rootkit.win32.agent.i
witam od paru dni mam ten wirus;/ nawet format nie pomogl
log z HJ:
Logfile of HijackThis v1.99.1
Scan saved at 17:13:15, on 2006–03–05
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Agnitum\Outpost Firewall\outpost.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Gadu–Gadu\gg.exe
C:\WINDOWS\regedit.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Outlook Express\msimn.exe
F:\HijackThis.exe
R0 – HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O3 – Toolbar: &Radio – {8E718888–423F–11D2–876E–00A0C9082467} – C:\WINDOWS\System32\msdxm.ocx
O4 – HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti–Virus Personal\kav.exe /minimize
O4 – HKLM\..\Run: [Outpost Firewall] C:\Program Files\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 – HKLM\..\Run: [OutpostFeedBack] C:\Program Files\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup
O4 – HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 – HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 – HKLM\..\RunServices: [Compaq Service Drivers] svhosts.exe
O4 – HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 – HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 – HKCU\..\Run: [Gadu–Gadu] "C:\Program Files\Gadu–Gadu\gg.exe" /tray
O4 – HKCU\..\RunServices: [Compaq Service Drivers] svhosts.exe
O9 – Extra button: Outpost Firewall Pro Quick Tune – {44627E97–789B–40d4–B5C2–58BD171129A1} – C:\Program Files\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
O9 – Extra button: Related – {c95fe080–8f5d–11d2–a20b–00aa003c157a} – C:\WINDOWS\web\related.htm
O9 – Extra 'Tools' menuitem: Show &Related Links – {c95fe080–8f5d–11d2–a20b–00aa003c157a} – C:\WINDOWS\web\related.htm
O20 – AppInit_DLLs: C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll
O23 – Service: Ati HotKey Poller – Unknown owner – C:\WINDOWS\System32\Ati2evxx.exe
O23 – Service: ATI Smart – Unknown owner – C:\WINDOWS\system32\ati2sgag.exe
O23 – Service: kavsvc – Kaspersky Lab – C:\Program Files\Kaspersky Lab\Kaspersky Anti–Virus Personal\kavsvc.exe
O23 – Service: Outpost Firewall Service (OutpostFirewall) – Agnitum Ltd. – C:\Program Files\Agnitum\Outpost Firewall\outpost.exe
log z HJ:
Logfile of HijackThis v1.99.1
Scan saved at 17:13:15, on 2006–03–05
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Agnitum\Outpost Firewall\outpost.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Gadu–Gadu\gg.exe
C:\WINDOWS\regedit.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Outlook Express\msimn.exe
F:\HijackThis.exe
R0 – HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O3 – Toolbar: &Radio – {8E718888–423F–11D2–876E–00A0C9082467} – C:\WINDOWS\System32\msdxm.ocx
O4 – HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti–Virus Personal\kav.exe /minimize
O4 – HKLM\..\Run: [Outpost Firewall] C:\Program Files\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 – HKLM\..\Run: [OutpostFeedBack] C:\Program Files\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup
O4 – HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 – HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 – HKLM\..\RunServices: [Compaq Service Drivers] svhosts.exe
O4 – HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 – HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 – HKCU\..\Run: [Gadu–Gadu] "C:\Program Files\Gadu–Gadu\gg.exe" /tray
O4 – HKCU\..\RunServices: [Compaq Service Drivers] svhosts.exe
O9 – Extra button: Outpost Firewall Pro Quick Tune – {44627E97–789B–40d4–B5C2–58BD171129A1} – C:\Program Files\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
O9 – Extra button: Related – {c95fe080–8f5d–11d2–a20b–00aa003c157a} – C:\WINDOWS\web\related.htm
O9 – Extra 'Tools' menuitem: Show &Related Links – {c95fe080–8f5d–11d2–a20b–00aa003c157a} – C:\WINDOWS\web\related.htm
O20 – AppInit_DLLs: C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll
O23 – Service: Ati HotKey Poller – Unknown owner – C:\WINDOWS\System32\Ati2evxx.exe
O23 – Service: ATI Smart – Unknown owner – C:\WINDOWS\system32\ati2sgag.exe
O23 – Service: kavsvc – Kaspersky Lab – C:\Program Files\Kaspersky Lab\Kaspersky Anti–Virus Personal\kavsvc.exe
O23 – Service: Outpost Firewall Service (OutpostFirewall) – Agnitum Ltd. – C:\Program Files\Agnitum\Outpost Firewall\outpost.exe
Odpowiedzi: 13
no dobra juz tego nie mam ale mam teraz inny problem jesli chce sie wyloguje i che zalogowac na inny profl to windows prosi o podanie chasla chociaz zadnego nie ustawialem dopiero po restracie jest normalnie
Ściągnij jeszcze ten program Gmer Uruchom go następnie zakładka Rootkit >>> Szukaj >>>po zakonczeniu Kopiuj. I wklej log na forum
wywalilem z dysku i rejestru svhosts.eze i nie moglem kompa wlaczyc;/ pojawialo sie okienko lsass.exe nie odnaleziono nazwy obiektu klikam ok i res kompa;/ a teraz wzielem ostatnie dzialajace ustawienia i komp ostro muli :(
Masz svhost.exe w kilku miejscach rejestru – wyszukaj recznie w rejestrze przez F3 "svhost" i usuwaj z kadego miejsca.
Plik widac w \system32 – usun rowniez. Byc moze trzeba bedzie go wylaczyc w menedzerze procesow, albo nawet w StartDrecku, skoro go masz pod reka – podswietl proces i nacisnij "Terminate".
Ponadto wywolaj Wiersz polecen – z Uruchom –> "cmd". Wpisz komende "tasklist" i zobacz co ma PID (numer) "1512" i "1752", oznaczone w logu jako "unknown".
Plik widac w \system32 – usun rowniez. Byc moze trzeba bedzie go wylaczyc w menedzerze procesow, albo nawet w StartDrecku, skoro go masz pod reka – podswietl proces i nacisnij "Terminate".
Ponadto wywolaj Wiersz polecen – z Uruchom –> "cmd". Wpisz komende "tasklist" i zobacz co ma PID (numer) "1512" i "1752", oznaczone w logu jako "unknown".
tak wylaczylem i usunal sie bez problemu
StartDreck (build 2.1.7 public stable) – 2006–03–05 @ 22:04:03 (GMT +01:00)
Platform: Windows XP (Win NT 5.1.2600 )
Internet Explorer: 6.0.2600.0000
Logged in as Marcin at UNKNOWN
Registry
Run Keys
Current User
Run
*CTFMON.EXE=C:\WINDOWS\System32\ctfmon.exe
*MSMSGS="C:\Program Files\Messenger\msmsgs.exe" /background
*Gadu–Gadu="C:\Program Files\Gadu–Gadu\gg.exe" /tray
RunOnce
Default User
Run
*CTFMON.EXE=C:\WINDOWS\System32\CTFMON.EXE
*Compaq Service Drivers=svhosts.exe
RunOnce
Local Machine
Run
*KAVPersonal50=C:\Program Files\Kaspersky Lab\Kaspersky Anti–Virus Personal\kav.exe /minimize
*Outpost Firewall=C:\Program Files\Agnitum\Outpost Firewall\outpost.exe /waitservice
*OutpostFeedBack=C:\Program Files\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup
*ATIPTA=C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
*MSConfig=C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
*Compaq Service Drivers=svhosts.exe
+OptionalComponents
+MSFS
*Installed=1
+MAPI
*Installed=1
*NoChange=1
+MAPI
*Installed=1
*NoChange=1
RunOnce
RunServices
*Compaq Service Drivers=svhosts.exe
RunServicesOnce
RunOnceEx
RunServicesOnceEx
Files
System/Drivers
Running Processes
+0=
+4=
+512=\SystemRoot\System32\smss.exe
+576=\??\C:\WINDOWS\system32\csrss.exe
+600=\??\C:\WINDOWS\system32\winlogon.exe
+644=C:\WINDOWS\system32\services.exe
+656=C:\WINDOWS\system32\lsass.exe
+820=C:\WINDOWS\System32\Ati2evxx.exe
+848=C:\WINDOWS\system32\svchost.exe
+904=C:\WINDOWS\System32\svchost.exe
+1024=C:\WINDOWS\System32\svchost.exe
+1036=C:\WINDOWS\System32\svchost.exe
+1140=C:\WINDOWS\system32\spoolsv.exe
+1512=
+1564=C:\WINDOWS\system32\Ati2evxx.exe
+1616=C:\WINDOWS\Explorer.EXE
+1652=C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
+1752=
+1772=C:\Program Files\Agnitum\Outpost Firewall\outpost.exe
+1872=C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
+1904=C:\WINDOWS\System32\ctfmon.exe
+1936=C:\Program Files\Messenger\msmsgs.exe
+1944=C:\Program Files\Gadu–Gadu\gg.exe
+348=C:\WINDOWS\system32\cmd.exe
+1248=C:\WINDOWS\System32\svhosts.exe
+232=C:\Program Files\Mozilla Firefox\firefox.exe
+296=D:\dc\DCPlusPlus.exe
+1352=C:\Documents and Settings\Marcin\Pulpit\startdreck217\StartDreck.exe
Application specific
StartDreck (build 2.1.7 public stable) – 2006–03–05 @ 22:04:03 (GMT +01:00)
Platform: Windows XP (Win NT 5.1.2600 )
Internet Explorer: 6.0.2600.0000
Logged in as Marcin at UNKNOWN
Registry
Run Keys
Current User
Run
*CTFMON.EXE=C:\WINDOWS\System32\ctfmon.exe
*MSMSGS="C:\Program Files\Messenger\msmsgs.exe" /background
*Gadu–Gadu="C:\Program Files\Gadu–Gadu\gg.exe" /tray
RunOnce
Default User
Run
*CTFMON.EXE=C:\WINDOWS\System32\CTFMON.EXE
*Compaq Service Drivers=svhosts.exe
RunOnce
Local Machine
Run
*KAVPersonal50=C:\Program Files\Kaspersky Lab\Kaspersky Anti–Virus Personal\kav.exe /minimize
*Outpost Firewall=C:\Program Files\Agnitum\Outpost Firewall\outpost.exe /waitservice
*OutpostFeedBack=C:\Program Files\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup
*ATIPTA=C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
*MSConfig=C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
*Compaq Service Drivers=svhosts.exe
+OptionalComponents
+MSFS
*Installed=1
+MAPI
*Installed=1
*NoChange=1
+MAPI
*Installed=1
*NoChange=1
RunOnce
RunServices
*Compaq Service Drivers=svhosts.exe
RunServicesOnce
RunOnceEx
RunServicesOnceEx
Files
System/Drivers
Running Processes
+0=
+4=
+512=\SystemRoot\System32\smss.exe
+576=\??\C:\WINDOWS\system32\csrss.exe
+600=\??\C:\WINDOWS\system32\winlogon.exe
+644=C:\WINDOWS\system32\services.exe
+656=C:\WINDOWS\system32\lsass.exe
+820=C:\WINDOWS\System32\Ati2evxx.exe
+848=C:\WINDOWS\system32\svchost.exe
+904=C:\WINDOWS\System32\svchost.exe
+1024=C:\WINDOWS\System32\svchost.exe
+1036=C:\WINDOWS\System32\svchost.exe
+1140=C:\WINDOWS\system32\spoolsv.exe
+1512=
+1564=C:\WINDOWS\system32\Ati2evxx.exe
+1616=C:\WINDOWS\Explorer.EXE
+1652=C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
+1752=
+1772=C:\Program Files\Agnitum\Outpost Firewall\outpost.exe
+1872=C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
+1904=C:\WINDOWS\System32\ctfmon.exe
+1936=C:\Program Files\Messenger\msmsgs.exe
+1944=C:\Program Files\Gadu–Gadu\gg.exe
+348=C:\WINDOWS\system32\cmd.exe
+1248=C:\WINDOWS\System32\svhosts.exe
+232=C:\Program Files\Mozilla Firefox\firefox.exe
+296=D:\dc\DCPlusPlus.exe
+1352=C:\Documents and Settings\Marcin\Pulpit\startdreck217\StartDreck.exe
Application specific
Przywracanie wylaczyles ? Plik usunal sie bez problemu ?
Sciagnij StartDreck, "zainstaluj", otworz, nacisnij "Config", kliknij "Unmark all", w kolumnie Registry zaznacz "run keys", w kolumnie System/Drivers zaznacz "running process" –> OK.
Zapisz log –> SAVE. Wklej do posta.
Sciagnij StartDreck, "zainstaluj", otworz, nacisnij "Config", kliknij "Unmark all", w kolumnie Registry zaznacz "run keys", w kolumnie System/Drivers zaznacz "running process" –> OK.
Zapisz log –> SAVE. Wklej do posta.
tak i po kazdym wlaczeniu kompa znow tam jest ;/
Znalazles plik na dysku i usunales ?
ma ktos pomysl jak to usunac;/?
dzieki juz usunelem :)
Edit:
jednak nie;/ po paru minutach znow jest ;/
Edit:
jednak nie;/ po paru minutach znow jest ;/
Eeee tam. Masz pewnie jakis zainfekowany program lub cracka.unknow:
nawet format nie pomogl
Odpala Ci sie falszywa usluga:
O4 – HKLM\..\RunServices: [Compaq Service Drivers] svhosts.exe
W HiJacku, w Misc tools masz narzedzie do usuwania uslug (services). Skorzystaj.
czy robiłeś tak :!:
:arrow: format
:arrow: instalacjia systemu, przy wyłączonym kablu sieciowym
:arrow: włączenie Firwalla
:arrow: instalacja SP2
:arrow: instalacja antywirusa
podłanczasz kabel sieciowy i komp smiga jak ta Lala ;)
dokladnie zrobilem tak : wyjalem kabel od neta restart kompa format c:\ instaluje windows potem kaspersky i outpost sp2 podlaczam kabel i po okolo 30s kaspersky wykrywa tego wirusa;/ aha i jeszce wyswietla mi sie takie okienko przy zalogowaniu sie http://img236.imageshack.us/img236/6314/rootkit9cw.jpg
czy robiłeś tak :!:
:arrow: format
:arrow: instalacjia systemu, przy wyłączonym kablu sieciowym
:arrow: włączenie Firwalla
:arrow: instalacja SP2
:arrow: instalacja antywirusa
podłanczasz kabel sieciowy i komp smiga jak ta Lala ;)
:arrow: format
:arrow: instalacjia systemu, przy wyłączonym kablu sieciowym
:arrow: włączenie Firwalla
:arrow: instalacja SP2
:arrow: instalacja antywirusa
podłanczasz kabel sieciowy i komp smiga jak ta Lala ;)
Strona 1 / 1