sprawdzenie loga i proces winlogon
Logfile of HijackThis v1.99.1
Scan saved at 11:31:59, on 2005–12–29
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Spybot – Search & Destroy\SpybotSD.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wscntfy.exe
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 – HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 – HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 – HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
F2 – REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\
O2 – BHO: AcroIEHlprObj Class – {06849E9F–C8D7–4D59–B87D–784B7D6BE0B3} – C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 – BHO: (no name) – {53707962–6F74–2D53–2644–206D7942484F} – C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 – BHO: SSVHelper Class – {761497BB–D6F0–462C–B6EB–D4DAF1D92D43} – C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 – BHO: IeCatch2 Class – {A5366673–E8CA–11D3–9CD9–0090271D075B} – C:\PROGRA~1\FlashGet\jccatch.dll
O4 – HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O8 – Extra context menu item: E&ksport do programu Microsoft Excel – res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 – Extra context menu item: Ściągnij przy pomocy FlashGet'a – C:\Program Files\FlashGet\jc_link.htm
O8 – Extra context menu item: Ściągnij wszystko przy pomocy FlashGet'a – C:\Program Files\FlashGet\jc_all.htm
O9 – Extra button: (no name) – {08B0E5C0–4FCB–11CF–AAA5–00401C608501} – C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 – Extra 'Tools' menuitem: Sun Java Console – {08B0E5C0–4FCB–11CF–AAA5–00401C608501} – C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 – Extra button: FlashGet – {D6E814A0–E0C5–11d4–8D29–0050BA6940E3} – C:\PROGRA~1\FlashGet\flashget.exe
O9 – Extra 'Tools' menuitem: &FlashGet – {D6E814A0–E0C5–11d4–8D29–0050BA6940E3} – C:\PROGRA~1\FlashGet\flashget.exe
O15 – Trusted Zone: http://arcaonline.arcabit.com
O16 – DPF: {0EB0E74A–2A76–4AB3–A7FB–9BD8C29F7F75} (CKAVWebScan Object) – http://www.kaspersky.pl/resources/virusscanner/kavwebscan_unicode.cab
O16 – DPF: {3D8700FB–86A4–4CB4–B738–6F0FC016AC7D} (MainControl Class) – http://arcaonline.arcabit.com/ArcaOnline.cab
O16 – DPF: {6414512B–B978–451D–A0D8–FCFDF33E833C} (WUWebControl Class) – http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1133698256984
O16 – DPF: {6E32070A–766D–4EE6–879C–DC1FA91D2FC3} (MUWebControl Class) – http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1133698225062
O16 – DPF: {9A9307A0–7DA4–4DAF–B042–5009F29E09E1} (ActiveScan Installer Class) – http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O23 – Service: avast! iAVS4 Control Service (aswUpdSv) – Unknown owner – C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 – Service: avast! Antivirus – Unknown owner – C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 – Service: avast! Mail Scanner – Unknown owner – C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 – Service: avast! Web Scanner – Unknown owner – C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 – Service: Sunbelt Kerio Personal Firewall 4 (KPF4) – Sunbelt Software – C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe
Prosze sprawdźcie ten log. Proces winlogon jest zaraźony (bo wysyła mi maile na róźne dziwne adresy) ale hijack nic takiego nie pokazuje. Natomiast spy bot pokazuje procesy które ładują się za pośrednictwe winlogona, i są to :
crypt32.dll
cryptnet.dll
cscdll.dll
wlnotify.dll (5 razy)
WINotify.dll
Odpowiedzi: 10
Uźyłem programu Process Explorer w winlogon zabiłem wszystkie moduły kernel32.dll (było ich ok 8) i maile przestały się wysyłać.
Bardzo istotna, to główna systemowa biblioteka.
Ciekaw jestem jak do tego doszedłeś, ale skoro tak myslisz to w konsoli odzyskiwnia podmien ją poleceniem expand, składnia na forum lub w helpie.
Walnij w uruchom: cmd /c tasklist /m > Pulpit\tasklist.txt
Pokaź zawartość tego pliku tekstowego.
Ciekaw jestem jak do tego doszedłeś, ale skoro tak myslisz to w konsoli odzyskiwnia podmien ją poleceniem expand, składnia na forum lub w helpie.
Walnij w uruchom: cmd /c tasklist /m > Pulpit\tasklist.txt
Pokaź zawartość tego pliku tekstowego.
ok znalazłem problem:
zawirusowana jest biblioteka krenel32.dll
źaden z AV nic nie wykrył ale jestem 100% pewny źe chodzi o tą bibilioteke i teraz ma pytanie jak bardzo istony jest ten plik?
zawirusowana jest biblioteka krenel32.dll
źaden z AV nic nie wykrył ale jestem 100% pewny źe chodzi o tą bibilioteke i teraz ma pytanie jak bardzo istony jest ten plik?
no i 2 logi
Mam avasta który skanuje pocztę i pokazuje mi proces, adres itd.
about:blank sam to utawiłem bo wcześniej miałem zmienionąstrone prze vira a nie uźywam IE
w shellu juź zmieniłem
a winlogon dalej wysyła maile
zaraz zrobie skany tymi programami i dam wyniki
about:blank sam to utawiłem bo wcześniej miałem zmienionąstrone prze vira a nie uźywam IE
w shellu juź zmieniłem
a winlogon dalej wysyła maile
zaraz zrobie skany tymi programami i dam wyniki
W Shellu ma zostac tylko Explorer.exe
W logu usuń jeszcze te about:blank
Biblioteki winlogona wygladają normalnie, sciagnij sobie program Process Explorer i zrób z jego pomocą log obrazujacy podczepione biblioteki.
Skąd wiesz, ze winlogon jest zakaźony i na dodatek wysyła maile?
Chętnie bym zobaczyl co Silent Runners pokaze.
W logu usuń jeszcze te about:blank
Biblioteki winlogona wygladają normalnie, sciagnij sobie program Process Explorer i zrób z jego pomocą log obrazujacy podczepione biblioteki.
Skąd wiesz, ze winlogon jest zakaźony i na dodatek wysyła maile?
Chętnie bym zobaczyl co Silent Runners pokaze.
A to F2? Dziwnie wygląda linijka Shella, tam nie powinien być sam explorer.exe?
1 w pliku host miałem wszystko ok
2 nie będe wyrzucał skanera AV (sprawdzona aplikacja)
problem nadal istnieje
2 nie będe wyrzucał skanera AV (sprawdzona aplikacja)
problem nadal istnieje
Wpisów 023 nie usuwaj, gdyź – avast! Web Scanner
wywal to mi pomoglo
wejdz do katalogu:
C:\Windows\system32\drivers\etc
otworz plik o nazwie hosts i usun wszystkie adresy tak aby zostala tylko linijka
127.0.0.1 localhost
( wszystko co jest pod tym adresem usuwasz).
powinno pomoc.
O23 – Service: avast! Mail Scanner – Unknown owner – C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 – Service: avast! Web Scanner – Unknown owner – C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
wejdz do katalogu:
C:\Windows\system32\drivers\etc
otworz plik o nazwie hosts i usun wszystkie adresy tak aby zostala tylko linijka
127.0.0.1 localhost
( wszystko co jest pod tym adresem usuwasz).
powinno pomoc.
Strona 1 / 1