Prosba-kontrola logu hijackthis

Místo pro vaše HiJackThis logy a logy z dalších programů…

Moderátoři: Mods_senior, Security team

Guverner
nováček
Příspěvky: 3
Registrován: červenec 06
Pohlaví: Nespecifikováno
Stav:
Offline

Prosba-kontrola logu hijackthis

Příspěvekod Guverner » 09 črc 2006 10:37

Prosím nějaké zkušené oko o kontrolu logu a pomoc.
Mám na stole napadený počítač od svých známých, stal se terčem
útoku Trojan horse generic-downloader.generic.HGT-.
Po provedení očisty dle základního postupu uvedeného na tomto webu,
se už sice přestal objevovat každou chvilku residentní štít AVG free, hlásíci přítomnost viru, ale zůstala tady po něm ďábelská stopa v podobě červeného pozadí plochy s černým okénkem uprostřed, s blikajícím nápisem

DANGER:SPYWARE

nereagující na pokus o změnu - nefunkční pravé tlačítko myšky-.
Ve startupu je položka -9xadiras.exe-, a i po jejím vykliknutí problém přetrvává, nevím jestli to má nějakou souvislost.
Na tomto PC není zatím nainstalován žáden firewall, tak teď nevím jestli
ho tam mám šoupnout hned, a nebo až po odstranění problému.
Taky mám obavy z toho že když mašinku připojím na internet, problém se znovu objeví.
Na očistu jsem použil: AVG free
Spybot Destroy
Registry mechanic
A tady je ten Log:

Logfile of HijackThis v1.99.1
Scan saved at 8:57:32, on 9.7.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\igfxpers.exe
C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\Program Files\ADSL\ADSL USB MODEM\dslmon.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\mexe.com
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\kavss.exe
C:\Program Files\Microsoft Office\Office10\WINWORD.EXE
C:\Program Files\Hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.seznam.cz/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\System32\igfxpers.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [ICQ Lite] "C:\Program Files\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [qwyqs.exe] C:\WINDOWS\system32\qwyqs.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: DSLMON.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program Files\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: Vytvořit mobilní oblíbenou položku - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Vytvořit mobilní oblíbenou položku… - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

Díky za rady

Reklama
Uživatelský avatar
mijaja
Tvůrce článků
Level 6.5
Level 6.5
Příspěvky: 4136
Registrován: září 05
Bydliště: Zlín
Pohlaví: Muž
Stav:
Offline
Kontakt:

Příspěvekod mijaja » 09 črc 2006 11:40

Dobře. Takže ten firewall si nainstaluj co nejdříve, aby ti do kompu nepouštěl už nic dalšího.
Máš tam soubory od Kasperského - nedělal jsi kontrolu mwavem? Upraven log MWAVu dle návodu v mém podpisu by se teď docela hodil.
Takže začneme - Tohle si raději vytiskni, nebo ulož na plochu v Notepadu.:

1) Stáhni si firewall a nainstaluj. Nainstaluj si alternativní prohlížeč namísto Internet Exploreru. Všechno mám v odkazech.
2) Stáhni si Ccleaner (v mém podpisu) a nainstaluj.
3) Stáhni si SmitFraudFix a nachystej na použití.
4) Stáhni si MWAV nainstaluj a zaktualizuj jej.

5) Vypni Obnovu systému (klávesa Windows+Pause/Break - a v okně Vlastnosti systému - karta Obnovení systému zaškrtnout okénko Vypnout nástroj obnovení systému na všech jednotkách), potom vypni komp, odpoj se od internetu(nejlépe i kabel od modemu nebo síťovky) a spusť jej v nouzovém režimu!

6) Spustíš SmitFraudFix - objeví se modrá obrazovka aplikace a stiskneš volbu 2.
Nechej proskenovat počítač.
Pokud budeš dotázán, zda povolíš čištění registrů (Do you want to clean the registry ?), stiskni klávesu Y (pozor na záměnu Y a Z na klávesnici)
Pokud budeš dotázán na odstranění zavirovaných souborů z počítače (Replace infected file ?), stiskneš opět klávesu Y.
7) Vypni SmitfraudFix

8) V Taskmanageru (CTRL+ALT+DEL - záložka Procesy - tlačítko Ukončit proces) zastav procesy:
9xadiras.exe (neznám k němu cestu - měl jsi ten log z HJT udělat ještě než jsi pozastavoval některé procesy)
C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe - tohle je zbytečnost
C:\Program Files\QuickTime\qttask.exe - tohle je zbytečnost
C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe - tohle je zbytečnost

9) Potom spustíš Hijackthis a a zaškrtni v něm okénka před řádky:

O1 - Hosts: localhost 127.0.0.1
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [qwyqs.exe] C:\WINDOWS\system32\qwyqs.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe"

po zaškrtnutí klikni na FixChecked.

10) Potom najdi na disku ty červeně označené soubory a vymaž je. Nastav si v Možnostech složky zobrazování skrytých a systémových souborů, abys je lépe nalezl.

11) Spusť Ccleaner a dej vyčistit windows, aplikace i registry. Potom nakoukni do složek Temp a Temporary Internet Files ve všech profilech Documents and Settings a Windows, jestli jsou prázdné a vysyp koš. Spusť AVGčko a proskenuj počítač. Co najde likviduj.


12) Restartuj do normálu.

13) Spusť Mwav a podle návodu nechej proskenovat VŠECHNY soubory.Připoj se k internetu a upravený log sem dej i s novým logem Hijackthisu.

sakiri
Level 3.5
Level 3.5
Příspěvky: 747
Registrován: červen 06
Pohlaví: Nespecifikováno
Stav:
Offline

Příspěvekod sakiri » 09 črc 2006 21:23

jenom chcu doplnit místo avg použi j jiný avg třeba nod 32 nebo avast
tady si můžeš vybrat avg- http://www.pc-help.cz/viewtopic.php?t=2647

Guverner
nováček
Příspěvky: 3
Registrován: červenec 06
Pohlaví: Nespecifikováno
Stav:
Offline

Příspěvekod Guverner » 10 črc 2006 16:49

Omlouvám se, že to tak strašně dlouho trvalo, ale včera jsem měl odpolední šichtu a v noci už jsem pak nenašel sílu k tomu sedat a dneska dopoledne jsem měl nějaké zařizování, takže: přesně dle návodu, po nějakých těch pokusech a omylech, jsem se doplazil k cíli a … hurá! Vypadá to dobře, marná sláva, kdo umí, ten umí, kdo neumí, tak …

Jenom chci poznamenat, že své PC majitelé připojují k internetu prostřednictvím ADSL modemu přes USB port a já své PC z routeru do síťové karty, tudíž jsem opravované PC během čištění neměl možnost odzkoušet, jak se chová po připojení k internetu.

Doufám, že všechno bude ok a že mě pak pochválí a odmění spoustou medailí a vyznamenáními, abych mohl chodit s oplechovanou hrudí jak sovětský armádní generál.

Po proskenování systému MWAVem tento ještě našel 4 problémy. Po pročtení řádků jsem přišel na to, že mí synovci dostali zřejmě chuť zahrát si ruletku a nebo black jack online. Chtěl bych se zeptat, co teď s teď s těmi casiny provést. Zde je výpis view log z MWAV :

Mon Jul 10 13:32:49 2006 => System found infected with unspypc Unclassified ({776883a9-1ea8-4d8f-88b7-aa652fef01a7})! Action taken: No Action Taken.
Mon Jul 10 13:32:52 2006 => Offending Key found: HKLM\Software\carnival casino !!!
Mon Jul 10 13:32:52 2006 => Object "wareout Adware" found in File System! Action Taken: No Action Taken.

Mon Jul 10 13:32:52 2006 => Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\urls !!!
Mon Jul 10 13:32:52 2006 => Object "wareout Adware" found in File System! Action Taken: No Action Taken.

Mon Jul 10 13:32:49 2006 => System found infected with unspypc Unclassified ({776883a9-1ea8-4d8f-88b7-aa652fef01a7})! Action taken: No Action Taken.
Mon Jul 10 13:32:52 2006 => Offending Key found: HKLM\Software\carnival casino !!!
Mon Jul 10 13:32:52 2006 => Object "wareout Adware" found in File System! Action Taken: No Action Taken

Mon Jul 10 13:32:52 2006 => Offending Key found: HKCU\Software\carnival casino !!!
Mon Jul 10 13:32:52 2006 => Object "wareout Adware" found in File System! Action Taken: No Action Taken.

Mon Jul 10 13:35:13 2006 => ***** Scanning complete. *****

Mon Jul 10 13:35:13 2006 => Total Objects Scanned: 15344
Mon Jul 10 13:35:13 2006 => Total Critical Objects: 4
Mon Jul 10 13:35:13 2006 => Total Disinfected Objects: 0
Mon Jul 10 13:35:13 2006 => Total Objects Renamed: 0
Mon Jul 10 13:35:13 2006 => Total Deleted Objects: 0
Mon Jul 10 13:35:13 2006 => Total Errors: 0
Mon Jul 10 13:35:13 2006 => Time Elapsed: 00:03:29
Mon Jul 10 13:35:13 2006 => Virus Database Date: 7/8/2006
Mon Jul 10 13:35:13 2006 => Virus Database Count: 205795

Mon Jul 10 13:35:13 2006 => Scan Completed.

Opravdu moc děkuji za radu, jestli máš rád domácí slivovici napiš mi na můj mail adresu-odběrové místo, kde ti mám tu flašku poslat. čus

Uživatelský avatar
mijaja
Tvůrce článků
Level 6.5
Level 6.5
Příspěvky: 4136
Registrován: září 05
Bydliště: Zlín
Pohlaví: Muž
Stav:
Offline
Kontakt:

Příspěvekod mijaja » 10 črc 2006 17:25

Tak to máš obrovskou smůlu, (nebo štěstí) ale jsem odporný abstinent.

Jinak tady musíš vlézt do editoru registrů a vymazat:

HKLM\Software\carnival casino
HKLM\Software\Microsoft\Windows\CurrentVersion\urls
HKCU\Software\carnival casino


A podívej se po disku, jestli tam nemáš náhodou tyhle soubory:

C:\Documents and Settings\Mom\Desktop\MOM\Carnival Casino\casino.exe
C:\WINDOWS\system32\vtstq.dll
C:\WINDOWS\system32\ddccd.dll
C:\Program Files\PartyGaming.net\PartyPokerNet\RunPF.exe
C:\Program Files\PartyPoker\PartyPoker.exe
C:\Documents and Settings\Mom\Desktop\MOM\Carnival Casino\casino.exe
C:\Program Files\Network\network.exe

Kterýkoliv najdeš, zkontroluj na Jotti a smaž.

Guverner
nováček
Příspěvky: 3
Registrován: červenec 06
Pohlaví: Nespecifikováno
Stav:
Offline

Příspěvekod Guverner » 10 črc 2006 18:20

Tak jsem to dorazil, doufám že tentokrát definitivně.
Ještě jednou obrovský dík, a přeju ti hezký zbytek dne.
Agoj.


Zpět na “HiJackThis”

Kdo je online

Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 13 hostů