Niestety mój komputer został zainfekowany jakimś wirusem!
maciek11 - 07 Sty 2007 17:59
Niestety mój komputer został zainfekowany jakimś wirusem i nie wiem jak go usunąć.
Pobiera on cały czas jakieś pliki z sieci. Wydaje mi się że jest to jakiś trojan downloader albo coś takiego.
Sprawdzałem dyski programami:
Ad-Aware, Spyware Dostor, oraz CA Anti-Virus.
Jeśli chodzi o system operacyjny to jest to WinXP prof.
Zamieszczam loga z Hijacka i proszę o POMOC!
Logfile of HijackThis v1.99.1
Scan saved at 16:54:48, on 2007-01-07
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programy\CA Internet Security Suite\CA Anti-Virus\ISafe.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programy\Spyware Doctor\sdhelp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programy\CA Internet Security Suite\CA Anti-Virus\VetMsg.exe
C:\Programy\Netia\Dragdiag.exe
C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programy\DAEMON Tools\daemon.exe
C:\Programy\CA Internet Security Suite\cctray\cctray.exe
C:\Programy\CA Internet Security Suite\CA Anti-Virus\CAVRID.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programy\Spyware Doctor\swdoctor.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
C:\Programy\Avant Browser\avant.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Documents and Settings\Administrator\Pulpit\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.bearshare.com/pl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programy\Acrobat Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: My Global Search Bar BHO - {37B85A21-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O3 - Toolbar: My Global Search Bar - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programy\Netia\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [NVMixerTray] "C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programy\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [cctray] "C:\Programy\CA Internet Security Suite\cctray\cctray.exe"
O4 - HKLM\..\Run: [CAVRID] "C:\Programy\CA Internet Security Suite\CA Anti-Virus\CAVRID.exe"
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Komunikator] C:\Programy\Tlen.pl\tlen.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programy\Spyware Doctor\swdoctor.exe" /Q
O8 - Extra context menu item: Blokuj wszystkie obrazy z tego serwera - C:\Programy\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Dodaj do listy blokowanych reklam - C:\Programy\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\Programy\OfficeXP\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Otwórz w nowym Avant Browser - C:\Programy\Avant Browser\OpenInNewBrowser.htm
O8 - Extra context menu item: Otwórz wszystkie adresy z tej strony... - C:\Programy\Avant Browser\OpenAllLinks.htm
O8 - Extra context menu item: Podświetl - C:\Programy\Avant Browser\Highlight.htm
O8 - Extra context menu item: Szukaj - C:\Programy\Avant Browser\Search.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O14 - IERESET.INF: START_PAGE_URL=about:blank
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B09C5D0C-E0CA-41DC-B854-4A441C5A8681}: NameServer = 192.168.63.80
O17 - HKLM\System\CCS\Services\Tcpip\..\{E5A232D5-5296-49CB-83F9-314BC77731DC}: NameServer = 213.241.79.37 195.114.181.130
O23 - Service: CAISafe - Computer Associates International, Inc. - C:\Programy\CA Internet Security Suite\CA Anti-Virus\ISafe.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programy\Spyware Doctor\sdhelp.exe
O23 - Service: VET Message Service (VETMSGNT) - CA, Inc. - C:\Programy\CA Internet Security Suite\CA Anti-Virus\VetMsg.exe
Kolobos - 07 Sty 2007 18:07
> Pobiera on cały czas jakieś pliki z sieci.
Jakie pliki? Z jakiej strony?
Przeskanuj system przy pomocy ewido.
W hjt usun:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.bearshare.com/pl/
O2 - BHO: My Global Search Bar BHO - {37B85A21-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL
O3 - Toolbar: My Global Search Bar - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL <- katalog MyGlo... usun z dysku.
soulreaver1 - 07 Sty 2007 18:10
Zainstaluj sobie Spyware Terminator : http://www.spywareterminator.com/dnl/landing.aspx
Naprawdę polecam jest bardzo skuteczny i darmowy
Miałem ostatnio problemy z trojanami i ten program mnie uratował.
Zainstaluj,przeskanuj,pozbądź się robactwa...
Po co bawić się w ręcze czyszczenie rejestru?
Ten program zrobi wszystko sam.
maciek11 - 07 Sty 2007 19:25
Komputer przeskanowałem, ale problem nadal występuje mimo wykasowania kilku wirusów.
W menedżerze zadań znalazłem podpadający moim zdaniem wpis: SWDOCTOR. Co to może być?
tronic1 - 07 Sty 2007 19:33
http://www.liutilities.com/products/wintaskspro/processlibrary/swdoctor/
Kolobos - 07 Sty 2007 20:19
soulreaver1
Spyware Terminator jest to program o watpliwej reputacji wiec nie polecaj go na publicznym forum. Sam mozesz go uzywac ale innym nie polecaj tego smiecia.
maciek11
Dlaczego nie odpowiedziales na moje pytania?
Moze wysil sie troche i napisz jaki DOKLADNIE problem wystepuje.
maciek11 - 08 Sty 2007 01:23
Po połączeniu z siecią komputer wysyła parę kB. J
ak włączę właściwości połączenia, to widzę że komputer pobiera jakieś dane.
Jakie niestety nie wiem. W logu z Hijacka nic podejrzanego nie widzę.
Jeśli chodzi o Spyware Terminatora, to zdążyłem zauważyć że potrafi on trochę zamieszać.
I jeszcze jedno pytanie:
Czy svchost.exe musi być uruchamiany tyle razy?
W cmd wpisałem Tasklist /SVC. Wynik znajduje się w załączniku.
Zastanawiam się nad tym plikiem ponieważ już kiedyś został on zainfekowany i musiałem z nim trochę powalczyć, ale się udało
Przeskanowałem komputer programem Ad-Aware.
Co prawda nie znalazł on już żadnych "wrednych programów", ale w zakładce Negligible Objects jest kilka wpisów.
Nie znam się za bardzo na rejestrze i prosiłbym o sprawdzenie tego:
Kliknij aby powiększyć
Proszę tylko zamieszczać fotki tak jak w linku poniżej!
Sądzę że jest to zrozumiale dla wszystkich, a przynajmniej powinno być, ale jakoś nie mogę się przekonać do tego obserwując co poniektórych!
Ogłoszenie: Wklejanie zdjęć.
dr.master - 08 Sty 2007 02:03
Kolego są to elementy nieistotne, mało znaczące. Nie to jest problemem,
a do skanowania polecił bym Kasperskiego.
Odinstalować wszelakiego typu oprogramowanie anty wirusowe , ściągnąć Kasperskiego 30-sto dniowy klucz darmowy i przeskanować kompa porządnie. Powinno pomóc.
maciek11 - 08 Sty 2007 02:04
W takim razie gdzie szukać przyczyny?
dr.master - 08 Sty 2007 02:07
Jesli nie Kaspersky to spróbuj jakiegoś skanera on-line
http://programy.57.pl/skanery,on-line.php
Kolobos - 08 Sty 2007 02:19
maciek11
Masz zainstalowane pelno programow, ktore sciagaja aktualizacje itp rzeczy wiec to normalne, ze wysyla i nie jest to żaden trojan, ktory sciagaja jakies pliki. Log jest ok, svchost'ow ma byc tyle ile jest, a to co znalazl ad-aware mozesz zostawic albo usunac, bez roznicy.
lelekx - 08 Sty 2007 02:20
co do logu: co to jest "Spyware doctor"?
4 - HKCU\..\Run: [Spyware Doctor] "C:\Programy\Spyware Doctor\swdoctor.exe" /Q
Druga sprawa - kiedy odbywa się ruch sieciowy, uruchom w konsoli CMD polecenia:
netstat -aon >conn.txt
tasklist > tasks.txt
i podaj pliki conn.txt i tasks.txt na forum
Kolobos - 08 Sty 2007 02:25
lelekx
> co do logu: co to jest "Spyware doctor"?
Uzyj google to sie dowiesz.
maciek11 - 08 Sty 2007 02:34
Przesyłam pliki : conn.txt
Nazwa obrazu PID Nazwa sesji Nr sesji Uľycie pam.
========================= ====== ================ ======== ============
System Idle Process 0 Console 0 16 KB
System 4 Console 0 220 KB
SMSS.EXE 500 Console 0 372 KB
CSRSS.EXE 828 Console 0 4˙408 KB
WINLOGON.EXE 988 Console 0 5˙164 KB
SERVICES.EXE 1124 Console 0 4˙084 KB
LSASS.EXE 1184 Console 0 1˙964 KB
SVCHOST.EXE 1732 Console 0 4˙644 KB
SVCHOST.EXE 1936 Console 0 4˙316 KB
SVCHOST.EXE 292 Console 0 24˙896 KB
SVCHOST.EXE 488 Console 0 3˙416 KB
SVCHOST.EXE 788 Console 0 7˙548 KB
EXPLORER.EXE 1320 Console 0 23˙604 KB
SPOOLSV.EXE 1868 Console 0 4˙680 KB
ISAFE.EXE 340 Console 0 11˙752 KB
MDM.EXE 420 Console 0 2˙844 KB
NVSVC32.EXE 608 Console 0 3˙324 KB
SVCHOST.EXE 984 Console 0 4˙092 KB
WDFMGR.EXE 1496 Console 0 1˙660 KB
VETMSG.EXE 1628 Console 0 4˙068 KB
DRAGDIAG.EXE 1604 Console 0 2˙236 KB
NvMixerTray.exe 1744 Console 0 3˙480 KB
RUNDLL32.EXE 216 Console 0 2˙836 KB
CCTRAY.EXE 536 Console 0 8˙568 KB
CAVRID.EXE 516 Console 0 3˙692 KB
ALG.EXE 1208 Console 0 3˙652 KB
CTFMON.EXE 332 Console 0 3˙384 KB
SVCHOST.EXE 2340 Console 0 3˙276 KB
cmd.exe 3868 Console 0 2˙544 KB
NOTEPAD.EXE 1336 Console 0 568 KB
tasklist.exe 3304 Console 0 4˙168 KB
wmiprvse.exe 864 Console 0 5˙492 KB
Oraz tasks.txt
Aktywne połączenia
Protokół Adres lokalny Obcy adres Stan PID
TCP 0.0.0.0:135 0.0.0.0:0 NASťUCHIWANIE 1936
TCP 0.0.0.0:445 0.0.0.0:0 NASťUCHIWANIE 4
TCP 0.0.0.0:2869 0.0.0.0:0 NASťUCHIWANIE 788
TCP 127.0.0.1:1025 0.0.0.0:0 NASťUCHIWANIE 340
TCP 127.0.0.1:1025 127.0.0.1:1028 USTANOWIONO 340
TCP 127.0.0.1:1025 127.0.0.1:1032 USTANOWIONO 340
TCP 127.0.0.1:1026 0.0.0.0:0 NASťUCHIWANIE 340
TCP 127.0.0.1:1027 0.0.0.0:0 NASťUCHIWANIE 340
TCP 127.0.0.1:1027 127.0.0.1:1029 USTANOWIONO 340
TCP 127.0.0.1:1027 127.0.0.1:1030 USTANOWIONO 340
TCP 127.0.0.1:1028 127.0.0.1:1025 USTANOWIONO 1628
TCP 127.0.0.1:1029 127.0.0.1:1027 USTANOWIONO 1628
TCP 127.0.0.1:1030 127.0.0.1:1027 USTANOWIONO 536
TCP 127.0.0.1:1031 0.0.0.0:0 NASťUCHIWANIE 1208
TCP 127.0.0.1:1032 127.0.0.1:1025 USTANOWIONO 536
TCP 127.0.0.1:1453 127.0.0.1:2869 USTANOWIONO 292
TCP 127.0.0.1:2869 127.0.0.1:1453 USTANOWIONO 788
TCP 213.238.125.134:139 0.0.0.0:0 NASťUCHIWANIE 292
UDP 0.0.0.0:445 *:* 4
UDP 0.0.0.0:500 *:* 1184
UDP 0.0.0.0:1037 *:* 292
UDP 0.0.0.0:1057 *:* 488
UDP 0.0.0.0:1069 *:* 488
UDP 0.0.0.0:1199 *:* 488
UDP 0.0.0.0:4500 *:* 1184
UDP 127.0.0.1:123 *:* 292
UDP 127.0.0.1:1038 *:* 292
UDP 127.0.0.1:1448 *:* 292
UDP 127.0.0.1:1454 *:* 292
UDP 127.0.0.1:1900 *:* 788
UDP 213.238.125.134:68 *:* 292
UDP 213.238.125.134:123 *:* 292
UDP 213.238.125.134:137 *:* 292
UDP 213.238.125.134:138 *:* 292
UDP 213.238.125.134:1900 *:* 788
lelekx - 09 Sty 2007 23:38
Na to wygląda, że żadne połączenie na zewnątrz w tym czasie nie było ustanowione. Jeżeli coś siedzi, zostaje sprawdzenie, czy nie łączy się przed firewallem.
Jak faktycznie czujesz, że jakiś dziad siedzi, ściągnij LSPFIX i zobacz, co masz w łańcuchach LSP. Możesz się jeszcze wyposażyć np. w RootkitRevealera. Spróbować też możesz zrobić płytę z BartPE i jakimś antywirusem, żeby przeskanować dysk z niezainfekowanego systemu.
A co do "Spyware doctor" to sprawdziłem dopiero później - jakoś mi się ta nazwa źle kojarzy (chociażby z Spyware Sheriff).
majtek007 - 10 Sty 2007 15:45
maciek11: Jak trafi mi sie jakies nieznane dotad paskudztwo - a zdazylo mi sie to pare razy, to zawsze skore ratowal mi firewall - polecam ZoneAlarm (freeware do uzytku domowego).
Po zainstalowaniu firewalla bedziesz pytany o zezwolenie dostepu do internetu - kazdego uruchomionego programu ktory bedzie probowal sie polaczyc z siecia.
Z uslug systemowych i innych microsoftowych programow:
dostep do sieci maja u mnie tylko 2
c:\windows\system32\svchost.exe
c:\windows\system32\lsass.exe
Firewall spyta o nie na samym poczatku - zezwol tym 2. Teraz kazdy program ktorego nie uruchomiles, a bedzie rzadal dostepu do internetu jest potencjalnym wirusem - a wtedy sciezke dostepu juz mozna latwo okreslic
P.S. Nie licz na windowsowego firewalla i nie zapomnij go wylaczyc przed instalacja innego firewalla (bo moga wystapic konfilkty). Jesli niechcesz zostawac zupelnie bez firewalla w czasie instalacji - to na jej czas mozesz odlaczyc kabel sieciowy.
maciek11 - 11 Sty 2007 02:16
Dziękuję wszystkim za pomoc w rozwiązaniu mojego problemu.
Nareszcie wszystko działa tak jak powinno.
Pozdrawiam.