Spybot [Problem]
Od kilku dni za kaźdym razem jak skanuje pojawia mi się ten sam wpis i mimo źe go wywalam to przy następnym skanie znowu się pojawia.Jak się go pozbyć na stałe.Bardzo proszę o pomoc.
Odpowiedzi: 20
EL NINO:
A to ?
http://securityresponse.symantec.com/avcenter/venc/data/backdoor.graybird.q.html
http://securityresponse.symantec.com/avcenter/venc/data/backdoor.graybird.p.html
http://securityresponse.symantec.com/avcenter/venc/data/backdoor.graybird.m.html
Lub
http://www.megasecurity.org/trojans/g/gadugaduhijacker/Gadugaduhijacker2.1.html
http://www.megasecurity.org/trojans/t/terror/Terror1.0.html
P.S. Przy okazji dowiedzialem sie, ze Spysweeper powinien sobie poradzic :wink: .
To jest ciekawe,ale jak luź wcześniej wspominałem nie bardzo znam angielski i nie bardz wiem jak się za to zabrać :oops: :oops:
Zaczyna mi powoli brakować koncepcji. Ale spróbuj jeszcze zrobić tak:
1. Ściągasz Autoruns
2. Rozpakowujesz go gdzieś np do c:\auto\
3. Uruchamiasz wiersz polecenia i przechodzisz do tego katalogu gdzie rozpakowałeś Autoruns
4. Wydajesz polecenieautorunsc –a >> c:\st.txt
5. Pakujesz plik c:\st.txt i załączasz do posta.
Jak mam to zrobić.Wpisuje tak jak mi napisałeś i wyskakuje coś takiego:
A to ?
http://securityresponse.symantec.com/avcenter/venc/data/backdoor.graybird.q.html
http://securityresponse.symantec.com/avcenter/venc/data/backdoor.graybird.p.html
http://securityresponse.symantec.com/avcenter/venc/data/backdoor.graybird.m.html
Lub
http://www.megasecurity.org/trojans/g/gadugaduhijacker/Gadugaduhijacker2.1.html
http://www.megasecurity.org/trojans/t/terror/Terror1.0.html
P.S. Przy okazji dowiedzialem sie, ze Spysweeper powinien sobie poradzic :wink: .
http://securityresponse.symantec.com/avcenter/venc/data/backdoor.graybird.q.html
http://securityresponse.symantec.com/avcenter/venc/data/backdoor.graybird.p.html
http://securityresponse.symantec.com/avcenter/venc/data/backdoor.graybird.m.html
Lub
http://www.megasecurity.org/trojans/g/gadugaduhijacker/Gadugaduhijacker2.1.html
http://www.megasecurity.org/trojans/t/terror/Terror1.0.html
P.S. Przy okazji dowiedzialem sie, ze Spysweeper powinien sobie poradzic :wink: .
Zaczyna mi powoli brakować koncepcji. Ale spróbuj jeszcze zrobić tak:
1. Ściągasz Autoruns
2. Rozpakowujesz go gdzieś np do c:\auto\
3. Uruchamiasz wiersz polecenia i przechodzisz do tego katalogu gdzie rozpakowałeś Autoruns
4. Wydajesz polecenie
5. Pakujesz plik c:\st.txt i załączasz do posta.
1. Ściągasz Autoruns
2. Rozpakowujesz go gdzieś np do c:\auto\
3. Uruchamiasz wiersz polecenia i przechodzisz do tego katalogu gdzie rozpakowałeś Autoruns
4. Wydajesz polecenie
autorunsc –a >> c:\st.txt
5. Pakujesz plik c:\st.txt i załączasz do posta.
Robie to tak:
Po restarcie tego pliku regmon.log nie ma w katalogu Windows..Szukałem wyszukiwarką ale nie znalazła.
Po restarcie tego pliku regmon.log nie ma w katalogu Windows..Szukałem wyszukiwarką ale nie znalazła.
Coś nie tak zrobiłeś – zajrzyj jeszcze raz do katalogu Windowsa – chodzi o plik regmon.log a nie o regmonnt.log (przynajmniej u mnie). Ten plik u mnie (właśnie sprawdziłem) ma duuuźo więcej niź u Ciebie (ok 32 MB).
Nie, ten plik wylatuje teź. Wpisy w rejestrze są bo nie wykasowaleś czy dalej powracają ??
Wpisy przed restartem wkasowałem,po restarci wracają.
Ściągnij sobie RegMon – ustaw mu filtr (options –> filter/highlight –> include –> mchInjDrv) na mchInjDrv i kaź uruchamiać sie razem z systemem (Options –> Log Boot) i zrestartuj system. Program poda Ci gdzie zapisze loga (standardowo %windir%\RegMon.log – log będzie zapisywany do czasu az uruchomisz ponownie regmona). Tego loga spakuj i załącz do posta. Moźe sie uda zobaczyć jaki plik próbuje się dostać do rejestru, do tego klucza.
Nie wiem czy dobrze zrobiłem ale działałe zgodnie z twoimi wskzówkami.Niestety w C:\Windows\,niemam pliku REGMONT.LOG.Włączyłem jeszcze raz ten program i zapisałem co tam było,choć nie wiem czy o to chodziło.
Nie czytałem calego wątku, ale nie zapomnij wyłączyć przywarcania systemu.
Mam wyłączone.
Nie czytałem calego wątku, ale nie zapomnij wyłączyć przywarcania systemu.
Nie, ten plik wylatuje teź. Wpisy w rejestrze są bo nie wykasowaleś czy dalej powracają ??
Wpisy przed restartem wkasowałem,po restarci wracają.
Ściągnij sobie RegMon – ustaw mu filtr (options –> filter/highlight –> include –> mchInjDrv) na mchInjDrv i kaź uruchamiać sie razem z systemem (Options –> Log Boot) i zrestartuj system. Program poda Ci gdzie zapisze loga (standardowo %windir%\RegMon.log – log będzie zapisywany do czasu az uruchomisz ponownie regmona). Tego loga spakuj i załącz do posta. Moźe sie uda zobaczyć jaki plik próbuje się dostać do rejestru, do tego klucza.
Nie, ten plik wylatuje teź. Wpisy w rejestrze są bo nie wykasowaleś czy dalej powracają ??
Wpisy przed restartem wkasowałem,po restarci wracają.
Nie, ten plik wylatuje teź. Wpisy w rejestrze są bo nie wykasowaleś czy dalej powracają ??
Zrobiłem dokładnie jak napisałeś ale po restarci wpisy w rejestrze nadal są.
A co z tym logiem ze
Scanning C:\*.*
C:\WINDOWS\SYSTEM32\Winupdatepatch.exe ... Found trojan or variant New Malware.j !!!
Please send a copy of the file to McAfee
czy jest wporządku.
A co z tym logiem ze
a konkretnie a tym wpisem :Scanning C: [WIN XP SP2]Skanera McAfee Anti–Virus
Scanning C:\*.*
C:\WINDOWS\SYSTEM32\Winupdatepatch.exe ... Found trojan or variant New Malware.j !!!
Please send a copy of the file to McAfee
czy jest wporządku.
Zacznam wątpić czy plików o których wszędzie piszą nie ma ... Bo wpisy muszą skądś powracać ... Plików szukałeś mając nakazane pokazywanie ukrytych plików i folderów oraz pokazywanie plików chronionych przez system ?? Przywracanie systemu wyłączone miałeś ??
Odpal tego KillBoxa, zaznacz "Delete on reboot" i powklejaj mu ścieźki kaźdą potwierdzając czerwonym krzyźykiem:
Komputer zrestartujesz dopiero po ostatniej wklejonej ścieźce. Dodatkowo wyczyść zawartość katalogu c:\windows\temp
Odpal tego KillBoxa, zaznacz "Delete on reboot" i powklejaj mu ścieźki kaźdą potwierdzając czerwonym krzyźykiem:
c:\windows\mshost.exe
c:\windows\xpcore.dll
c:\windows\icc.dll
c:\windows\iccontrol.exe
c:\windows\madchook.dll
Komputer zrestartujesz dopiero po ostatniej wklejonej ścieźce. Dodatkowo wyczyść zawartość katalogu c:\windows\temp
Bardzo proszę o pomoc. :oops:
I jeszcze jeden log zrobiony skanerem Skaner McAfee Anti–Virus 2005–12–15:
McAfee VirusScan for Win32 v4.40.0
Copyright (c) 1992–2004 Networks Associates Technology Inc. All rights reserved.
(408) 988–3832 LICENSED COPY – Sep 23 2004
Scan engine v4.4.00 for Win32.
Virus data file v4651 created Dec 15 2005
Scanning for 166126 viruses, trojans and variants.
12/16/2005 10:47:55
Options:
/ADL /ALL /ANALYSE /CLEAN /MAILBOX /MIME /NOEXPIRE /NORENAME /PANALYSE /PROGRAM /REPORT C:\MCAFEE.TXT /STREAMS /SUB /UNZIP /WINMEM
Scanning C: [WIN XP SP2]
Scanning C:\*.*
C:\WINDOWS\SYSTEM32\Winupdatepatch.exe ... Found trojan or variant New Malware.j !!!
Please send a copy of the file to McAfee
Summary report on C:\*.*
File(s)
Total files: ........... 97740
Clean: ................. 97391
Possibly Infected: ..... 1
Cleaned: ............... 0
Non–critical Error(s): 2
Master Boot Record(s): ......... 2
Possibly Infected: ..... 0
Boot Sector(s): ................ 1
Possibly Infected: ..... 0
Scanning F: [PROG I GRY]
Scanning F:\*.*
Summary report on F:\*.*
File(s)
Total files: ........... 80085
Clean: ................. 75948
Possibly Infected: ..... 0
Cleaned: ............... 0
Non–critical Error(s): 2
Master Boot Record(s): ......... 2
Possibly Infected: ..... 0
Boot Sector(s): ................ 1
Possibly Infected: ..... 0
Scanning G: [RӯNE]
Scanning G:\*.*
Summary report on G:\*.*
File(s)
Total files: ........... 810
Clean: ................. 718
Possibly Infected: ..... 0
Cleaned: ............... 0
Non–critical Error(s): 1
Master Boot Record(s): ......... 2
Possibly Infected: ..... 0
Boot Sector(s): ................ 1
Possibly Infected: ..... 0
Scanning H: [TATA]
Scanning H:\*.*
Summary report on H:\*.*
File(s)
Total files: ........... 20764
Clean: ................. 20728
Possibly Infected: ..... 0
Cleaned: ............... 0
Non–critical Error(s): 2
Master Boot Record(s): ......... 2
Possibly Infected: ..... 0
Boot Sector(s): ................ 1
Possibly Infected: ..... 0
Time: 00:57.09
McAfee VirusScan for Win32 v4.40.0
Copyright (c) 1992–2004 Networks Associates Technology Inc. All rights reserved.
(408) 988–3832 LICENSED COPY – Sep 23 2004
Scan engine v4.4.00 for Win32.
Virus data file v4651 created Dec 15 2005
Scanning for 166126 viruses, trojans and variants.
12/16/2005 10:47:55
Options:
/ADL /ALL /ANALYSE /CLEAN /MAILBOX /MIME /NOEXPIRE /NORENAME /PANALYSE /PROGRAM /REPORT C:\MCAFEE.TXT /STREAMS /SUB /UNZIP /WINMEM
Scanning C: [WIN XP SP2]
Scanning C:\*.*
C:\WINDOWS\SYSTEM32\Winupdatepatch.exe ... Found trojan or variant New Malware.j !!!
Please send a copy of the file to McAfee
Summary report on C:\*.*
File(s)
Total files: ........... 97740
Clean: ................. 97391
Possibly Infected: ..... 1
Cleaned: ............... 0
Non–critical Error(s): 2
Master Boot Record(s): ......... 2
Possibly Infected: ..... 0
Boot Sector(s): ................ 1
Possibly Infected: ..... 0
Scanning F: [PROG I GRY]
Scanning F:\*.*
Summary report on F:\*.*
File(s)
Total files: ........... 80085
Clean: ................. 75948
Possibly Infected: ..... 0
Cleaned: ............... 0
Non–critical Error(s): 2
Master Boot Record(s): ......... 2
Possibly Infected: ..... 0
Boot Sector(s): ................ 1
Possibly Infected: ..... 0
Scanning G: [RӯNE]
Scanning G:\*.*
Summary report on G:\*.*
File(s)
Total files: ........... 810
Clean: ................. 718
Possibly Infected: ..... 0
Cleaned: ............... 0
Non–critical Error(s): 1
Master Boot Record(s): ......... 2
Possibly Infected: ..... 0
Boot Sector(s): ................ 1
Possibly Infected: ..... 0
Scanning H: [TATA]
Scanning H:\*.*
Summary report on H:\*.*
File(s)
Total files: ........... 20764
Clean: ................. 20728
Possibly Infected: ..... 0
Cleaned: ............... 0
Non–critical Error(s): 2
Master Boot Record(s): ......... 2
Possibly Infected: ..... 0
Boot Sector(s): ................ 1
Possibly Infected: ..... 0
Time: 00:57.09
Wszystko pięknie wywaliłem i o.k,ale po restarcie wszystko wruciło na swoje miejsce.Podczas szukania byłem zalogowany na swoim koncie nie na Administratora.
A to jest log z dzisiaj rano pod kątem "mchInjDrv" [Regsrech]:
A to jest log z dzisiaj rano pod kątem "mchInjDrv" [Regsrech]:
REGEDIT4
; RegSrch.vbs Bill James
; Registry search results for string "mchInjDrv" 2005–12–16 06:42:17
; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MCHINJDRV]
W
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MCHINJDRV\0000]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MCHINJDRV\0000]
"Service"="mchInjDrv"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MCHINJDRV\0000]
"DeviceDesc"="mchInjDrv"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MCHINJDRV\0000\Control]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MCHINJDRV\0000\Control]
"ActiveService"="mchInjDrv"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\mchInjDrv]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\mchInjDrv\Enum]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\mchInjDrv\Enum]
"0"="Root\\LEGACY_MCHINJDRV\\0000"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MCHINJDRV]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MCHINJDRV\0000]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MCHINJDRV\0000]
"Service"="mchInjDrv"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MCHINJDRV\0000]
"DeviceDesc"="mchInjDrv"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\mchInjDrv]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MCHINJDRV]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MCHINJDRV\0000]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MCHINJDRV\0000]
"Service"="mchInjDrv"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MCHINJDRV\0000]
"DeviceDesc"="mchInjDrv"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MCHINJDRV\0000\Control]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MCHINJDRV\0000\Control]
"ActiveService"="mchInjDrv"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mchInjDrv]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mchInjDrv\Enum]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mchInjDrv\Enum]
"0"="Root\\LEGACY_MCHINJDRV\\0000"
[HKEY_USERS\S–1–5–21–1004336348–838170752–839522115–1003\Software\Agent_EXE\Agent Ransack\RecentContains]
"2"="mchInjDrv"
[HKEY_USERS\S–1–5–21–1004336348–838170752–839522115–1003\Software\Agent_EXE\Agent Ransack\RecentFileName]
"1"="mchInjDrv"
[HKEY_USERS\S–1–5–21–1004336348–838170752–839522115–1003\Software\Agent_EXE\Agent Ransack\RecentFileName]
"5"="HKEY_LOCAL_MACHINE/SYSTEM/Enum/Root/LEGACY_MCHINJDRV/ "
A jaką masz pewność, źe Jaro podczas tego szukania właśnie na Adminie był zalogowany? :wink:
Tyle tylko, ze "Registry search results for string "mchInjDrv" nie znajduja nic w HKCU.
Z tym juz gorzej :P . Moze zastap go plikiem z Twojego profilu ?i w C:\Documents and Settings\Administrator\ntuser.dat
Nie lepiej zalogować się na to konto (Administrator) uruchomić spod niego regedit i zapewne z HKCU usunać klucze z mchInjDrv w nazwie?