Safe Error i kilka trojanow

Safe Error i kilka trojanow

---

yasiorek - 02 Cze 2007 23:19
Witam, moj problem polega na ciaglym wlaczaniu sie IE z dziwna stronka na ktorej mozna pobrac program Error Safe, pisze ze mam jakies wirusy itp, i ze tym programem moge przeskanowac kompa, nawiet wyswietla sie informacja ze program jest podpisany przez microsoft, jednak go nie sciagam bo wyczytalem ze to jakis trojan. Oprocz tego avast co jakis czas wykrywa wirusy trojany, po czym je usuwa, ale wracaja po kazdym restarcie kompa i wlaczaja sie dziwne aplikacje ktore spowalniaja kompa. Jeden z tych programow to WinXPDisableZeroConfigation.exe - zawsze go zamykam menadzerem zadan.
W zalaczniku daje log z Gmer, hijack i wareout. Prosze o pomoc w pozbyciu sie tego syfu

---

---

Kolobos - 02 Cze 2007 23:40
Jak mozna zrobic cos takiego z komputerem?

Zamknij porty przy pomocy wwdc.exe nie uzywaj IE! Outlook'a tez nie, zamiast tego zainstaluj Thunderbird'a.

Uzyj:
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe
http://uploads.ejvindh.andymanchesta.com/Rustbfix.exe
(po uzyciu logi wrzuc na forum)

W menadzerze zadan zakoncz:
C:\WINDOWS\System32\igfkhpbk.exe
C:\WINDOWS\System32\netwsmlx.exe
C:\WINDOWS\System32\smdlsset.exe
C:\WINDOWS\System32\secdcwgg.exe
C:\WINDOWS\System32\atluqdfu.exe
C:\WINDOWS\System32\liscrts.exe
C:\WINDOWS\System32\ldmprocs.exe
C:\WINDOWS\System32\sedkeyss.exe

W hjt usun:
O4 - HKLM\..\Run: [netsscv] C:\WINDOWS\System32\igfkhpbk.exe
O4 - HKLM\..\Run: [iosctl] C:\WINDOWS\System32\igfkhpbk.exe
O4 - HKLM\..\Run: [dlmicss] C:\WINDOWS\System32\netwsmlx.exe
O4 - HKLM\..\Run: [cpssystem] C:\WINDOWS\System32\smdlsset.exe
O4 - HKLM\..\Run: [kbdmisd] secdcwgg.exe
O4 - HKLM\..\Run: [clopcs] C:\WINDOWS\System32\atluqdfu.exe
O4 - HKLM\..\Run: [expcrt] C:\WINDOWS\System32\liscrts.exe
O4 - HKLM\..\Run: [smiproc] C:\WINDOWS\System32\ldmprocs.exe
O4 - HKLM\..\Run: [cpbitse] C:\WINDOWS\System32\igfkhpbk.exe
O4 - HKLM\..\Run: [sdkeylib] C:\WINDOWS\System32\sedkeyss.exe
O4 - HKLM\..\Run: [j4271437] rundll32 C:\WINDOWS\System32\j4271437.dll sook
O4 - HKLM\..\Run: [lmdisc] C:\WINDOWS\System32\igfkhpbk.exe
O4 - HKLM\..\Run: [Genuine] rundll32.exe "C:\WINDOWS\System32\golsqojv.dll",realset
O4 - HKCU\..\Run: [netsscv] C:\WINDOWS\System32\igfkhpbk.exe
O4 - HKCU\..\Run: [iosctl] C:\WINDOWS\System32\igfkhpbk.exe
O4 - HKCU\..\Run: [dlmicss] C:\WINDOWS\System32\netwsmlx.exe
O4 - HKCU\..\Run: [cpssystem] C:\WINDOWS\System32\smdlsset.exe
O4 - HKCU\..\Run: [kbdmisd] secdcwgg.exe
O4 - HKCU\..\Run: [clopcs] C:\WINDOWS\System32\atluqdfu.exe
O4 - HKCU\..\Run: [expcrt] C:\WINDOWS\System32\liscrts.exe
O4 - HKCU\..\Run: [smiproc] C:\WINDOWS\System32\ldmprocs.exe
O4 - HKCU\..\Run: [cpbitse] C:\WINDOWS\System32\igfkhpbk.exe
O4 - HKCU\..\Run: [sdkeylib] C:\WINDOWS\System32\sedkeyss.exe
O4 - HKCU\..\Run: [lmdisc] C:\WINDOWS\System32\igfkhpbk.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

Wymienione pliki usun z dysku.

To kawalek sterownikow:
O4 - HKLM\..\Run: [XpDis0Conf] C:\PROGRA~1\Belkin\BELKIN~1\Tool\WinXPDisableZeroConfigation.exe VEN_14E4&DEV_4320&SUBSYS_70011799 /d

Odinstaluj aplikacje (sterowniki zostaw!) od tej karty i problem powinien zniknac. Tutaj masz o tym post:
http://forums.pcpitstop.com/lofiversion/index.php/t97606.html

---

yasiorek - 03 Cze 2007 00:41
Nie uzywam IE ani Outlook'a. Mam opere.
ok wklejam logi


Odinstaluj aplikacje (sterowniki zostaw!) od tej karty i problem powinien zniknac. Tutaj masz o tym post:
http://forums.pcpitstop.com/lofiversion/index.php/t97606.html
tym zajme sie jutro bo juz pozno.

---

Kolobos - 03 Cze 2007 07:56
W menadzerze zadan zakoncz:
C:\WINDOWS\System32\dvcsetup.exe

W hjt usun:
O4 - HKLM\..\Run: [ddivmwa] C:\WINDOWS\System32\dvcsetup.exe
O4 - HKCU\..\Run: [ddivmwa] C:\WINDOWS\System32\dvcsetup.exe
Plik usun z dysku.

W gmerze przywroc sstd przy:
SSDT \??\C:\WINDOWS\System32\xpdt.sys
SSDT \??\C:\WINDOWS\System32\xpdt.sys
SSDT \??\C:\WINDOWS\System32\xpdt.sys

Usun te uslugi (rowniez w gmerze):
LEGACY_NTIO256
nm
ntio256
xpdt

Do kasacji z dysku:
C:\WINDOWS\System32\xpdt.sys
C:\WINDOWS\system32\cbadd.bak1
C:\WINDOWS\ytyrfryhtr.exe
C:\WINDOWS\ertreedwefwe.exe
C:\WINDOWS\hntrgryh.exe
C:\WINDOWS\system32\phtsecom.exe
C:\WINDOWS\system32\efkeulpv.exe
C:\WINDOWS\system32\golsqojv.dll
C:\WINDOWS\system32\voqqveys.exe
C:\WINDOWS\system32\j4271437.dll
C:\WINDOWS\retrhfsdfer.exe
C:\WINDOWS\ghregrehyhty.exe
C:\WINDOWS\hytrfgewfew.exe
C:\WINDOWS\bbteddsferf.exe
C:\WINDOWS\rgtrhtyjyt.exe
C:\WINDOWS\fgredsds.exe
C:\WINDOWS\dshgthgrege.exe
C:\WINDOWS\htrrgrtgrgewfer.exe
C:\WINDOWS\system32\autosys.exe
C:\WINDOWS\system32\secdcwgg.exe
C:\WINDOWS\system32\sedkeyss.exe
C:\WINDOWS\system32\netwsmlx.exe
C:\WINDOWS\system32\smdlsset.exe
C:\WINDOWS\system32\ldmprocs.exe
C:\WINDOWS\system32\liscrts.exe
2C:\WINDOWS\system32\atluqdfu.exe
C:\WINDOWS\system32\igfkhpbk.exe
C:\WINDOWS\System32\nvstatld.dll
(w razie problemow uzyj killbox z zaznaczona opcja delete on reboot)

Uruchom regedit, przedz do:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Usun tam jak beda:
"kbdmisd"="secdcwgg.exe" [2001-10-26 18:29 C:\WINDOWS\system32\secdcwgg.exe]
"cpbitse"="C:\WINDOWS\System32\igfkhpbk.exe" [2001-10-26 18:29]
"dlmicss"="C:\WINDOWS\System32\netwsmlx.exe" [2001-10-26 18:29]
"cpssystem"="C:\WINDOWS\System32\smdlsset.exe" [2001-10-26 18:29]
"clopcs"="C:\WINDOWS\System32\atluqdfu.exe" [2001-10-26 18:29]
"smiproc"="C:\WINDOWS\System32\ldmprocs.exe" [2001-10-26 18:29]
"expcrt"="C:\WINDOWS\System32\liscrts.exe" [2001-10-26 18:29]
"sdkeylib"="C:\WINDOWS\System32\sedkeyss.exe" [2001-10-26 18:29]
Nastepnie w:
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Usuwasz:
"netsscv"="C:\WINDOWS\System32\igfkhpbk.exe" [2001-10-26 18:29]
"iosctl"="C:\WINDOWS\System32\igfkhpbk.exe" [2001-10-26 18:29]
"dlmicss"="C:\WINDOWS\System32\netwsmlx.exe" [2001-10-26 18:29]
"cpssystem"="C:\WINDOWS\System32\smdlsset.exe" [2001-10-26 18:29]
"kbdmisd"="secdcwgg.exe" [2001-10-26 18:29 C:\WINDOWS\system32\secdcwgg.exe]
"clopcs"="C:\WINDOWS\System32\atluqdfu.exe" [2001-10-26 18:29]
"expcrt"="C:\WINDOWS\System32\liscrts.exe" [2001-10-26 18:29]
"smiproc"="C:\WINDOWS\System32\ldmprocs.exe" [2001-10-26 18:29]
"cpbitse"="C:\WINDOWS\System32\igfkhpbk.exe" [2001-10-26 18:29]
"sdkeylib"="C:\WINDOWS\System32\sedkeyss.exe" [2001-10-26 18:29]
"lmdisc"="C:\WINDOWS\System32\igfkhpbk.exe" [2001-10-26 18:29]
"ddivmwa"="C:\WINDOWS\System32\dvcsetup.exe" [2001-10-26 18:29]

Pozniej w:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
usun:
"{C7F76815-E647-4BCE-B21A-600CE626E5D8}"="C:\WINDOWS\System32\nvstatld.dll" []

Jak juz to zrobisz to daj nowy log z gmera oraz:
http://www.techsupportforum.com/sectools/Deckard/dss.exe

---

---

yasiorek - 03 Cze 2007 11:25

W gmerze przywroc sstd przy:
SSDT \??\C:\WINDOWS\System32\xpdt.sys
SSDT \??\C:\WINDOWS\System32\xpdt.sys
SSDT \??\C:\WINDOWS\System32\xpdt.sys
Nie wiem jak to zrobic


Usun te uslugi (rowniez w gmerze):
LEGACY_NTIO256
nm
ntio256
xpdt
Znalazlem tylko xpdt

C:\WINDOWS\system32\autosys.exe
C:\WINDOWS\system32\secdcwgg.exe
C:\WINDOWS\system32\sedkeyss.exe
C:\WINDOWS\system32\netwsmlx.exe
C:\WINDOWS\system32\smdlsset.exe
C:\WINDOWS\system32\ldmprocs.exe
C:\WINDOWS\system32\liscrts.exe
2C:\WINDOWS\system32\atluqdfu.exe
C:\WINDOWS\system32\igfkhpbk.exe
C:\WINDOWS\System32\nvstatld.dll
tych plikow nie znalazlem


Uruchom regedit, przedz do:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Usun tam jak beda:
"kbdmisd"="secdcwgg.exe" [2001-10-26 18:29 C:\WINDOWS\system32\secdcwgg.exe]
"cpbitse"="C:\WINDOWS\System32\igfkhpbk.exe" [2001-10-26 18:29]
"dlmicss"="C:\WINDOWS\System32\netwsmlx.exe" [2001-10-26 18:29]
"cpssystem"="C:\WINDOWS\System32\smdlsset.exe" [2001-10-26 18:29]
"clopcs"="C:\WINDOWS\System32\atluqdfu.exe" [2001-10-26 18:29]
"smiproc"="C:\WINDOWS\System32\ldmprocs.exe" [2001-10-26 18:29]
"expcrt"="C:\WINDOWS\System32\liscrts.exe" [2001-10-26 18:29]
"sdkeylib"="C:\WINDOWS\System32\sedkeyss.exe" [2001-10-26 18:29]
Nastepnie w:
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Usuwasz:
"netsscv"="C:\WINDOWS\System32\igfkhpbk.exe" [2001-10-26 18:29]
"iosctl"="C:\WINDOWS\System32\igfkhpbk.exe" [2001-10-26 18:29]
"dlmicss"="C:\WINDOWS\System32\netwsmlx.exe" [2001-10-26 18:29]
"cpssystem"="C:\WINDOWS\System32\smdlsset.exe" [2001-10-26 18:29]
"kbdmisd"="secdcwgg.exe" [2001-10-26 18:29 C:\WINDOWS\system32\secdcwgg.exe]
"clopcs"="C:\WINDOWS\System32\atluqdfu.exe" [2001-10-26 18:29]
"expcrt"="C:\WINDOWS\System32\liscrts.exe" [2001-10-26 18:29]
"smiproc"="C:\WINDOWS\System32\ldmprocs.exe" [2001-10-26 18:29]
"cpbitse"="C:\WINDOWS\System32\igfkhpbk.exe" [2001-10-26 18:29]
"sdkeylib"="C:\WINDOWS\System32\sedkeyss.exe" [2001-10-26 18:29]
"lmdisc"="C:\WINDOWS\System32\igfkhpbk.exe" [2001-10-26 18:29]
"ddivmwa"="C:\WINDOWS\System32\dvcsetup.exe" [2001-10-26 18:29]

Pozniej w:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
usun:
"{C7F76815-E647-4BCE-B21A-600CE626E5D8}"="C:\WINDOWS\System32\nvstatld.dll" []
znalazlem tylko to : "{C7F76815-E647-4BCE-B21A-600CE626E5D8}"="C:\WINDOWS\System32\nvstatld.dll" []
Calej reszty nie bylo.

Daje logi.

---

Kolobos - 03 Cze 2007 11:44
Uzyj: http://www.techsupportforum.com/sectools/Deckard/daft.exe

Do kasacji zostal juz tylko ten plik:
C:\WINDOWS\System32\cbadd.bak1

Usun tez wpisy z pliku hosts:
C:\Windows\system32\drivers\etc\hosts

Reszta wyglada juz ok.

---

yasiorek - 03 Cze 2007 12:08
DAFT Log saved on 2007-06-03 11:02:47
-----------------------------------------------------------------------
All associations okay!


Do kasacji zostal juz tylko ten plik:
C:\WINDOWS\System32\cbadd.bak1
nie znalazlem

Usun tez wpisy z pliku hosts:
C:\Windows\system32\drivers\etc\hosts
Nie bardzo rozumie, jak mam usunac wpisy z tego pliku ?

---

Kolobos - 03 Cze 2007 12:15
Otworz go w notatniku i usun zawartosc, zostaw tylko:
127.0.0.1 localhost

> nie znalazlem

Zrob nowy log przy pomocy dss i zobacz czy widac w nim ten plik, jak widac to znaczy, ze jest. Dodaj do killbox'a wklejajac sciezke zaznacz delete on reboot i to powinno zalatwic sprawe.

---

yasiorek - 03 Cze 2007 12:26
ok wpisy usuniete
Plik znaleziony i usuniety
Wkleic jeszcze jakies logi czy to juz wszystko ?

---

Agares1 - 03 Cze 2007 12:41
Jeszcze wklej żeby zobaczyć czy coś nie zostało

---

Kolobos - 03 Cze 2007 12:58
kpitan
Po co? W ostatnich log'ach widac, ze nic juz nie zostalo.

---

yasiorek - 03 Cze 2007 13:01
Ok w takim razie wielkie dzieki za pomoc Kolobos !!! Sam bym sobie nie poradzil
Jednak logi wkleje, jesli ktos ma ochote to mozna przejzec
Pozdrawiam !