Poniżej podaję link do strony z logiem z combofixa. Bardzo prosze o jego sprawdzenie i rade, jak poradzić sobie z trojanem.
Pozdrawiam!
http://www.wklej.eu/index.php?id=586002dba5
Jak poradzić sobie z trojanem? Log
Regulamin forum
1. Każdy temat powinien odzwierciedlać treść wątku.
2. W przypadku wklejania logów; należy je wykonać od razu przynajmniej z dwóch narzędzi: FRST oraz z GMER
3. Wszelkie logi proszę publikować na przeznaczonych do tego stronach a w poście wklejać tylko link.
4. Nie wskazane jest skracanie logów, należy wkleić cały - od początku, do końca.
5. Nie wskazane jest podczepianie się do tematów innych użytkowników - proszę założyć nowy temat w dziale Bezpieczeństwo, ułatwi to pomoc sprawdzającemu.
6. Osoby nie posiadające odpowiedniej wiedzy, nie powinny sprawdzać logów, ponieważ grozi to poważnym uszkodzeniem systemu lub aplikacji zainstalowanych na komputerze.
7. Należy dokładnie opisać problem, występujące objawy oraz wszelkie podjęte działania.
8. Każdy skrypt jest unikatowy, napisany dla każdego przypadku z osobna, więc nie może być stosowany przez innych.
9. W przypadku zamieszczenia zrzutu ekranu (screenshot'a) proszę korzystać z zewnętrznego serwisu oferującego hosting zdjęć.
1. Każdy temat powinien odzwierciedlać treść wątku.
2. W przypadku wklejania logów; należy je wykonać od razu przynajmniej z dwóch narzędzi: FRST oraz z GMER
3. Wszelkie logi proszę publikować na przeznaczonych do tego stronach a w poście wklejać tylko link.
4. Nie wskazane jest skracanie logów, należy wkleić cały - od początku, do końca.
5. Nie wskazane jest podczepianie się do tematów innych użytkowników - proszę założyć nowy temat w dziale Bezpieczeństwo, ułatwi to pomoc sprawdzającemu.
6. Osoby nie posiadające odpowiedniej wiedzy, nie powinny sprawdzać logów, ponieważ grozi to poważnym uszkodzeniem systemu lub aplikacji zainstalowanych na komputerze.
7. Należy dokładnie opisać problem, występujące objawy oraz wszelkie podjęte działania.
8. Każdy skrypt jest unikatowy, napisany dla każdego przypadku z osobna, więc nie może być stosowany przez innych.
9. W przypadku zamieszczenia zrzutu ekranu (screenshot'a) proszę korzystać z zewnętrznego serwisu oferującego hosting zdjęć.
9 posty(ów)
• Strona 1 z 1
Jak poradzić sobie z trojanem? Log
przez jagustyna » 18 Kwi 2010, 17:11
UA: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3 GTB6 (.NET CLR 3.5.30729)
- jagustyna
- Forumowicz
- Posty: 5
- Dołączenie: 18 Kwi 2010, 17:09
Re: prosze o sprawdzenie loga
przez mateo8898 » 18 Kwi 2010, 20:11
UA: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3
Przeskanuj plik: c:\windows\system32\dbghlp.dll na http://www.virustotal.com/pl/ i podaj wyniki.
Wklej do notatnika:
Plik
zapisz jako CFScript.txt
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe
Rozpocznie się usuwanie i powstanie log, który dajesz na forum.
Wklej do notatnika:
- Kod: Zaznacz wszystko
File::
c:\windows\system32\drivers\npembp.sys
c:\windows\system32\drivers\joqbqbl.sys
c:\windows\system32\drivers\ohnyam.sys
c:\windows\system32\drivers\wlsbcd.sys
c:\windows\system32\drivers\ugoqlsav.sys
c:\windows\system32\drivers\qnmmzbu.sys
c:\windows\system32\drivers\gtrhei.sys
c:\windows\system32\drivers\gomkurlc.sys
c:\windows\system32\drivers\zgtdthl.sys
c:\windows\system32\drivers\flysqqu.sys
c:\documents and settings\user\Menu Start\Programy\Autostart\Tworzenie wycinków ekranu i uruchamianie programu OneNote 2007.lnk
c:\documents and settings\All Users\Menu Start\Programy\Autostart\Adobe Gamma Loader.lnk
c:\documents and settings\All Users\Menu Start\Programy\Autostart\Adobe Reader Speed Launch.lnk
c:\documents and settings\user\ps_drv.sys
Driver::
npembp
joqbqbl
ohnyam
wlsbcd
ugoqlsav
qnmmzbu
gtrhei
gomkurlc
zgtdthl
flysqqu
jlifwy
GAGPDrv
ps_drv
Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet011\Services\flysqqu]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RemoteControl"=-
"NeroFilterCheck"=-
"QuickTime Task"=-
"SSBkgdUpdate"=-
"IndexSearch"=-
"SunJavaUpdateSched"=-
Plik
zapisz jako CFScript.txtPrzeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe
Rozpocznie się usuwanie i powstanie log, który dajesz na forum.
-
mateo8898 - Moderator
- Posty: 15377
- Dołączenie: 15 Maj 2009, 14:55
- Pochwały: 966
Re: prosze o sprawdzenie loga
przez jagustyna » 18 Kwi 2010, 21:19
UA: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3 GTB6 (.NET CLR 3.5.30729)
Zrobiłam, jak napisałeś.
Poniżej wyniki skanu:
Oto log z combofixa:
http://wklej.eu/index.php?id=136a5d4c52
Dzieki za zainteresowanie!
Poniżej wyniki skanu:
- Kod: Zaznacz wszystko
Plik dbghelp.dll otrzymany 2009.07.26 21:15:49 (UTC)
Obecny status: zakończono
Wynik: 0/41 (0.00%)
Zwięzły Zwięzły
Drukuj wyniki Drukuj wyniki
Antywirus Wersja Ostatnia aktualizacja Wynik
a-squared 4.5.0.24 2009.07.26 -
AhnLab-V3 5.0.0.2 2009.07.26 -
AntiVir 7.9.0.228 2009.07.24 -
Antiy-AVL 2.0.3.7 2009.07.24 -
Authentium 5.1.2.4 2009.07.26 -
Avast 4.8.1335.0 2009.07.26 -
AVG 8.5.0.387 2009.07.26 -
BitDefender 7.2 2009.07.26 -
CAT-QuickHeal 10.00 2009.07.25 -
ClamAV 0.94.1 2009.07.26 -
Comodo 1775 2009.07.26 -
DrWeb 5.0.0.12182 2009.07.26 -
eSafe 7.0.17.0 2009.07.26 -
eTrust-Vet 31.6.6640 2009.07.25 -
F-Prot 4.4.4.56 2009.07.26 -
F-Secure 8.0.14470.0 2009.07.26 -
Fortinet 3.120.0.0 2009.07.26 -
GData 19 2009.07.26 -
Ikarus T3.1.1.64.0 2009.07.26 -
Jiangmin 11.0.800 2009.07.26 -
K7AntiVirus 7.10.802 2009.07.25 -
Kaspersky 7.0.0.125 2009.07.26 -
McAfee 5689 2009.07.26 -
McAfee+Artemis 5689 2009.07.26 -
McAfee-GW-Edition 6.8.5 2009.07.26 -
Microsoft 1.4903 2009.07.26 -
NOD32 4280 2009.07.26 -
Norman 6.01.09 2009.07.24 -
nProtect 2009.1.8.0 2009.07.26 -
Panda 10.0.0.14 2009.07.26 -
PCTools 4.4.2.0 2009.07.26 -
Prevx 3.0 2009.07.26 -
Rising 21.39.62.00 2009.07.26 -
Sophos 4.44.0 2009.07.26 -
Sunbelt 3.2.1858.2 2009.07.26 -
Symantec 1.4.4.12 2009.07.26 -
TheHacker 6.3.4.3.374 2009.07.26 -
TrendMicro 8.950.0.1094 2009.07.25 -
VBA32 3.12.10.9 2009.07.26 -
ViRobot 2009.7.25.1853 2009.07.25 -
VirusBuster 4.6.5.0 2009.07.26 -
Dodatkowe informacje
File size: 640000 bytes
MD5 : 81d1ce12e830059b2990514bf66bfb5d
SHA1 : 4bce60904db6b2f8a45fef4037a581bf7ba84b9c
SHA256: af8ef883d3ce0dc6ef3597167cb17334ca27440d4b7729cea7569f77a298f200
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x307E4
timedatestamp.....: 0x48038E20 (Mon Apr 14 19:02:24 2008)
machinetype.......: 0x14C (Intel I386)
( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x8E266 0x8E400 6.61 c2653d8c94c3ebd93302254be741a54d
.data 0x90000 0x4A70 0x3600 1.87 78b7fe2c87804fd18f0b94cc06b11e81
.rsrc 0x95000 0x3E8 0x400 3.40 6fb737cde71905cbe930464bcb922217
.reloc 0x96000 0xA070 0xA200 5.40 62dabdd4c17f7257123d82c971c6d091
( 5 imports )
> advapi32.dll: CryptAcquireContextA, CryptGenRandom, CryptReleaseContext, RegOpenKeyExA, RegQueryValueExA, RegQueryValueExW, RegEnumKeyExW, RegQueryInfoKeyW, RegOpenKeyExW, RegCloseKey, SetSecurityDescriptorDacl, InitializeSecurityDescriptor
> kernel32.dll: GetFileType, Sleep, DeviceIoControl, ExpandEnvironmentStringsW, InitializeCriticalSectionAndSpinCount, CopyFileA, SetFileAttributesA, CopyFileW, GetFileAttributesW, SetFileAttributesW, LeaveCriticalSection, EnterCriticalSection, DeleteCriticalSection, InitializeCriticalSection, InterlockedIncrement, InterlockedDecrement, CreateFileMappingW, LCMapStringW, GetDriveTypeW, GetCurrentProcess, UnmapViewOfFile, GetEnvironmentVariableA, SetLastError, CloseHandle, CreateFileA, GetLastError, SetFilePointer, FindClose, FindNextFileA, FindFirstFileA, CreateDirectoryA, GetFullPathNameA, LocalAlloc, LocalFree, lstrcpyA, GetDriveTypeA, TlsGetValue, TlsAlloc, TlsFree, HeapReAlloc, HeapAlloc, HeapFree, IsDBCSLeadByte, GetProcAddress, GetModuleHandleA, lstrlenA, HeapDestroy, HeapCreate, DisableThreadLibraryCalls, GetVersionExA, MapViewOfFile, CreateFileMappingA, FreeLibrary, GetFileSize, LoadLibraryA, DuplicateHandle, ExpandEnvironmentStringsA, MultiByteToWideChar, WideCharToMultiByte, GetCurrentProcessId, VirtualFree, SetErrorMode, GetFileAttributesA, ReadProcessMemory, VirtualProtect, VirtualAlloc, DeleteFileW, WriteFile, CreateFileW, OutputDebugStringA, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetSystemTimeAsFileTime, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, GetSystemInfo, GetVersionExW, GetProcessHeap, SuspendThread, ResumeThread, GetThreadContext, VirtualQueryEx, LoadLibraryW, TerminateThread, SetEndOfFile, GetThreadSelectorEntry, MapViewOfFileEx, FlushViewOfFile, TlsSetValue, CreateThread
> msvcrt.dll: __dllonexit, _wcsicmp, wcsncpy, wcscmp, wcsncmp, __CxxFrameHandler, _wsplitpath, _wcsnicmp, towlower, __unDName, fclose, wcstol, _CxxThrowException, bsearch, _snwprintf, fread, fseek, _wfopen, fopen, _osver, _mbsnbcpy, fflush, _iob, _wmakepath, wcsrchr, wcscpy, _wcsdup, ftell, _wgetenv, _mbsicmp, _access, _fullpath, _fsopen, _wfsopen, _sopen, _wsopen, _wfullpath, _read, _write, _onexit, _chsize, _close, _get_osfhandle, _open_osfhandle, _winminor, _winmajor, _mbscmp, _memicmp, wcsncat, _terminate@@YAXXZ, __1type_info@@UAE@XZ, _adjust_fdiv, _initterm, time, memmove, _ftol, swprintf, calloc, wcscat, _ltoa, _itoa, printf, _vsnprintf, strncat, tolower, _strcmpi, _makepath, _purecall, malloc, free, _strlwr, isspace, ctime, strstr, __2@YAPAXI@Z, __3@YAXPAX@Z, qsort, strncmp, _strnicmp, isxdigit, wcslen, sprintf, strrchr, strncpy, _except_handler3, _splitpath, _stricmp, strchr, _lseeki64, wprintf
> rpcrt4.dll: UuidCreate
> version.dll: GetFileVersionInfoW, VerQueryValueA, GetFileVersionInfoA, GetFileVersionInfoSizeW, GetFileVersionInfoSizeA
( 1 exports )
> DbgHelpCreateUserDump, DbgHelpCreateUserDumpW, EnumerateLoadedModules, EnumerateLoadedModules64, ExtensionApiVersion, FindDebugInfoFile, FindDebugInfoFileEx, FindExecutableImage, FindExecutableImageEx, FindFileInPath, FindFileInSearchPath, GetTimestampForLoadedLibrary, ImageDirectoryEntryToData, ImageDirectoryEntryToDataEx, ImageNtHeader, ImageRvaToSection, ImageRvaToVa, ImagehlpApiVersion, ImagehlpApiVersionEx, MakeSureDirectoryPathExists, MapDebugInformation, MiniDumpReadDumpStream, MiniDumpWriteDump, SearchTreeForFile, StackWalk, StackWalk64, SymCleanup, SymEnumSourceFiles, SymEnumSym, SymEnumSymbols, SymEnumTypes, SymEnumerateModules, SymEnumerateModules64, SymEnumerateSymbols, SymEnumerateSymbols64, SymEnumerateSymbolsW, SymEnumerateSymbolsW64, SymFindFileInPath, SymFromAddr, SymFromName, SymFunctionTableAccess, SymFunctionTableAccess64, SymGetFileLineOffsets64, SymGetLineFromAddr, SymGetLineFromAddr64, SymGetLineFromName, SymGetLineFromName64, SymGetLineNext, SymGetLineNext64, SymGetLinePrev, SymGetLinePrev64, SymGetModuleBase, SymGetModuleBase64, SymGetModuleInfo, SymGetModuleInfo64, SymGetModuleInfoW, SymGetModuleInfoW64, SymGetOptions, SymGetSearchPath, SymGetSymFromAddr, SymGetSymFromAddr64, SymGetSymFromName, SymGetSymFromName64, SymGetSymNext, SymGetSymNext64, SymGetSymPrev, SymGetSymPrev64, SymGetTypeFromName, SymGetTypeInfo, SymInitialize, SymLoadModule, SymLoadModule64, SymLoadModuleEx, SymMatchFileName, SymMatchString, SymRegisterCallback, SymRegisterCallback64, SymRegisterFunctionEntryCallback, SymRegisterFunctionEntryCallback64, SymSetContext, SymSetOptions, SymSetSearchPath, SymSetSymWithAddr64, SymUnDName, SymUnDName64, SymUnloadModule, SymUnloadModule64, UnDecorateSymbolName, UnmapDebugInformation, WinDbgExtensionDllInit, dbghelp, dh, lm, lmi, omap, srcfiles, sym, vc7fpo
TrID : File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
ssdeep: 12288:+8GD4aI/TJV9/TF15dKOIycbLtiBsp0yzDAfZmw2AG:+F8z7JV9/J1TKOIycbLtiBsp0Vmw2AG
PEiD : -
RDS : NSRL Reference Data Set
Oto log z combofixa:
http://wklej.eu/index.php?id=136a5d4c52
Dzieki za zainteresowanie!
Ostatnio edytowany przez mateo8898 19 Kwi 2010, 16:34, edytowano w sumie 3 razy
Powód: Przeklejenie loga na wklej.eu
Powód: Przeklejenie loga na wklej.eu
- jagustyna
- Forumowicz
- Posty: 5
- Dołączenie: 18 Kwi 2010, 17:09
Re: prosze o sprawdzenie loga
przez mateo8898 » 18 Kwi 2010, 21:49
UA: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3
Wklej do notatnika:
Plik zapisz jako CFScript.txt
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe
Rozpocznie się usuwanie i powstanie log, który dajesz na forum.
- Kod: Zaznacz wszystko
File::
c:\windows\system32\drivers\mchts.sys
Driver::
mchts
gzaxmbm
Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet011\Services\mchts]
Plik
zapisz jako CFScript.txtPrzeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe
Rozpocznie się usuwanie i powstanie log, który dajesz na forum.
-
mateo8898 - Moderator
- Posty: 15377
- Dołączenie: 15 Maj 2009, 14:55
- Pochwały: 966
Re: prosze o sprawdzenie loga
przez jagustyna » 18 Kwi 2010, 23:52
UA: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3 GTB6 (.NET CLR 3.5.30729)
Ostatnio edytowany przez mateo8898, 19 Kwi 2010, 16:32, edytowano w sumie 1 raz
Powód: Przeklejenie loga na wklej.eu
Powód: Przeklejenie loga na wklej.eu
- jagustyna
- Forumowicz
- Posty: 5
- Dołączenie: 18 Kwi 2010, 17:09
Re: prosze o sprawdzenie loga
przez mateo8898 » 19 Kwi 2010, 16:31
UA: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3
Więcej nic nie widzę.
Pobierz OTC uruchom i kliknij CleanUp
Przeczyść dysk oraz rejestr CCleaner
Wyłącz i włącz przywracanie systemu na wszystkich dyskach Instrukcja
Wykonaj pełne skanowanie Malwarebytes' Anti-Malware - jeśli coś znajdzie usuń i daj raport
Pobierz OTC uruchom i kliknij CleanUp
Przeczyść dysk oraz rejestr CCleaner
Wyłącz i włącz przywracanie systemu na wszystkich dyskach
InstrukcjaWykonaj pełne skanowanie Malwarebytes' Anti-Malware - jeśli coś znajdzie usuń i daj raport
-
mateo8898 - Moderator
- Posty: 15377
- Dołączenie: 15 Maj 2009, 14:55
- Pochwały: 966
Re: prosze o sprawdzenie loga
przez jagustyna » 19 Kwi 2010, 19:51
UA: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3 GTB6 (.NET CLR 3.5.30729)
To jest raport z Malwarebytes' Anti-Malware:
Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org
Wersja bazy: 4007
Windows 5.1.2600 Dodatek Service Pack 3
Internet Explorer 8.0.6001.18702
2010-04-19 19:49:04
mbam-log-2010-04-19 (19-49-04).txt
Typ skanowania: Pełne skanowanie (C:\|D:\|E:\|)
Przeskanowano obiektów: 179980
Upłynęło: 48 minut(y), 41 sekund(y)
Zainfekowanych procesów w pamięci: 0
Zainfekowanych modułów w pamięci: 0
Zainfekowanych kluczy rejestru: 0
Zainfekowanych wartości rejestru: 0
Zainfekowane informacje rejestru systemowego: 0
Zainfekowanych folderów: 0
Zainfekowanych plików: 2
Zainfekowanych procesów w pamięci:
(Nie znaleziono zagrożeń)
Zainfekowanych modułów w pamięci:
(Nie znaleziono zagrożeń)
Zainfekowanych kluczy rejestru:
(Nie znaleziono zagrożeń)
Zainfekowanych wartości rejestru:
(Nie znaleziono zagrożeń)
Zainfekowane informacje rejestru systemowego:
(Nie znaleziono zagrożeń)
Zainfekowanych folderów:
(Nie znaleziono zagrożeń)
Zainfekowanych plików:
C:\Documents and Settings\NetworkService\Dane aplikacji\fvgqad.dat (Malware.Trace) Quarantined and deleted successfully.
C:\WINDOWS\system32\config\systemprofile\Dane aplikacji\fvgqad.dat (Malware.Trace) Quarantined and deleted successfully.
Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org
Wersja bazy: 4007
Windows 5.1.2600 Dodatek Service Pack 3
Internet Explorer 8.0.6001.18702
2010-04-19 19:49:04
mbam-log-2010-04-19 (19-49-04).txt
Typ skanowania: Pełne skanowanie (C:\|D:\|E:\|)
Przeskanowano obiektów: 179980
Upłynęło: 48 minut(y), 41 sekund(y)
Zainfekowanych procesów w pamięci: 0
Zainfekowanych modułów w pamięci: 0
Zainfekowanych kluczy rejestru: 0
Zainfekowanych wartości rejestru: 0
Zainfekowane informacje rejestru systemowego: 0
Zainfekowanych folderów: 0
Zainfekowanych plików: 2
Zainfekowanych procesów w pamięci:
(Nie znaleziono zagrożeń)
Zainfekowanych modułów w pamięci:
(Nie znaleziono zagrożeń)
Zainfekowanych kluczy rejestru:
(Nie znaleziono zagrożeń)
Zainfekowanych wartości rejestru:
(Nie znaleziono zagrożeń)
Zainfekowane informacje rejestru systemowego:
(Nie znaleziono zagrożeń)
Zainfekowanych folderów:
(Nie znaleziono zagrożeń)
Zainfekowanych plików:
C:\Documents and Settings\NetworkService\Dane aplikacji\fvgqad.dat (Malware.Trace)
Quarantined and deleted successfully.C:\WINDOWS\system32\config\systemprofile\Dane aplikacji\fvgqad.dat (Malware.Trace)
Quarantined and deleted successfully.- jagustyna
- Forumowicz
- Posty: 5
- Dołączenie: 18 Kwi 2010, 17:09
Re: prosze o sprawdzenie loga
przez mateo8898 » 19 Kwi 2010, 22:34
UA: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3
Powinno być ok.
-
mateo8898 - Moderator
- Posty: 15377
- Dołączenie: 15 Maj 2009, 14:55
- Pochwały: 966
Re: prosze o sprawdzenie loga
przez jagustyna » 20 Kwi 2010, 08:11
UA: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3 GTB6 (.NET CLR 3.5.30729)
I wygląda na to, że tak jest:) Dzięki serdeczne!
- jagustyna
- Forumowicz
- Posty: 5
- Dołączenie: 18 Kwi 2010, 17:09
9 posty(ów)
• Strona 1 z 1
Kto jest na forum
Zarejestrowani użytkownicy: Bing [Bot]