Kontrola logu HJ Vyřešeno

Místo pro vaše HiJackThis logy a logy z dalších programů…

Moderátoři: Mods_senior, Security team

Uživatelský avatar
PECHY15
Level 3
Level 3
Příspěvky: 416
Registrován: červenec 07
Bydliště: Milín
Pohlaví: Muž
Stav:
Offline
Kontakt:

Re: Kontrola logu HJ

Příspěvekod PECHY15 » 12 říj 2008 10:09

Bohužel... stále modrá smrt

Reklama
Uživatelský avatar
zlobyl
Tvůrce článků
Level 4.5
Level 4.5
Příspěvky: 1760
Registrován: duben 06
Bydliště: Slaný
Pohlaví: Nespecifikováno
Stav:
Offline
Kontakt:

Re: Kontrola logu HJ

Příspěvekod zlobyl » 13 říj 2008 00:54

Tak zkus zaškrtnout v Avengeru pole Automatically disable any rootkits found.
Prosím, omluvte mou častou nepřítomnost na fóru.Bohužel jsou věci, které člověk nemůže ovlivnit a já tudíž nemám moc času, abych se sem dostal.Budu se snažit tady být vždy, když to bude možné, ale nic zaručit nemohu.Je mi to líto.

Uživatelský avatar
Diallix
Level 2
Level 2
Příspěvky: 243
Registrován: říjen 08
Pohlaví: Nespecifikováno
Stav:
Offline
Kontakt:

Re: Kontrola logu HJ

Příspěvekod Diallix » 13 říj 2008 15:25

Chcem vypis tej modrej smrti.

Urobte prosim tento navod : http://viry.cz/forum/viewtopic.php?f=15&t=40395

Stiahnite si program, v nudzovom rezime ho spustite a suhlaste s podmienkami podla toho navodu na nudzovy rezim. Log z neho potom sem.
Moja nová kniha >> Kniha <<
---
Hľadáme nové posily do nášej CyberSecurity UNIT jednotky. Viac informácií o tom, čo to obnáša a ako sa pripojiť nájdete tu:CyberSecurity UNIT
----
Bezpečnostná autorita fóra viry.cz Certifikát
----
Momentálne aktívny ako:
- konzultant, vývojár a tutor výskumu inteligentného malwaru.

Uživatelský avatar
PECHY15
Level 3
Level 3
Příspěvky: 416
Registrován: červenec 07
Bydliště: Milín
Pohlaví: Muž
Stav:
Offline
Kontakt:

Re: Kontrola logu HJ

Příspěvekod PECHY15 » 13 říj 2008 20:33

Diallix píše:Chcem vypis tej modrej smrti.

Urobte prosim tento navod : http://viry.cz/forum/viewtopic.php?f=15&t=40395

Stiahnite si program, v nudzovom rezime ho spustite a suhlaste s podmienkami podla toho navodu na nudzovy rezim. Log z neho potom sem.


Nevím k čemu by ti byl ten výpis z modrý smrti a navíc kdyby jsi si přečetl celé téma, tak zjistíš že do nouzáku nemůžu a tím pádem nemůžu ani použít SDFix

Uživatelský avatar
Diallix
Level 2
Level 2
Příspěvky: 243
Registrován: říjen 08
Pohlaví: Nespecifikováno
Stav:
Offline
Kontakt:

Re: Kontrola logu HJ

Příspěvekod Diallix » 13 říj 2008 20:39

No, a preco by mi ten vypis bol na nic? Len ho tu pekne daj.

Ako, mas pravdu, to som si bohuzuzial nevsimol, ale sdfix je profik na urcite viry, ktore si ty tam mal. Zaroven sa ospravedlnujem.

Pouzi combofix :
Aplikujte Combofix:

Stiahnite si na plochu ComboFix

Nasledne ho spustite (ucet Administratora).
Po spusteni naskocia licencne podmienky s ktorymi suhlaste a pokracujte ANO/YES/OK.
Zacne sken pocas ktoreho neklikajte pomimo okna. Cely sken trva cca. 10 minut.
Po skene ComboFix vygeneruje log, ktory ulozi do cielovej jednotky, napr. c:\ s nazvom ComboFix.log. Obsah celeho logu skopirujte sem.

Ten by mal nudzak opravit.
Moja nová kniha >> Kniha <<
---
Hľadáme nové posily do nášej CyberSecurity UNIT jednotky. Viac informácií o tom, čo to obnáša a ako sa pripojiť nájdete tu:CyberSecurity UNIT
----
Bezpečnostná autorita fóra viry.cz Certifikát
----
Momentálne aktívny ako:
- konzultant, vývojár a tutor výskumu inteligentného malwaru.

Uživatelský avatar
PECHY15
Level 3
Level 3
Příspěvky: 416
Registrován: červenec 07
Bydliště: Milín
Pohlaví: Muž
Stav:
Offline
Kontakt:

Re: Kontrola logu HJ

Příspěvekod PECHY15 » 16 říj 2008 20:53

zlobyl píše:Tak zkus zaškrtnout v Avengeru pole Automatically disable any rootkits found.

Takže... udělal jsem jak si řekl... do nouzáku jsem se hned potom dostal bez problému... aplikoval jsem SDFix tady je z něj log:

SDFix: Version 1.231
Run by Radek on źt 16. 10. 2008 at 20:28

Microsoft Windows XP [Verze 5.1.2600]
Running From: C:\SDFix

Checking Services :

Rootkit Found :
C:\WINDOWS\system32\drivers\TDSSserv.sys - Rootkit.Win32.Agent.cku

Name :
tdssserv

Path :
\systemroot\system32\drivers\TDSSserv.sys

tdssserv - Deleted



Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

Trojan Files Found:

C:\WINDOWS\SYSTEM32\WINDOW~1.EXE - Deleted
C:\Program Files\Setup.exe - Deleted
C:\WINDOWS\rundll16.exe - Deleted
C:\WINDOWS\system32\casino1.ico - Deleted
C:\WINDOWS\system32\casino2.ico - Deleted
C:\WINDOWS\system32\casino3.ico - Deleted
C:\WINDOWS\system32\windows_update.exe - Deleted
C:\WINDOWS\system32\drivers\tdssserv.sys - Deleted
C:\WINDOWS\system32\tdssadw.dll - Deleted
C:\WINDOWS\system32\TDSSerrors.log - Deleted
C:\WINDOWS\system32\tdssinit.dll - Deleted
C:\WINDOWS\system32\tdssl.dll - Deleted
C:\WINDOWS\system32\tdsslog.dll - Deleted
C:\WINDOWS\system32\tdssmain.dll - Deleted
C:\WINDOWS\system32\tdsspopup.dll - Deleted
C:\WINDOWS\system32\tdsspopup1.url - Deleted
C:\WINDOWS\system32\tdsspopup2.url - Deleted
C:\WINDOWS\system32\tdsspopup3.url - Deleted
C:\WINDOWS\system32\tdssserf.dll - Deleted
C:\WINDOWS\system32\tdssserf1.dll - Deleted
C:\WINDOWS\system32\tdssservers.dat - Deleted





Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-16 20:35:51
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\Cursors\Schemes]
"\f\1e?r?n?é? ?u?k?a?z?a?t?e?l?e? ?"="C:\WINDOWS\cursors\arrow_r.cur,C:\WINDOWS\cursors\help_r.cur,C:\WINDOWS\cursors\wait_r.cur,C:\WINDOWS\cursors\busy_r.cur,C:\WINDOWS\cursors\cross_r.cur,C:\WINDOWS\cursors\beam_r.cur,C:\WINDOWS\cursors\pen_r.cur,C:\WINDOWS\cursors\no_r.cur,C:\WINDOWS\cursors\size4_r.cur,C:\WINDOWS\cursors\size3_r.cur,C:\WINDOWS\cursors\size2_r.cur,C:\WINDOWS\cursors\size1_r.cur,C:\WINDOWS\cursors\move_r.cur,C:\WINDOWS\cursors\up_r.cur"
"\f\1e?r?n?é? ?u?k?a?z?a?t?e?l?e? ?(?v?e?l?k?é?)?"="C:\WINDOWS\cursors\arrow_rm.cur,C:\WINDOWS\cursors\help_rm.cur,C:\WINDOWS\cursors\wait_rm.cur,C:\WINDOWS\cursors\busy_rm.cur,C:\WINDOWS\cursors\cross_rm.cur,C:\WINDOWS\cursors\beam_rm.cur,C:\WINDOWS\cursors\pen_rm.cur,C:\WINDOWS\cursors\no_rm.cur,C:\WINDOWS\cursors\size4_rm.cur,C:\WINDOWS\cursors\size3_rm.cur,C:\WINDOWS\cursors\size2_rm.cur,C:\WINDOWS\cursors\size1_rm.cur,C:\WINDOWS\cursors\move_rm.cur,C:\WINDOWS\cursors\up_rm.cur"
"\f\1e?r?n?é? ?u?k?a?z?a?t?e?l?e? ?(?n?e?j?v?\e\1t?a\1í?)?"="C:\WINDOWS\cursors\arrow_rl.cur,C:\WINDOWS\cursors\help_rl.cur,C:\WINDOWS\cursors\wait_rl.cur,C:\WINDOWS\cursors\busy_rl.cur,C:\WINDOWS\cursors\cross_rl.cur,C:\WINDOWS\cursors\beam_rl.cur,C:\WINDOWS\cursors\pen_rl.cur,C:\WINDOWS\cursors\no_rl.cur,C:\WINDOWS\cursors\size4_rl.cur,C:\WINDOWS\cursors\size3_rl.cur,C:\WINDOWS\cursors\size2_rl.cur,C:\WINDOWS\cursors\size1_rl.cur,C:\WINDOWS\cursors\move_rl.cur,C:\WINDOWS\cursors\up_rl.cur"

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Hry\\Empire Earth\\Empire Earth.exe"="C:\\Hry\\Empire Earth\\Empire Earth.exe:*:Enabled:Empire Earth"
"C:\\Hry\\-Aoe2conquer\\age2_x1.exe"="C:\\Hry\\-Aoe2conquer\\age2_x1.exe:*:Enabled:Age of Empires II Expansion"
"C:\\Program Files\\iTunes\\iTunes.exe"="C:\\Program Files\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"C:\\Program Files\\GameSpy Arcade\\Aphex.exe"="C:\\Program Files\\GameSpy Arcade\\Aphex.exe:*:Enabled:GameSpy Arcade"
"C:\\Program Files\\EA GAMES\\MOHAA\\MOHAA.exe"="C:\\Program Files\\EA GAMES\\MOHAA\\MOHAA.exe:*:Enabled:Medal of Honor Allied Assault(tm)"
"C:\\Program Files\\uTorrent\\utorrent.exe"="C:\\Program Files\\uTorrent\\utorrent.exe:*:Enabled:uTorrent"
"C:\\Program Files\\QIP\\qip.exe"="C:\\Program Files\\QIP\\qip.exe:*:Enabled:Quiet Internet Pager"
"C:\\Program Files\\ICQLite\\ICQLite.exe"="C:\\Program Files\\ICQLite\\ICQLite.exe:*:Enabled:ICQ Lite"
"C:\\Program Files\\GameSpy Arcade\\Services\\_common\\RWVoice.exe"="C:\\Program Files\\GameSpy Arcade\\Services\\_common\\RWVoice.exe:*:Enabled:RogerWilco Lite for GameSpy Arcade"
"C:\\Program Files\\Counter-Strike\\hl.exe"="C:\\Program Files\\Counter-Strike\\hl.exe:*:Enabled:Half-Life Launcher"
"C:\\Program Files\\Hamachi\\hamachi.exe"="C:\\Program Files\\Hamachi\\hamachi.exe:*:Enabled:Hamachi Client"
"C:\\Program Files\\MumboJumbo\\Luxor\\luxor.exe"="C:\\Program Files\\MumboJumbo\\Luxor\\luxor.exe:*:Disabled:Luxor"
"C:\\Program Files\\Strong DC++\\StrongDC.exe"="C:\\Program Files\\Strong DC++\\StrongDC.exe:*:Enabled:StrongDC++"
"C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"
"C:\\Program Files\\ICQ6\\ICQ.exe"="C:\\Program Files\\ICQ6\\ICQ.exe:*:Enabled:ICQ6"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

Remaining Files :


File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Wed 27 Jul 2005 56 A.SHR --- "C:\WINDOWS\system32\E5753A6A96.sys"
Wed 2 Nov 2005 10,856 A.SH. --- "C:\WINDOWS\system32\KGyGaAvL.sys"
Wed 17 Oct 2007 118,137 A.SH. --- "C:\WINDOWS\system32\stvwa.tmp"
Sat 11 Aug 2007 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"

Finished!

Zatim pocituju silný zlepšení ale stejnak mam ještě pocit že tu asi něco zustalo... ale myslim že už to nebude nic važnyho...

Uživatelský avatar
Diallix
Level 2
Level 2
Příspěvky: 243
Registrován: říjen 08
Pohlaví: Nespecifikováno
Stav:
Offline
Kontakt:

Re: Kontrola logu HJ

Příspěvekod Diallix » 16 říj 2008 20:56

Pekne rootkity .

Este potrebujem, aby ste aplikoval tento navod, log z neho sem.
Aplikujte Combofix:

Stiahnite si na plochu ComboFix

Nasledne ho spustite (ucet Administratora).
Po spusteni naskocia licencne podmienky s ktorymi suhlaste a pokracujte ANO/YES/OK.
Zacne sken pocas ktoreho neklikajte pomimo okna. Cely sken trva cca. 10 minut.
Po skene ComboFix vygeneruje log, ktory ulozi do cielovej jednotky, napr. c:\ s nazvom ComboFix.log. Obsah celeho logu skopirujte sem.
Moja nová kniha >> Kniha <<
---
Hľadáme nové posily do nášej CyberSecurity UNIT jednotky. Viac informácií o tom, čo to obnáša a ako sa pripojiť nájdete tu:CyberSecurity UNIT
----
Bezpečnostná autorita fóra viry.cz Certifikát
----
Momentálne aktívny ako:
- konzultant, vývojár a tutor výskumu inteligentného malwaru.

Uživatelský avatar
zlobyl
Tvůrce článků
Level 4.5
Level 4.5
Příspěvky: 1760
Registrován: duben 06
Bydliště: Slaný
Pohlaví: Nespecifikováno
Stav:
Offline
Kontakt:

Re: Kontrola logu HJ

Příspěvekod zlobyl » 20 říj 2008 00:35

Už to vypadá o hodně lépe. :D

SDFix odvedl dobrou práci, takže teď už by tam nemělo být nic závažného.


Přikláním se ještě k aplikování ComboFixu, abychom odhalili případné zbytky, které by tam eventuelně mohli dělat neplechu.
Vlož také log z HJT.
Prosím, omluvte mou častou nepřítomnost na fóru.Bohužel jsou věci, které člověk nemůže ovlivnit a já tudíž nemám moc času, abych se sem dostal.Budu se snažit tady být vždy, když to bude možné, ale nic zaručit nemohu.Je mi to líto.

Uživatelský avatar
PECHY15
Level 3
Level 3
Příspěvky: 416
Registrován: červenec 07
Bydliště: Milín
Pohlaví: Muž
Stav:
Offline
Kontakt:

Re: Kontrola logu HJ

Příspěvekod PECHY15 » 21 říj 2008 15:03

Tak bezva... dik moc zlobyle... jsem rad že tady vždy někdo pomuže :D

Uživatelský avatar
zlobyl
Tvůrce článků
Level 4.5
Level 4.5
Příspěvky: 1760
Registrován: duben 06
Bydliště: Slaný
Pohlaví: Nespecifikováno
Stav:
Offline
Kontakt:

Re: Kontrola logu HJ

Příspěvekod zlobyl » 24 říj 2008 15:30

Nemáš vůbec zač.
To já bych se měl omluvit za dlouhé prostoje kvůli nedostatku času. :blush:


Každopádně pokud je problém vyřešen, tak jsem jedině rád. :D
Prosím, omluvte mou častou nepřítomnost na fóru.Bohužel jsou věci, které člověk nemůže ovlivnit a já tudíž nemám moc času, abych se sem dostal.Budu se snažit tady být vždy, když to bude možné, ale nic zaručit nemohu.Je mi to líto.


Zpět na “HiJackThis”

Kdo je online

Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 9 hostů