prosze o sprawdzenie loga

**Posty:** 11 · przez **armasis** 02 Lis 2007, 15:29

antivir wykrywa robala TR/Spy.Banker.alr.84 oraz w pliku C:\Windows\VTTray.exe Worm/SdBot.577024

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:19:14, on 2007-11-02
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\JETICO\fwsrv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\spoolsv.exe
E:\download\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://onet.pl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [JeticoPFStartup] "D:\JETICO\fwsrv.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: s3contrl (32-bit) - Unknown owner - C:\WINDOWS\VTTray.exe

**Posty:** 1340 · przez **eSpEY** 02 Lis 2007, 15:38

armasis napisał(a):antivir wykrywa robala TR/Spy.Banker.alr.84 oraz w pliku C:\Windows\VTTray.exe Worm/SdBot.577024

Usunięty?!

Znasz to?:

D:\JETICO\fwsrv.exe

przez **jeff** 02 Lis 2007, 15:43

dj_disc

rozbrajasz mnie , nie sprawdzaj logów wiecej

**Posty:** 237 · przez **Kuba1** 02 Lis 2007, 15:50

dj_disc jak jestes takim specjalista, to czemu swojego nie sprawdziłeś?

**Posty:** 11 · przez **armasis** 02 Lis 2007, 15:58

a może by sie tak skupić na moim logu...??

**Posty:** 237 · przez **Kuba1** 02 Lis 2007, 16:06

armasis napisał(a):a może by sie tak skupić na moim logu...??

No tak zapomniałem, przecież ja mam obowiązek sprawdzić Twój log jak tylko go wkleisz.Chyba czegoś nie rozumiesz kolego, my nie mamy obowiązku sprawdzenia Twojego loga, robimy to z własnej woli

Na mnie nie licz

**Posty:** 18165 · przez **wojtas** 02 Lis 2007, 18:03

Wykonaj to co jest podane w tym temacie

Start => Uruchom => cmd =>kazda komende zatwiedz ENTEREM

sc stop 32-bit
sc delete 32-bit

sciagnij killbox’a

Odpalasz Killboxa zaznacz opcję Delete on Reboot następnie w polu Full Path of File to Delete wklej ścieżkę

C:\WINDOWS\VTTray.exe

i nacisnij x
Program będzie pytał o restart (oczywiście zgadzasz się)

Zastosuj SDFix . Po pobraniu uruchom go a rozpakuje się do C:\SDFix. Uruchom komputer w trybie awaryjnym (F8 przy stracie systemu). Będąc w awaryjnym uruchom plik RunThis.bat z folderu SDFixa. Zatwierdź czyszczenie przez Y. Poczekaj aż ukończy i komputer zresetuje

Potem wejdz do folderu SDFix wrzuc zawartość pliku Report.txt + log z combofixa oraz z hijacka

**Posty:** 11 · przez **armasis** 02 Lis 2007, 20:45

SDFIX ::

SDFix: Version 1.113

Run by JO on 2007-11-02 at 19:34

Microsoft Windows XP [Wersja 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services:

Name:
s3contrl (32-bit)

ImagePath:
"C:\WINDOWS\VTTray.exe"

s3contrl (32-bit) - Deleted

Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...

Normal Mode:
Checking Files:

Trojan Files Found:

C:\Program Files\Common Files\Carlson\carlton - Deleted

Folder C:\Program Files\Common Files\Carlson - Removed

Removing Temp Files...

ADS Check:

C:\WINDOWS
No streams found.

C:\WINDOWS\system32
No streams found.

C:\WINDOWS\system32\svchost.exe
No streams found.

C:\WINDOWS\system32\ntoskrnl.exe
No streams found.

Final Check:

catchme 0.3.1253 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-02 19:37:44
Windows 5.1.2600 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Favorites\A\1\5\1c]
"Order"=hex:08,00,00,00,02,00,00,00,b8,01,00,00,01,00,00,00,04,00,00,00,8c,..

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

Remaining Services:
------------------

Authorized Application Key Export:

Remaining Files:
---------------

File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes:

Finished!

HIJACK:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:41:03, on 2007-11-02
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\spoolsv.exe
D:\JETICO\fwsrv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
E:\download\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://onet.pl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [JeticoPFStartup] "D:\JETICO\fwsrv.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

COMBOFIX

ComboFix 07-11-01.1 - JO 2007-11-02 19:43:04.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.0.1250.1.1045.18.757 [GMT 1:00]
Running from: E:\download\ComboFix.exe
* Created a new restore point
.

((((((((((((((((((((((((( Files Created from 2007-10-02 to 2007-11-02 )))))))))))))))))))))))))))))))
.

2007-11-02 19:42 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-11-02 19:34 <DIR> d-------- C:\WINDOWS\ERUNT
2007-11-02 15:20 86,016 -ra------ C:\WINDOWS\system32\CNMCP5y.exe
2007-11-02 14:09 24,832 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
2007-11-02 11:46 <DIR> d-------- C:\Documents and Settings\JO\Dane aplikacji\Talkback
2007-11-02 11:45 <DIR> d-------- C:\Documents and Settings\JO\Dane aplikacji\Thunderbird
2007-11-02 11:44 <DIR> d-------- C:\Program Files\Nowy folder
2007-11-02 11:09 <DIR> d-------- C:\Program Files\DFX
2007-11-02 11:03 <DIR> d-------- C:\Program Files\Winamp
2007-11-02 10:06 <DIR> d-------- C:\Program Files\Avira
2007-11-02 10:06 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\Avira
2007-11-02 09:40 159,744 --a--c--- C:\WINDOWS\system32\dllcache\icwhelp.dll
2007-11-02 09:40 73,728 --a--c--- C:\WINDOWS\system32\dllcache\icwtutor.exe
2007-11-02 09:40 65,536 --a--c--- C:\WINDOWS\system32\dllcache\icwres.dll
2007-11-02 09:40 57,344 --a--c--- C:\WINDOWS\system32\dllcache\icwconn.dll
2007-11-02 09:40 45,056 --a--c--- C:\WINDOWS\system32\dllcache\icwutil.dll
2007-11-02 09:40 40,960 --a--c--- C:\WINDOWS\system32\dllcache\trialoc.dll
2007-11-02 09:40 24,576 --a--c--- C:\WINDOWS\system32\dllcache\icwrmind.exe
2007-11-02 09:37 23,070 --a------ C:\WINDOWS\system32\drivers\RTL8139.sys
2007-11-02 09:34 24,661 --a------ C:\WINDOWS\system32\spxcoins.dll
2007-11-02 09:34 24,661 --a--c--- C:\WINDOWS\system32\dllcache\spxcoins.dll
2007-11-02 09:34 13,312 --a------ C:\WINDOWS\system32\irclass.dll
2007-11-02 09:34 13,312 --a--c--- C:\WINDOWS\system32\dllcache\irclass.dll
2007-11-01 22:03 3,827 --a------ C:\WINDOWS\mozver.dat
2007-11-01 22:01 0 --a------ C:\WINDOWS\nsreg.dat
2007-11-01 21:59 <DIR> d-------- C:\Documents and Settings\JO\Dane aplikacji\Jetico Personal Firewall
2007-11-01 21:52 <DIR> d-------- C:\Program Files\Common Files\Wise Installation Wizard
2007-11-01 21:49 <DIR> d-------- C:\Documents and Settings\JO\Dane aplikacji\Skype
2007-11-01 21:49 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\Skype
2007-11-01 21:43 <DIR> d-------- C:\Program Files\Common Files\Adobe
2007-11-01 21:39 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\nView_Profiles
2007-11-01 21:38 98,304 --a------ C:\WINDOWS\system32\nvudisp.exe
2007-11-01 21:37 <DIR> d-------- C:\WINDOWS\nview
2007-11-01 21:37 <DIR> d-------- C:\Program Files\Common Files\InstallShield
2007-11-01 21:37 <DIR> d-------- C:\NVIDIA

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-11-02 09:08 42,496 ----a-w C:\WINDOWS\system32\ftp.exe
2007-11-02 09:08 16,896 ----a-w C:\WINDOWS\system32\tftp.exe
2007-11-02 08:47 133,120 ------w C:\WINDOWS\system32\sfc_os.dll
2007-11-01 18:34 --------- d-----w C:\Documents and Settings\JO\Dane aplikacji\Lavasoft
2007-11-01 18:27 --------- d-----w C:\Program Files\Usługi online
2007-11-01 18:01 --------- d-----w C:\Program Files\microsoft frontpage
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2003-10-06 14:16]
"nwiz"="nwiz.exe" [2003-10-06 14:16 C:\WINDOWS\system32\nwiz.exe]
"JeticoPFStartup"="D:\JETICO\fwsrv.exe" [2005-07-19 07:22]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-11-02 10:10]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"NvMediaCenter"=RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit

[HKEY_CURRENT_USER\software\microsoft\windows nt\currentversion\winlogon]
"Shell"="Explorer.exe %WINDIR%\\VTTray.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ComPlusSetup]
C:\WINDOWS\System32\catsrvut.dll 2001-10-26 18:29 583168 C:\WINDOWS\system32\catsrvut.dll

R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys

*Newly Created Service* - CATCHME
.
**************************************************************************

catchme 0.3.1250 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-02 19:44:10
Windows 5.1.2600 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

C:\WINDOWS\erdnt

scan completed successfully
hidden files: 1

**Posty:** 18165 · przez **wojtas** 02 Lis 2007, 21:49

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

skasuj te wpisy ^^

ten plik przeskanuj:

C:\WINDOWS\system32\CNMCP5y.exe

tu:
http://virusscan.jotti.org/
http://www.virustotal.com/
daj raporty:

wklej do notatnika

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\software\microsoft\windowsnt\currentversion\winlogon]
"Shell"=-

[-HKEY_LOCAL_MACHINE\software\microsoft\windowsnt\currentversion\winlogon\notify\ComPlusSetup]

w notatniku u góry>>>plik zapisz jako>>>Zmien rozszerzenie z TXT na Wszystkie pliki *.* >>> Zapisz pod nazwą FIX.REG

Klikasz dwa razy na powstały plik fix i dodajesz go do rejestru....

**Posty:** 11 · przez **armasis** 03 Lis 2007, 10:07

dodaje tylko raport z virustotal bo na 2 jest serw zapchany

Plik CNMCP5y.exe otrzymany 2007.11.03 09:02:57 (CET)
Antywirus Wersja Ostatnia aktualizacja Wynik
AhnLab-V3 2007.11.3.0 2007.11.02 -
AntiVir 7.6.0.30 2007.11.02 -
Authentium 4.93.8 2007.11.02 -
Avast 4.7.1074.0 2007.11.03 -
AVG 7.5.0.503 2007.11.02 -
BitDefender 7.2 2007.11.03 -
CAT-QuickHeal 9.00 2007.11.02 -
ClamAV 0.91.2 2007.11.03 -
DrWeb 4.44.0.09170 2007.11.02 -
eSafe 7.0.15.0 2007.10.28 -
eTrust-Vet 31.2.5264 2007.11.02 -
Ewido 4.0 2007.11.02 -
FileAdvisor 1 2007.11.03 -
Fortinet 3.11.0.0 2007.10.19 -
F-Prot 4.4.2.54 2007.11.02 -
F-Secure 6.70.13030.0 2007.11.02 -
Ikarus T3.1.1.12 2007.11.03 -
Kaspersky 7.0.0.125 2007.11.03 -
McAfee 5155 2007.11.02 -
Microsoft 1.2908 2007.11.03 -
NOD32v2 2635 2007.11.02 -
Norman 5.80.02 2007.11.02 -
Panda 9.0.0.4 2007.11.03 -
Prevx1 V2 2007.11.03 -
Rising 20.16.50.00 2007.11.03 -
Sophos 4.23.0 2007.11.03 -
Sunbelt 2.2.907.0 2007.11.02 -
Symantec 10 2007.11.03 -
TheHacker 6.2.9.110 2007.10.27 -
VBA32 3.12.2.4 2007.11.02 -
VirusBuster 4.3.26:9 2007.11.02 -
Webwasher-Gateway 6.6.1 2007.11.02 -
Dodatkowe informacje
File size: 86016 bytes
MD5: 86615b0061046dc9ae2bb01096d8f8ca
SHA1: 3317f4e9bc982ddcc3218be5c0a680e818040c8a

**Posty:** 18165 · przez **wojtas** 03 Lis 2007, 10:19

wiec juz jest ok

prosze o sprawdzenie loga

prosze o sprawdzenie loga

Kto jest na forum