CentrumXP Forum Tematyka portalu CentrumXP.pl Bezpieczeństwo Bardzo proszę o analizę loga

Bardzo proszę o analizę loga

Witam.
Mam problem – Skanowalem dzisiaj mojego twardziela Avastem i ... wykryl mi 2 wirusy (tzn. niewiem czy to wirusy, czy moźe trojany albo robaki...). Wkazdym bądź razie mialem takie komunikaty:
Win32:Downloader–007[Trj]
Plik: C:Program FilesInternet Explorercexovdsq.exe
Wersja VPS: 0505, 2005.02.02

Drugi komunikat byl prawie taki sam, tylko z tą róźnicą, źe zamiast "cexovdsq.exe" miałem: "mlpsfrjq.exe". Acha niewiem czy to z ich powodu ale nie moge wysłac ani odebrac maili – uźywam IncrediMail i wyskakuje mi komunikat, źe czas oczekiwania przekroczony, źe w tej chwili moja skrzynka pocztowa jest uźywana (hmm...ciekawe przez kogo bo napewno nie przeze mnie).
Pod spodem załączam log z Hijack This. Jeśli mógłby ktoś kto sie na tym zna rzucić okiem na mojego loga byłbym bardzo wdzięczny.

Logfile of HijackThis v1.99.0
Scan saved at 14:03:58, on 2005–02–03
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32LEXBCES.EXE
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSsystem32LEXPPS.EXE
C:Program FilesAlwil SoftwareAvast4aswUpdSv.exe
C:Program FilesAlwil SoftwareAvast4ashServ.exe
C:WINDOWSSystem32 vsvc32.exe
C:WINDOWSExplorer.EXE
C:WINDOWShtpatch.exe
C:WINDOWSSystem32RunDll32.exe
C:PROGRA~1ALWILS~1Avast4ashDisp.exe
C:Program FilesElaborate BytesCloneCDCloneCDTray.exe
C:Program FilesD–Toolsdaemon.exe
C:WINDOWSSystem32ctfmon.exe
C:Program FilesGadu–Gadugg.exe
C:PROGRA~1INCRED~1inIMApp.exe
C:Program FilesBitSpiritBitSpirit.exe
C:WINDOWSSystem32wuauclt.exe
C:Program FilesAlwil SoftwareAvast4ashMaiSv.exe
E:InstalatoryHijack thisHijackThis.exe

R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://onet.pl/
R0 – HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Łącza
R3 – Default URLSearchHook is missing
O2 – BHO: AcroIEHlprObj Class – {06849E9F–C8D7–4D59–B87D–784B7D6BE0B3} – C:Program FilesAdobeAcrobat 5.0ReaderActiveXAcroIEHelper.ocx
O2 – BHO: IE 4.x–6.x BHO for Internet Download Accelerator – {2A646672–9C3A–4C28–9A7A–1FB0F63F28B6} – C:PROGRA~1IDAidaiehlp.dll
O2 – BHO: Local Spool Net support DLL – {41943050–65CC–454B–81E4–9C8A9D7CBAEA} – C:WINDOWSSystem32localsplnet.dll
O2 – BHO: (no name) – {53707962–6F74–2D53–2644–206D7942484F} – C:Program FilesSpybot – Search & DestroySDHelper.dll
O3 – Toolbar: &Radio – {8E718888–423F–11D2–876E–00A0C9082467} – C:WINDOWSSystem32msdxm.ocx
O3 – Toolbar: (no name) – {E0E899AB–F487–11D5–8D29–0050BA6940E3} – (no file)
O4 – HKLM..Run: [HTpatch] C:WINDOWShtpatch.exe
O4 – HKLM..Run: [SiSUSBRG] C:WINDOWSSiSUSBrg.exe
O4 – HKLM..Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 – HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSSystem32NvCpl.dll,NvStartup
O4 – HKLM..Run: [nwiz] nwiz.exe /install
O4 – HKLM..Run: [avast!] C:PROGRA~1ALWILS~1Avast4ashDisp.exe
O4 – HKLM..Run: [CloneCDElbyCDFL] "C:Program FilesElaborate BytesCloneCDElbyCheck.exe" /L ElbyCDFL
O4 – HKLM..Run: [CloneCDTray] "C:Program FilesElaborate BytesCloneCDCloneCDTray.exe"
O4 – HKLM..Run: [DAEMON Tools–1033] "C:Program FilesD–Toolsdaemon.exe" –lang 1045
O4 – HKLM..Run: [Resume copy] copyfstq.exe /startup
O4 – HKLM..Run: [NeroFilterCheck] C:WINDOWSsystem32NeroCheck.exe
O4 – HKCU..Run: [CTFMON.EXE] C:WINDOWSSystem32ctfmon.exe
O4 – HKCU..Run: [IncrediMail] C:PROGRA~1INCRED~1inIncMail.exe /c
O4 – HKCU..Run: [Gadu–Gadu] "C:Program FilesGadu–Gadugg.exe" /tray
O8 – Extra context menu item: &Add animation to IncrediMail Style Box – C:PROGRA~1INCRED~1in esourcesWebMenuImg.htm
O8 – Extra context menu item: Download ALL with IDA – C:Program FilesIDAidaieall.htm
O8 – Extra context menu item: Download with IDA – C:Program FilesIDAidaie.htm
O8 – Extra context menu item: Pobierz z &BitSpirit – C:Program FilesBitSpiritsurl.htm
O9 – Extra button: Internet Download Accelerator – {9819CC0E–9669–4D01–9CD7–2C66DA43AC6C} – C:Program FilesIDAida.exe
O9 – Extra 'Tools' menuitem: &Internet Download Accelerator – {9819CC0E–9669–4D01–9CD7–2C66DA43AC6C} – C:Program FilesIDAida.exe
O12 – Plugin for .spop: C:Program FilesInternet ExplorerPluginsNPDocBox.dll
O23 – Service: avast! iAVS4 Control Service – Unknown – C:Program FilesAlwil SoftwareAvast4aswUpdSv.exe
O23 – Service: avast! Antivirus – Unknown – C:Program FilesAlwil SoftwareAvast4ashServ.exe
O23 – Service: avast! Mail Scanner – ALWIL Software – C:Program FilesAlwil SoftwareAvast4ashMaiSv.exe
O23 – Service: LexBce Server – Lexmark International, Inc. – C:WINDOWSsystem32LEXBCES.EXE
O23 – Service: NVIDIA Display Driver Service – NVIDIA Corporation – C:WINDOWSSystem32 vsvc32.exe

Odpowiedzi: 8

marex1011:
...dzisiaj znowu mi Avast wykryl tego samego wirusa
(...)
Win32:Downloader–007[Trj]
Plik: C:System Volume Information\_restore{7D7F0D86–4E9F–4832–B


Wylacz i zalacz przywracanie systemu. Byc moze Avast sie nie myli i wirus siedzi w tym punkcie przywracania. W ten sposob pozbedziesz sie go na bank z tego miejsca.
EL NINO
Dodano
05.02.2005 15:43:13
Przeskanowałem Avastem w trybie rozruchowym ale nic nie znalazł – wszystko było wg niego w porządku, potem jeszcze raz przeskanowałem Avastem tylko partycję systemową C: juź z normalnego poziomu i teź wszystko niby było czysto, no więc juź sam niewiem o co chodzi......
marex1011
Dodano
05.02.2005 14:59:02
Dzięki za rade.
Spróbuje jak radzisz i dam odpowiedź...
marex1011
Dodano
05.02.2005 13:59:10
Log byłby ok.
Przeskanuj Avastem w trybie rozruchowym.
Niektórych śmieci nie daje rady z poziomu Win.
MarcinX
Dodano
05.02.2005 13:50:50
Witam ponownie.
Ponawiam moją prośbę o sprawdzenie mojego loga z Hijack This. Wszystko bylo dobrze przez te 2 dni jak usunąlem wedlug wskazówek ale dzisiaj znowu mi Avast wykryl tego samego wirusa (data na to wskazuje) sprzed 2 dni. Prosze o porade jak go mam wyrzucic z mojego komputera definitywnie. Jego nazwa to: (przynajmniej tak pisze w komunikacie Avasta)

Win32:Downloader–007[Trj]
Plik: C:System Volume Information\_restore{7D7F0D86–4E9F–4832–B
Wersja VPS: 0505–1, 2005–02–02

Acha niewiem czy to jego wina, ale przestal mi dzialac dzwiek i zmienila mi sie rozdzielczosc z 1024–768 na 800–600, a jak ją chcialem ponownie zmienic to wyskoczył mi komunikat, źe nie moge tego zrobic, bo nie mam uprawnień administratora (jak nie mam jak mam). Dopiero po restarcir kompa wszystko wróciło do poprzedniego stanu, no ale zas mi wyskoczył ten komunikat z wirusem... Proszę o pomoc jak się tego cholerstwa pozbyć raz na zawsze. Pod spodem zamieszczam log:

Logfile of HijackThis v1.99.0
Scan saved at 12:34:28, on 2005–02–05
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32LEXBCES.EXE
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSsystem32LEXPPS.EXE
C:Program FilesAlwil SoftwareAvast4aswUpdSv.exe
C:Program FilesAlwil SoftwareAvast4ashServ.exe
C:WINDOWSSystem32 vsvc32.exe
C:Program FilesAlwil SoftwareAvast4ashMaiSv.exe
C:WINDOWSExplorer.EXE
C:WINDOWShtpatch.exe
C:WINDOWSSystem32RunDll32.exe
C:PROGRA~1ALWILS~1Avast4ashDisp.exe
C:Program FilesElaborate BytesCloneCDCloneCDTray.exe
C:Program FilesD–Toolsdaemon.exe
C:WINDOWSSystem32ctfmon.exe
C:Program FilesGadu–Gadugg.exe
C:PROGRA~1INCRED~1inIMApp.exe
C:WINDOWSSystem32wuauclt.exe
C:Program FilesBitSpiritBitSpirit.exe
C:Program FilesMYIE2myie.exe
E:InstalatoryHijack thisHijackThis.exe

R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://onet.pl/
R0 – HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Łącza
O2 – BHO: AcroIEHlprObj Class – {06849E9F–C8D7–4D59–B87D–784B7D6BE0B3} – C:Program FilesAdobeAcrobat 5.0ReaderActiveXAcroIEHelper.ocx
O2 – BHO: IE 4.x–6.x BHO for Internet Download Accelerator – {2A646672–9C3A–4C28–9A7A–1FB0F63F28B6} – C:PROGRA~1IDAidaiehlp.dll
O2 – BHO: (no name) – {53707962–6F74–2D53–2644–206D7942484F} – C:Program FilesSpybot – Search & DestroySDHelper.dll
O3 – Toolbar: &Radio – {8E718888–423F–11D2–876E–00A0C9082467} – C:WINDOWSSystem32msdxm.ocx
O4 – HKLM..Run: [HTpatch] C:WINDOWShtpatch.exe
O4 – HKLM..Run: [SiSUSBRG] C:WINDOWSSiSUSBrg.exe
O4 – HKLM..Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 – HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSSystem32NvCpl.dll,NvStartup
O4 – HKLM..Run: [nwiz] nwiz.exe /install
O4 – HKLM..Run: [avast!] C:PROGRA~1ALWILS~1Avast4ashDisp.exe
O4 – HKLM..Run: [CloneCDElbyCDFL] "C:Program FilesElaborate BytesCloneCDElbyCheck.exe" /L ElbyCDFL
O4 – HKLM..Run: [CloneCDTray] "C:Program FilesElaborate BytesCloneCDCloneCDTray.exe"
O4 – HKLM..Run: [DAEMON Tools–1033] "C:Program FilesD–Toolsdaemon.exe" –lang 1045
O4 – HKLM..Run: [Resume copy] copyfstq.exe /startup
O4 – HKLM..Run: [NeroFilterCheck] C:WINDOWSsystem32NeroCheck.exe
O4 – HKLM..Run: [TrojanScanner] C:Program FilesTrojan RemoverTrjscan.exe
O4 – HKCU..Run: [CTFMON.EXE] C:WINDOWSSystem32ctfmon.exe
O4 – HKCU..Run: [IncrediMail] C:PROGRA~1INCRED~1inIncMail.exe /c
O4 – HKCU..Run: [Gadu–Gadu] "C:Program FilesGadu–Gadugg.exe" /tray
O8 – Extra context menu item: &Add animation to IncrediMail Style Box – C:PROGRA~1INCRED~1in esourcesWebMenuImg.htm
O8 – Extra context menu item: Download ALL with IDA – C:Program FilesIDAidaieall.htm
O8 – Extra context menu item: Download with IDA – C:Program FilesIDAidaie.htm
O8 – Extra context menu item: Pobierz z &BitSpirit – C:Program FilesBitSpiritsurl.htm
O8 – Extra context menu item: Pobierz z &BitSpirit
– C:Program FilesBitSpiritsurl.htm
O9 – Extra button: Internet Download Accelerator – {9819CC0E–9669–4D01–9CD7–2C66DA43AC6C} – C:Program FilesIDAida.exe
O9 – Extra 'Tools' menuitem: &Internet Download Accelerator – {9819CC0E–9669–4D01–9CD7–2C66DA43AC6C} – C:Program FilesIDAida.exe
O12 – Plugin for .spop: C:Program FilesInternet ExplorerPluginsNPDocBox.dll
O23 – Service: avast! iAVS4 Control Service – Unknown – C:Program FilesAlwil SoftwareAvast4aswUpdSv.exe
O23 – Service: avast! Antivirus – Unknown – C:Program FilesAlwil SoftwareAvast4ashServ.exe
O23 – Service: avast! Mail Scanner – ALWIL Software – C:Program FilesAlwil SoftwareAvast4ashMaiSv.exe
O23 – Service: LexBce Server – Lexmark International, Inc. – C:WINDOWSsystem32LEXBCES.EXE
O23 – Service: NVIDIA Display Driver Service – NVIDIA Corporation – C:WINDOWSSystem32 vsvc32.exe


Z góry dzięki i pozdrawiam......
marex1011
Dodano
05.02.2005 13:35:26
Witam ponownie.
Zrobiłem tak jak radziliście i ........narazie wszystko w porządku.
Wielkie dzięki dla Pawko i Bobi_robert i pozdrawiam.
marex1011
Dodano
03.02.2005 21:34:57
Witam ponownie.
Zrobiłem tak jak radziliście i ........narazie wszystko w porządku.
Wielkie dzięki dla Pawko i Bobi_robert i pozdrawiam.
marex1011
Dodano
03.02.2005 21:34:57
R3, 03 fix w HJT owszem

Pawko zgubiłes albo analizator zgubił trojana CWS, to ten wpis:
O2 – BHO: Local Spool Net support DLL – {41943050–65CC–454B–81E4–9C8A9D7CBAEA} – C:WINDOWSSystem32localsplnet.dll

Oczywiscie plik do wywalenia zanim sciagnie sobie kolegow
Wyrejestrwac tez mozna by
Plikow znalezionych przez Avasta tez sie pozbadz

Co do poczty nie nie da sie zwiekszyć czasu oczekiwania ??
Bobi
Dodano
03.02.2005 16:02:22
marex1011
Dodano:
03.02.2005 15:28:33
Komentarzy:
8
Strona 1 / 1