proszę o sprawdzenie loga

[Haczyk]

witam,
mam drobny problem, bo od kilku dni Kerio wyrzuca co chwila komunikat, że zablokował infekcję kodu przez aplikację Winlogo.exe......

Kod: Zaznacz wszystko

Logfile of HijackThis v1.99.1
Scan saved at 13:22:31, on 2007-05-19
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
F:\Avast\aswUpdSv.exe
F:\Avast\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
F:\ACCESS\ACCESS ADMINISTRATOR\acadma.exe
C:\WINDOWS\system32\cisvc.exe
F:\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\system32\oodag.exe
F:\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\system32\svchost.exe
F:\Vmware\vmware-authd.exe
C:\Program Files\Common Files\VMware\VMware Virtual Image Editing\vmount2.exe
C:\WINDOWS\system32\vmnat.exe
C:\WINDOWS\system32\vmnetdhcp.exe
F:\Avast\ashMaiSv.exe
F:\Avast\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
F:\Avast\ashDisp.exe
F:\Kerio\Personal Firewall 4\kpf4gui.exe
F:\Computer locker\Computer Locker\locker.exe
C:\Program Files\TC UP\TOTALCMD.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
F:\Winamp\winamp.exe
K:\Programy\Setupy\Programiki\hijackthis.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - F:\BitComet 0.86\BitComet\tools\BitCometBHO_1.1.3.28.dll
O2 - BHO: (no name) - {55DB983C-BDBF-426f-86F0-187B02DDA39B} - C:\WINDOWS\system32\juloivbv.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {BEAEE93D-7377-474E-A2FB-2913D08E5328} - C:\WINDOWS\system32\urqom.dll
O2 - BHO: (no name) - {C004A8DA-623A-4409-B6ED-F3E3DA367792} - C:\WINDOWS\system32\byxyaxx.dll
O4 - HKLM\..\Run: [LogonStudio] "F:\Logo\LogonStudio\logonstudio.exe" /RANDOM
O4 - HKLM\..\Run: [avast!] F:\Avast\ashDisp.exe
O4 - HKLM\..\Run: [setup] rundll32.exe "C:\WINDOWS\system32\xdvlnyso.dll",realset
O4 - HKLM\..\Run: [locker.exe] F:\Computer locker\Computer Locker\locker.exe
O4 - Startup: TC_UP.lnk = C:\Program Files\TC UP\TC_UP.exe
O8 - Extra context menu item: Download all links using BitComet - res://F:\BitComet 0.86\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Download all videos using BitComet - res://F:\BitComet 0.86\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: Download link using &BitComet - res://F:\BitComet 0.86\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O20 - Winlogon Notify: byxyaxx - C:\WINDOWS\SYSTEM32\byxyaxx.dll
O20 - Winlogon Notify: urqom - C:\WINDOWS\system32\urqom.dll
O20 - Winlogon Notify: winkkh32 - C:\WINDOWS\SYSTEM32\winkkh32.dll
O23 - Service: Access Administrator (ACDService) - Unknown owner - F:\ACCESS\ACCESS ADMINISTRATOR\acadma.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - F:\Avast\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - F:\Avast\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - F:\Avast\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - F:\Avast\ashWebSv.exe" /service (file missing)
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - F:\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: USBest Service Zero (UTSCSI) - Unknown owner - C:\WINDOWS\system32\UTSCSI.EXE
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - F:\Vmware\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Program Files\Common Files\VMware\VMware Virtual Image Editing\vmount2.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe



[wojtas]

zastosuj:

smitfraudfix z opcji 2:

http://siri.urz.free.fr/Fix/SmitfraudFix_En.php

oraz te skanery po kilka razy w awaryjnym

VundoFix
http://www.atribune.org/ccount/click.php?id=4

VirtumundoBeGone
http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe

FixVundo
http://securityresponse.symantec.com/avcenter/FixVundo.exe

[Haczyk]

bez zmian: komunikat wciąż się pojawia
co robić ??

[jeff]

co robić ??

nowy log

[Haczyk]

Kod: Zaznacz wszystko

Logfile of HijackThis v1.99.1
Scan saved at 12:53:17, on 2007-05-20
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
F:\Avast\aswUpdSv.exe
F:\Avast\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
F:\Avast\ashDisp.exe
F:\Computer locker\Computer Locker\locker.exe
C:\Program Files\TC UP\TOTALCMD.EXE
F:\ACCESS\ACCESS ADMINISTRATOR\acadma.exe
C:\WINDOWS\system32\cisvc.exe
F:\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\system32\oodag.exe
F:\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\system32\svchost.exe
F:\Vmware\vmware-authd.exe
C:\Program Files\Common Files\VMware\VMware Virtual Image Editing\vmount2.exe
C:\WINDOWS\system32\vmnat.exe
C:\WINDOWS\system32\vmnetdhcp.exe
F:\Avast\ashMaiSv.exe
F:\Avast\ashWebSv.exe
F:\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Mozilla Firefox\firefox.exe
K:\Programy\Setupy\Programiki\hijackthis.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - F:\BitComet 0.86\BitComet\tools\BitCometBHO_1.1.3.28.dll
O2 - BHO: (no name) - {55DB983C-BDBF-426f-86F0-187B02DDA39B} - C:\WINDOWS\system32\juloivbv.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [LogonStudio] "F:\Logo\LogonStudio\logonstudio.exe" /RANDOM
O4 - HKLM\..\Run: [avast!] F:\Avast\ashDisp.exe
O4 - HKLM\..\Run: [locker.exe] F:\Computer locker\Computer Locker\locker.exe
O4 - Startup: TC_UP.lnk = C:\Program Files\TC UP\TC_UP.exe
O8 - Extra context menu item: Download all links using BitComet - res://F:\BitComet 0.86\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Download all videos using BitComet - res://F:\BitComet 0.86\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: Download link using &BitComet - res://F:\BitComet 0.86\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O20 - Winlogon Notify: winkkh32 - C:\WINDOWS\SYSTEM32\winkkh32.dll
O23 - Service: Access Administrator (ACDService) - Unknown owner - F:\ACCESS\ACCESS ADMINISTRATOR\acadma.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - F:\Avast\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - F:\Avast\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - F:\Avast\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - F:\Avast\ashWebSv.exe" /service (file missing)
O23 - Service: IA Analysing v2.0 (IACtrl) - Unknown owner - C:\Program Files\Pointdev\IDEAL Administration\IACtrl.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - F:\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: USBest Service Zero (UTSCSI) - Unknown owner - C:\WINDOWS\system32\UTSCSI.EXE
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - F:\Vmware\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Program Files\Common Files\VMware\VMware Virtual Image Editing\vmount2.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe



znawcą nie jestem, ale co to jest za wpis:

Kod: Zaznacz wszystko

O20 - Winlogon Notify: winkkh32 - C:\WINDOWS\SYSTEM32\winkkh32.dll

??

[wojtas]

Użyj WWDC :
http://www.firewallleaktester.com/wwdc.htm
Zmień opcje z disable na enable. Uruchom ponownie komputer.
Tak powinny wyglądać porty (NetBIOS może być żółty) :
http://www.firewallleaktester.com/images_site/wwdc.jpg

Wyłącz przywracanie systemu ( właściwości mój komputer-zakładka przywracanie - wyłącz przywracanie na wszystkich dyskach)
Start do awaryjnego ( F8 ) przy starcie komputera

O2 - BHO: (no name) - {55DB983C-BDBF-426f-86F0-187B02DDA39B} - C:\WINDOWS\system32\juloivbv.dll
O20 - Winlogon Notify: winkkh32 - C:\WINDOWS\SYSTEM32\winkkh32.dll

Odpalasz hijackthis i zaznaczasz ptaszkami powyższe wpisy i dajesz Fix checked.
Pogrubione pliki usuwasz ręcznie z dysku
potem nowe logi z Hijack This oraz Silent runners oraz z combofixa:

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

logi wrzuc na rapida bo nie wejda na forum

[Haczyk]

a więc po kolei:
WWDC: jak wyłączyłem usługę NETBIOS - nie miałem netu ;/. Oprócz tego wszystkie pozostałem porty są zamknięte ;]

z hijacka usunąłem ta dwa pliczki, ale FIZYCZNIE żadnego z nich nie ma ich na dysku

logi z tych trzech programów:

Kod: Zaznacz wszystko

http://rapidshare.com/files/32349196/logi.zip.html

[marcin19]

nie ma ich na dysku

pewnie sa ukryte
narzedzia->opcje->widok->odznacz ukryj chronione pliki systemu operacyjnego i zaznacz pokaz ukryte pliki i foldery

[Haczyk]

pewnie sa ukryte

szukałem przez Total Commander (opcja Konfiguracja -> Wyświetlanie -> Pokaż pliki ukryte/ systemowe jest włączona ;] )

więc chyba raczej ich nie przeoczyłem ;/
edit -> zrestartowały się ustawienia Windowsa ;/............chyba nie ma czego ratować ;(

[wojtas]

Pobierz i uruchom narzędzie : The Avenger
http://swandog46.geekstogo.com/avenger.zip
Zaznacz opcję Input script manually i kliknij na Lupkę z prawej strony. W okienku, które się otworzy wklejasz:

Files to delete:

C:\WINDOWS\system32\tmp.reg
C:\WINDOWS\system32\urqom.dll.vir
C:\WINDOWS\system32\pee.exe.exe
C:\WINDOWS\system32\alt.exe.exe
C:\WINDOWS\system32\byxyaxx.dll.vir

Folders to delete:

C:\VundoFix Backups

Klikasz Done, a następnie zielone światełko i zgadzasz się na restart klikając OK.


Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt + log z combo i 2 z gmera

sciagnij gmera:

http://gmer.net/gmer.zip

1. Zakładka Rootkit >>> zaznaczone wszystko oprócz Pokazuj wszystko >>> kliknij Szukaj >>> czekaj cierpliwie aż skończy >>> Kopiuj >>> wklej do posta
2. Zakładka Rootkit >>> zaznaczone tylko Usługi i Pokazuj wszystko >>> kliknij Szukaj >>> czekaj cierpliwie aż skończy >>> Kopiuj >>> wklej do posta


oczywiscie na rapida

Autor postu otrzymał pochwałę