log do sprawdzenia

[Sylwek 17]

Witam
Jestem świeżo po instalacji windowsa 2000.
Niewiem jakim cudem ale nałapałem mnóstwo wirusów,Nod co chwile wykrywa jakiegoś trojana,ad-awere równiez usuneło troche śmieci.Nie mniej jednak system nadal jest"zamulony"uruchomienie/zamknięcie progarmu trwa"wieki",ogólnie prawidłowo dział tylko reset.
Prosze o sprawdzenie loga:

Kod: Zaznacz wszystko

"Silent Runners.vbs", revision R50, http://www.silentrunners.org/
Operating System: Windows 2000
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"internat.exe" = "internat.exe" [file not found]
"WMI Standard Event Consumer - Scripting" = "C:\WINNT\system32\scrcons32.exe" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"Synchronization Manager" = "mobsync.exe /logon" [MS]
"Windows Logon Application" = "C:\WINNT\system32\winIogon.exe" [file not found]
"Advanced DHTML Enable" = "C:\WINNT\system32\sfil.exe" [file not found]
"Spooler SubSystem App" = "C:\WINNT\system32\spoolsvc.exe" [file not found]
"Local Security Authority Service" = "C:\WINNT\system32\Isass.exe" [file not found]
"WMI Standard Event Consumer - Scripting" = "C:\WINNT\system32\scrcons32.exe" [null data]
"Client Server Runtime Process" = "C:\WINNT\system32\csrs.exe" [file not found]
"nod32kui" = ""D:\programy zainstalowane\Nod32\nod32kui.exe" /WAITSERVICE" ["Eset "]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Rozszerzenie CPL kadrowania wyświetlania"
  -> {HKLM...CLSID} = "Rozszerzenie CPL kadrowania wyświetlania"
                   \InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Rozszerzenie ikony HyperTerminalu"
  -> {HKLM...CLSID} = "HyperTerminal Icon Ext"
                   \InProcServer32\(Default) = "C:\WINNT\System32\hticons.dll" ["Hilgraeve, Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
  -> {HKLM...CLSID} = "WinRAR"
                   \InProcServer32\(Default) = "D:\programy zainstalowane\winrar\rarext.dll" [null data]
"{B089FE88-FB52-11D3-BDF1-0050DA34150D}" = "NOD32 Context Menu Shell Extension"
  -> {HKLM...CLSID} = "NOD32 Context Menu Shell Extension"
                   \InProcServer32\(Default) = "D:\programy zainstalowane\Nod32\nodshex.dll" [null data]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
NOD32 Context Menu Shell Extension\(Default) = "{B089FE88-FB52-11D3-BDF1-0050DA34150D}"
  -> {HKLM...CLSID} = "NOD32 Context Menu Shell Extension"
                   \InProcServer32\(Default) = "D:\programy zainstalowane\Nod32\nodshex.dll" [null data]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
  -> {HKLM...CLSID} = "WinRAR"
                   \InProcServer32\(Default) = "D:\programy zainstalowane\winrar\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
  -> {HKLM...CLSID} = "WinRAR"
                   \InProcServer32\(Default) = "D:\programy zainstalowane\winrar\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
NOD32 Context Menu Shell Extension\(Default) = "{B089FE88-FB52-11D3-BDF1-0050DA34150D}"
  -> {HKLM...CLSID} = "NOD32 Context Menu Shell Extension"
                   \InProcServer32\(Default) = "D:\programy zainstalowane\Nod32\nodshex.dll" [null data]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
  -> {HKLM...CLSID} = "WinRAR"
                   \InProcServer32\(Default) = "D:\programy zainstalowane\winrar\rarext.dll" [null data]


Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Active Desktop web content (hidden if disabled):

HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0\
"FriendlyName" = "Moja bieżąca strona główna"
"Source" = "About:Home"
"SubscribedURL" = "About:Home"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "(BRAK)" [file not found]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\rnr20.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
C:\WINNT\system32\imon.dll ["Eset "], 01 - 05, 17
%SystemRoot%\system32\msafd.dll [MS], 06 - 08, 11 - 16
%SystemRoot%\system32\rsvpsp.dll [MS], 09 - 10


Miscellaneous IE Hijack Points
------------------------------

C:\WINNT\INF\IERESET.INF (used to "Reset Web Settings")

Missing lines (compared with English-language version):
[DeleteAutosearch.reg]: 1 line


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Ati HotKey Poller, Ati HotKey Poller, "C:\WINNT\system32\Ati2evxx.exe" ["ATI Technologies Inc."]
NOD32 Kernel Service, NOD32krn, ""D:\programy zainstalowane\Nod32\nod32krn.exe"" ["Eset "]
Sunbelt Kerio Personal Firewall 4, KPF4, "D:\programy zainstalowane\kerio\Personal Firewall 4\kpf4ss.exe" ["Sunbelt Software"]
System zdarzeń COM+, EventSystem, "C:\WINNT\System32\svchost.exe -k netsvcs" {"C:\WINNT\System32\es.dll" [null data]}


----------
<<!>>: Suspicious data at a malware launch point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
  launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
  took 3 seconds.
---------- (total run time: 35 seconds)

Po kliknięciu na ikone HJ nic się niedzieje.

Z góry dzięki za pomoc.

[j23]

nie jestem specem od logow, ale jedno co ci moge zaproponowac to instalacja service packa 4 pod ta winde to moze hijackthis wtedy odpali. win2k bez serwice packow jest obecnie troche bezuzyteczny

[Sylwek 17]

nie jestem specem od logow, ale jedno co ci moge zaproponowac to instalacja service packa 4

Wpadłem na to i zainstalowałem SP4.

[wojtas]

Pobierz i uruchom narzędzie : The Avenger
http://swandog46.geekstogo.com/avenger.zip
Zaznacz opcję Input script manually i kliknij na Lupkę z prawej strony. W okienku, które się otworzy wklejasz:

Files to delete:

C:\WINNT\system32\csrs.exe
C:\WINNT\system32\winIogon.exe
C:\WINNT\system32\sfil.exe
C:\WINNT\system32\spoolsvc.exe
C:\WINNT\system32\Isass.exe
C:\WINNT\system32\scrcons32.exe

Klikasz Done, a następnie zielone światełko i zgadzasz się na restart klikając OK.

wklejasz do notatnika:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"WMI Standard Event Consumer - Scripting"=-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Client Server Runtime Process"=-
"Windows Logon Application"=-
"Advanced DHTML Enable"=-
"Spooler SubSystem App"=-
"Local Security Authority Service"=-
"WMI Standard Event Consumer - Scripting"=-

w notatniku u góry>>>plik zapisz jako>>>Zmien rozszerzenie z TXT na Wszystkie pliki *.* >>> Zapisz pod nazwą FIX.REG

Klikasz dwa razy na powstały plik fix i dodajesz go do rejestru....


Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt + log z combofixa + silenta

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Autor postu otrzymał pochwałę

[Sylwek 17]

Klikasz Done, a następnie zielone światełko

I jak tak robie to wykakuje błąd

Kod: Zaznacz wszystko

Error: selected files does not appear to be valid script

Po kliku na "ok" wyskakuje

Kod: Zaznacz wszystko

error code:1813

================

wklejasz do notatnika

To "wklejać" do rejestru mimo iż pierwsza"operacja" się nieudała?

[wojtas]

sciagnij gmera:

http://gmer.net/gmer.zip

W Gmerze w zakładce CMD z zaznaczoną opcją CMD.EXE wklej:

gmer -del file C:\WINNT\system32\csrs.exe
gmer -del file C:\WINNT\system32\winIogon.exe
gmer -del file C:\WINNT\system32\sfil.exe
gmer -del file C:\WINNT\system32\spoolsvc.exe
gmer -del file C:\WINNT\system32\Isass.exe
gmer -del file C:\WINNT\system32\scrcons32.exe
gmer –reboot

I kliknij z prawej strony na Uruchom.

potem wklej do notatnika potem nowe logi

[Sylwek 17]

wojtas19162

Kod: Zaznacz wszystko

Wystąpił błąd nr 0xC0000034 w czasie kasowania: "c:WINNT\system32\winIogon.exe"

I tak przy każdym pliku który ma być skasowany.

Może w awaryjnym to dziadostwo spróbować ubić?

[wojtas]

Sylwek 17 nie bo najrawdopodobniej nie ma tych plikow jedynie moze byc ten:

C:\WINNT\system32\scrcons32.exe

ale dalem dla pewnosci na usuwanie kazdy.. wiec usun ten plik, zrob fixa w notatniku i nowe logi

[First]

Sylwek 17 Silentrunners w wypadku większości tych plików pokazuje, że są Not found dlatego pokaz raport z The Avenger (C:\avenger.txt) zobaczymy co on nam pokaże.

Pozatym pokaż log z ComboFix, zobaczymy czy on jest wylistuje

[Sylwek 17]

ComboFix

po próbie zrobienia loga komp się zresetował i już nieuruchoomił,skończyło się na formacie. Dochodził do momentu(przy starcie)kiedy ładowała się sieć i tak stał z półgodziny.Jedynie tryb awaryjny bez obsługi sieci ładował się po około 15 minutach.

Temat do zamknięcia.

[First]

Kurde, to jest aż niemożliwe...

Możliwe,że to jakiś szkodnik przeszkodzil ComboFix,może jakis rootkit..

Pierwszy raz mi sie cos takiego zdarza;/