proszę o sprawdzenie loga

[maciek_s]

Witam, nowy komp, i musiałem się do netu podłączyć żeby ściągnąć avg-as no i już cały zestaw trojanów i innego gówna, kolejne skany nie przynoszą rezultaty, wywaliłem już większość rzeczy hijackiem' ale mimo to cały czas coś włazi.

Oto logi z hijackthis i avg-as:

Logfile of HijackThis v1.99.1
Scan saved at 21:15:15, on 2006-10-24
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\TC UP\TOTALCMD.EXE
D:\SygateFirewall.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\System32\svcchost.exe
C:\Documents and Settings\Maciek\Ustawienia lokalne\Temp\Katalog tymczasowy 3 dla hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [OrderReminder] C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [oaf4d6d4] RUNDLL32.EXE w010637e.dll,n 0064d6ce0000000a010637e
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{EBE2BA10-F5B5-4B04-885E-B0D7B70438FA}: NameServer = 194.204.152.34 217.98.63.164
O20 - Winlogon Notify: App Management - C:\WINDOWS\system32\fn2021fmg.dll
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\U2+zdHlraWV3aWN6\command.exe (file missing)

i avg-as

---------------------------------------------------------
AVG Anti-Spyware - Scan Report
---------------------------------------------------------

+ Created at: 21:18:55 2006-10-24

+ Scan result:



C:\WINDOWS\system32\guard.tmp -> Adware.Look2Me : Ignored.
C:\WINDOWS\system32\iipeers.dll -> Adware.Look2Me : Ignored.
[1304] C:\WINDOWS\system32\iipeers.dll -> Adware.Look2Me : Ignored.
C:\WINDOWS\system32\__delete_on_reboot__s_v_c_c_h_o_s_t_._e_x_e_ -> Backdoor.SdBot.awk : Ignored.


::Report end

z góry dzięki

maciek_s

[Red]

O20 - Winlogon Notify: App Management - C:\WINDOWS\system32\fn2021fmg.dll >>>smieć

C:\WINDOWS\System32\svcchost.exe

>>nie pomyl nazwy i usun recznie

W hijacku zaznacz i usun:

O4 - HKLM\..\Run: [oaf4d6d4] RUNDLL32.EXE w010637e.dll,n 0064d6ce0000000a010637e
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\U2+zdHlraWV3aWN6\command.exe (file missing)

Zastosuj obowiazkowo:

http://www.atribune.org/content/view/28/

Po wszystkim log do kontroli.

[maciek_s]

log z hijack'a po wyrzuceniu tych dwóch i scan'ie look2me (svcchost.exe nie figuruje w system 32)

Logfile of HijackThis v1.99.1
Scan saved at 21:32:55, on 2006-10-24
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Documents and Settings\Maciek\Ustawienia lokalne\Temp\Katalog tymczasowy 5 dla hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [OrderReminder] C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{EBE2BA10-F5B5-4B04-885E-B0D7B70438FA}: NameServer = 194.204.152.34 217.98.63.164
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\U2+zdHlraWV3aWN6\command.exe (file missing)
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe

[ Dodano: Dzisiaj o 21:57 ]
Czy poblokować jakieś połączenia poprzez shield'a w avg-as?

[Red]

Juz ładnie jest...wykonaj tylko:

Start >>> Uruchom >>> cmd i wklep zestaw komend:

sc stop cmdService
sc delete cmdService



I to bedzie wszystko z tego co widzę.

[maciek_s]

pierwsza komenda failed, druga success

[Red]

i prawidłowo ,bo sie zagapiłem ,w logu było:

O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\U2+zdHlraWV3aWN6\command.exe (file missing)

,wiec wystarczyła tylko druga komenda...

Autor postu otrzymał pochwałę

[maciek_s]

ok wielkie dzięki!

Do następnego razu (oby niezbyt szybko)

maciek_s