife.com/~priv8/... Po rozłączeniu z internetem i ponownym skanie
Kasperski znowu wykrywa Trojana w różnych lokalizacjach (ostatnio
c:/dokumentsandSettings/ja/fdf.exe. Coś mi ściąga po połączeniu z internetem
te trojany. Gdy dłużej jestem w sieci komputer zwalnie cały czas coś mieli i
potem oczywiście nie chce się rozłączyć. linki do logów: combofix
wklej.org/id/9ee6276b2c
hijackthis
wklej.org/id/5ef522c923pozdrawiam
    • Gość: piotr Re: sprawdzenie logów IP: *.uml.lodz.pl 17.07.07, 09:56
      jeszcze raz linki
      wklej.org/id/9ee6276b2c
      wklej.org/id/5ef522c923
    • Gość: Kolobos Re: sprawdzenie logów IP: *.escom.net.pl 17.07.07, 11:01
      Zamknij porty przy pomocy wwdc.exe

      W menadzerze zadan zakoncz:
      C:\WINDOWS\System32\svch.exe
      C:\WINDOWS\System32\svcchosst.exe
      C:\WINDOWS\System32\NSecurity.exe

      W hjt usun:
      O4 - HKLM\..\Run: [msvccc66] svcchosst.exe
      O4 - HKLM\..\Run: [johnj3155] C:\Documents and Settings\ja\fdf.exe
      O4 - HKLM\..\Run: [Office Monitor Word Exel R] C:\WINDOWS\System32\svch.exe
      O4 - HKLM\..\Run: [Network Security] C:\WINDOWS\System32\NSecurity.exe
      O4 - HKLM\..\RunServices: [msvccc66] svcchosst.exe
      O4 - HKLM\..\RunServices: [Microsoft Directx clicks] directxclickers.exe
      O4 - HKLM\..\RunServices: [Windows Updates] msupident.exe
      O4 - HKLM\..\RunServices: [Microsoft Directx push] directxpushup.exe
      O4 - HKLM\..\RunServices: [Microsoft Directxspnew] directxnew.exe
      O4 - HKCU\..\Run: [johnj3155] C:\Documents and Settings\ja\fdf.exe
      O4 - HKCU\..\Run: [Office Monitor Word Exel R] C:\WINDOWS\System32\svch.exe
      O4 - HKCU\..\Run: [Network Security] C:\WINDOWS\System32\NSecurity.exe
      O4 - HKCU\..\RunServices: [Microsoft Directx clicks] directxclickers.exe
      O4 - HKCU\..\RunServices: [Microsoft Directxspnew] directxnew.exe
      O4 - HKCU\..\RunServices: [WMI Standard Event Consumer - Scripting] C:\WINDOWS\System32\wbem\scrcons32.exe
      O4 - HKUS\S-1-5-18\..\Run: [melg3445] C:\WINDOWS\system32\mdmdd.exe (User 'SYSTEM')
      O4 - HKUS\S-1-5-18\..\Run: [Microsoft Directx clicks] directxclickers.exe (User 'SYSTEM')
      O4 - HKUS\S-1-5-18\..\Run: [Windows Updates] msupident.exe (User 'SYSTEM')
      O4 - HKUS\S-1-5-18\..\Run: [Windows Service Update] C:\WINDOWS\System32\mswsgs.exe (User 'SYSTEM')
      O4 - HKUS\S-1-5-18\..\Run: [Microsoft Directx push] directxpushup.exe (User 'SYSTEM')
      O4 - HKUS\S-1-5-18\..\Run: [Microsoft Directxspnew] directxnew.exe (User 'SYSTEM')
      O4 - HKUS\S-1-5-18\..\Run: [Office Monitor Word Exel R] C:\WINDOWS\System32\svch.exe (User 'SYSTEM')
      O4 - HKUS\S-1-5-18\..\RunServices: [Microsoft Directx clicks] directxclickers.exe (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\RunServices: [Microsoft Directx clicks] directxclickers.exe (User 'Default user')
      O20 - Winlogon Notify: crypt - crypts.dll (file missing)

      Usluga do kasacji:
      O23 - Service: ms hexidecimal defx (mshexdefx) - Unknown owner - C:\WINDOWS\system32\dllcache\ivchost.exe

      Wpisz w: Start->Uruchom->sc stop mshexdefx
      oraz: sc delete mshexdefx

      Z dysku usun te pliki:
      C:\WINDOWS\system32\directxclickers.exe
      C:\WINDOWS\system32\NSecurity.exe
      C:\WINDOWS\system32\svch.exe
      C:\WINDOWS\system32\svcchosst.exe

      W razie problemow z usuwaniem uzyj killbox z zaznaczona opcja delete on reboot.

      Na koniec zrob skan przy pomocy SuperAntiSpyware oraz uzyj:
      download.bleepingcomputer.com/sUBs/SafeBootKeyRepair.exe
      Jak juz to zrobisz to daj linka do nowego log'a z hijackthis oraz combofix i moze jeszcze z gmera z zakladki rootkit (na wklej mozesz wkleic wszystkie trzy logi na jednej stronie).
    • Gość: piotr Re: sprawdzenie logów IP: *.uml.lodz.pl 17.07.07, 11:41
      Dzięki
      ale co oznacza
      usługa do kasacji?
    • Gość: piotr ponowne sprawdzenie logów IP: *.uml.lodz.pl 23.07.07, 08:30
      Witam poniżej link z logami Hijackthis, combofix, gmer i jeszcze to co zrobił
      safebootkeyrepair

      wklej.org/id/0512d8d4c2
      Wszystko co miało być zrobione zrobiłem. Nie wchodzę na razie do internetu.
      Po wyłączeniu komputera i ponownym włączeniu pojawia się na dysku c plik
      c:\a.bat
      Nod wykrywa go jako zainfekowanego trojana a.bat-Win32/Rbot-trojan.
      Usuwam go ale pojawia się znowu.
      Proszę o sprawdzennuie logów i dodatkowe wskazówki co dalej.

      • Gość: Kolobos Re: ponowne sprawdzenie logów IP: *.escom.net.pl 23.07.07, 13:31
        Sciagnij SDFix, uruchom komputer w trybie awaryjnym bez obslugi sieci.
        Uzyj SDFix, nastepnie:

        W menadzerze zadan zakoncz:
        C:\WINDOWS\System32\kgwivp.exe

        W hijackthis usun:
        O4 - HKLM\..\Run: [Windows Secure Update ] kgwivp.exe
        O4 - HKLM\..\RunServices: [Windows Secure Update ] kgwivp.exe
        O4 - HKCU\..\Run: [Windows Secure Update ] kgwivp.exe
        O4 - HKUS\S-1-5-18\..\Run: [Windows Secure Update ] kgwivp.exe (User 'SYSTEM')
        O4 - HKUS\S-1-5-18\..\RunServices: [Microsoft Directxspnew] directxnew.exe (User 'SYSTEM')
        O4 - HKUS\.DEFAULT\..\RunServices: [Microsoft Directxspnew] directxnew.exe (User 'Default user')

        Z dysku usun:
        C:\WINDOWS\system32\upgrad.exe
        C:\WINDOWS\system32\kgwivp.exe
        C:\WINDOWS\System32\wbem\scrcons32.exe

        Wklej do notatnika to:
        Windows Registry Editor Version 5.00

        [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
        "Windows Secure Update "=-

        [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
        "Windows Secure Update "=-

        [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices]
        "Windows Secure Update "=-

        [HKEY_USERS\.default\software\microsoft\windows\currentversion\runservices]
        "Microsoft Directxspnew"=-
        "WMI Standard Event Consumer - Scripting"=-

        [HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
        "Windows Security Center Notification Appls"=-
        "Network Security"=-
        "Windows Secure Update "=-

        [-HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa\WMI Standard Event Consumer - Scripting]

        Zapisz jako fix.reg i uruchom.
        Po wszystkim daj log z combofix, hijackthis oraz sdfix.
    • Gość: piotr do trzech razy sztuka IP: *.uml.lodz.pl 24.07.07, 08:47
      Witam
      w hijackthis nie znalazłem ostatnich dwóch plików: directxnew.exe (ostatnie
      dwa w Twojej odpowiedzi).
      Nie było też pliku do usunięcia: scrons323.exe (włączyłem ukryte i systemowe)
      W załączeniu link do logów
      wklej.org/id/7f183de75a

      Log z sdfixa jest dołączony dwa razy bo dwa razy go włączałem. Po pierwszym
      razie plik a.bat (ten zainfekowany) był sobie dalej. Ze drugim razem też, ale
      po usunięcieu ręcznym i dwukrotnym zrestartowaniu komputera nie pojawił się.
      pozdrawiam
      Piotr
      • Gość: Kolobos Re: do trzech razy sztuka IP: *.escom.net.pl 24.07.07, 08:58
        Uruchom regedit, przedz do:
        [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] i usun tam:
        WMI Standard Event Consumer - Scripting C:\WINDOWS\System32\wbem\scrcons32.exe

        Do tego do kasacji z dysku zostal:
        C:\WINDOWS\system32\kgwivp.exe
        • Gość: Piotr może teraz? IP: *.uml.lodz.pl 25.07.07, 08:26
          Witam
          Znalazłem kgwivp.exe ale pod adresem C/Windows/Prefetch/kgwivp.exe utworzony 18
          lipca - wykasowałem go.
          Czy teraz mogę wchodzić do internetu bez zagrożenia, że mi się coś od razu wgra?
          Poniżej ostanie logi z programów, które mi poleciłes.
          wklej.org/id/991e4a77cb
          Jeszcze jedno pytanie Czy porty powinny być zawsze zamknięte? Czy sprawdzać je
          często i zamykac?
          pozdrawiam

          • Gość: Kolobos Re: może teraz? IP: *.escom.net.pl 25.07.07, 11:51
            > Czy teraz mogę wchodzić do internetu bez zagrożenia, że mi się coś od razu
            > wgra?

            Tak, samo sie nic nie wgrywa. Zawsze winny jest uzytkownik, ktory sam sciagnal i zainstalowal, nie zadbal o aktualizacje, uzywa IE/OE itd.
            Dlatego najlepiej zmien przegladarke na Opere lub Firefox, Outlooka na Thunderbird'a, nie sciagaj smieci i bedzie ok.

            > Poniżej ostanie logi z programów, które mi poleciłes.
            > wklej.org/id/991e4a77cb

            Wszystko juz wyglada ok.

            > Jeszcze jedno pytanie Czy porty powinny być zawsze zamknięte? Czy sprawdzać
            > je często i zamykac?

            Chodzi Ci o wwdc? Jezeli tak to tego programu wystarczy uzyc raz, zamknac i tak juz zostanie.
            • Gość: Piotr Re: może teraz? IP: *.uml.lodz.pl 25.07.07, 12:24
              DZIĘKUJĘ

              Trochę się podszkoliłem
    • Gość: piotr jeszcze raz IP: *.uml.lodz.pl 27.07.07, 08:18
      Witam ponwonie
      Po połaczeniu z internetem i zaktualizowaniu baz wirusów Nod, Kasperski i Ad-
      aware wykryły trojana Win32/Rbot. Nie wiem czy jest to pozostałość po starych
      rzeczach czy też coś nowego. Dletego załączam logi i proszę o ich sprawdzenie
      jeszcze raz
      pozdrawiam
      Piotr

      wklej.org/id/a4aaf05692
      • Gość: Kolobos Re: jeszcze raz IP: *.escom.net.pl 27.07.07, 12:25
        W jakim pliku?
        • Gość: piotr Re: jeszcze raz IP: *.uml.lodz.pl 27.07.07, 12:59
          Nod zlokalizował trojana w katalogu System Volume Informations - było to
          kilkanaście plików z częścią jakiegoś adresu

          Kasperski w katalogu Sdfixa (Sdfix tworzy jakieś swoje kopie po każdym swoim
          uruchomieniu i tam się ten trojan zanlazł)

          • Gość: Kolobos Re: jeszcze raz IP: *.escom.net.pl 27.07.07, 13:31
            > Nod zlokalizował trojana w katalogu System Volume Informations - było to
            > kilkanaście plików z częścią jakiegoś adresu

            Wylacz przywracanie systemu na chwile, nastepnie wlacz i utworz nowy punkt przywracania. To co znalazl to stare pliki.

            > Kasperski w katalogu Sdfixa (Sdfix tworzy jakieś swoje kopie po każdym swoim
            > uruchomieniu i tam się ten trojan zanlazł)

            Usun ten katalog.
            • Gość: piotr Re: jeszcze raz IP: *.uml.lodz.pl 27.07.07, 13:38
              Dobrzez czyli:
              - włączam komuter
              - wyłaczam przywracanie
              - ponownie uruchamiam komputer i ....
              Jak utworzyć nowy punkt przywracania?


              Katalog z sdfixa od razu skasowałem i dodatkowo zmieniłem IE na firefoxa
              • Gość: Kolobos Re: jeszcze raz IP: *.escom.net.pl 27.07.07, 13:49
                Eh, zagladales kiedys do menu Start -> Akcesoria? Chyba nie wiec moze zrob to teraz.
                • Gość: piotr ostatni post IP: *.uml.lodz.pl 30.07.07, 09:26
                  :-)
                  Działa
                  Nod i Ad-aware nic nie wykryły, Kasperski znalazł tylko jednego trojanka (
                  jakieś resztki).
                  Porty zamknięte, internet chodzi sprawnie.
                  Dzięki
Pełna wersja