logi AVZ_HJT_zamulony komputer

Witam, komp trochę zamula.
Proszę o info co z tym należy zrobić:

AVZ Antiviral Toolkit log:
http://wklej.org/id/108244/dl

>>> Danger - possible CPU address substitution[1].IDT[06] = [F3AF916D] C:\WINDOWS\system32\drivers\Haspnt.sys, driver recognized as trusted
>>> Danger - possible CPU address substitution[1].IDT[0E] = [F3AF8FC2] C:\WINDOWS\system32\drivers\Haspnt.sys, driver recognized as trusted

8. Searching for vulnerabilities:
>> Services: potentially dangerous service allowed: RemoteRegistry (Rejestr zdalny)
>> Services: potentially dangerous service allowed: TermService (Usługi terminalowe)
>> Services: potentially dangerous service allowed: SSDPSRV (Usługa odnajdywania SSDP)
>> Services: potentially dangerous service allowed: Schedule (Harmonogram zadań)
>> Services: potentially dangerous service allowed: mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Services: potentially dangerous service allowed: RDSessMgr (Menedżer sesji pomocy pulpitu zdalnego)
> Services: please bear in mind that the set of services depends on the use of the PC (home PC, office PC connected to corporate network, etc)!

Log HJT:
http://wklej.org/id/108243/dl

pozdrawiam,
marcos_777

Podaj log z Combofix. Instrukcja viewtopic.php?f=22&t=13967

Logi dajesz na wklej.org, a w poście podajesz tylko link.

Log CF:
http://wklej.org/id/108582/dl

Po tych testach/dezynfekcjach AVZ i CF komputer już zdecydowanie lepiej pracuje.
Ale oczywiście proszę jeszcze o info, skrypty czyszczące do CF i AVZ.
I co z tym zrobić:

>> Danger - possible CPU address substitution[1].IDT[06] = [F3AF916D] C:\WINDOWS\system32\drivers\Haspnt.sys, driver recognized as trusted
>>> Danger - possible CPU address substitution[1].IDT[0E] = [F3AF8FC2] C:\WINDOWS\system32\drivers\Haspnt.sys, driver recognized as trusted

8. Searching for vulnerabilities:
>> Services: potentially dangerous service allowed: RemoteRegistry (Rejestr zdalny)
>> Services: potentially dangerous service allowed: TermService (Usługi terminalowe)
>> Services: potentially dangerous service allowed: SSDPSRV (Usługa odnajdywania SSDP)
>> Services: potentially dangerous service allowed: Schedule (Harmonogram zadań)
>> Services: potentially dangerous service allowed: mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Services: potentially dangerous service allowed: RDSessMgr (Menedżer sesji pomocy pulpitu zdalnego)
> Services: please bear in mind that the set of services depends on the use of the PC (home PC, office PC connected to corporate network, etc)!

Rozumiem, że z SUPERAntiSpyware już nie korzystasz?

Pobierz The Avenger, zaznacz poniższy tekst

Drivers to delete:
SASDIFSV
SASKUTIL
FirebirdServerDefaultInstance
mpr_freader
SASENUM

Skopiuj Kliknij na Paste Script from Clipboard Execute Potwierdzasz i zgadzasz się na restart klikając OK.
Po wykonaniu skasuj z dysku C:\Avenger\backup.zip i wklej raport na forum C:\avenger.txt

Usuń ręcznie folder C:\Qoobox oraz instalkę Combofixa z dysku.

Przeczyść system i rejestr CCleaner

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu http://support.microsoft.com/kb/310405/pll

Przeskanuj obszar całego systemu Kaspersky Online Scanner Następnie daj raport na forum.
lub użyj
Dr.WEB CureIt!

Pobierz Malwarebytes' Anti-Malware Uruchom pełne skanowanie. Jeżeli coś znajdzie, to usuń. Następnie daj log na forum.

Zastanawiam się nad usunięciem "ServerDefaultInstanceFirebida", ponieważ jest to komputer używany w pracy i dawniej był tam program magazynowy, który wymagał do pracy silnika "Firebird". Jest zarażony?
Wolałbym go zostawić, bo czasem coś w tym programie jeszcze sprawdzamy.
Popraw proszę skrypt z jego usunięciem. W poniedziałek dopiero będę w pracy i to wykonam.

W logu widać, że plik odpowiedzialny za tą usługę nie istnieje.

Oto poprawiony skrypt:

Drivers to delete:
SASDIFSV
SASKUTIL
mpr_freader
SASENUM

Thx Michael Parker, w poniedziałek w pracy to wykonam.

*********
A tymczasem, mógłbym Cię prosić o rzucenie okiem na te logi:

http://wklej.org/id/108006/dl - log Combofix

http://wklej.org/id/108007/dl- log HJT

http://wklej.org/id/108684/dl - log GMER


Pochodzą z domowego kompa, z którym miałem parę dni temu problem z Winsock2 (+ trojany).
Problem z trojanami i netem rozwiązałem (ręczne zresetowanie usług Winsock2). Pozostały jeszcze logi do kontroli i może jakieś skrypty.
Wydaje się, że komp aktualnie jest OK. Zrobić jeszcze jakiś inny test i dać loga?

Pobierz Malwarebytes' Anti-Malware Uruchom pełne skanowanie. Jeżeli coś znajdzie, to usuń. Następnie daj log na forum.

Przeskanuj system programem SDFix i daj raport z niego. Instrukcja viewtopic.php?f=22&t=13967

Przeskanuj obszar całego systemu Dr.WEB CureIt!

Po tym daj nowy log z Combofixa.

Dotyczy komputer Martity - domowy:

log Malwarebytes' Anti-Malware:
http://wklej.org/id/109385/dl


log Spybot - Search & Destroy:
http://wklej.org/id/109386/dl


log Skaner Dr.Web: (czysty, znalazł tylko SDFIXa)
http://wklej.org/id/109394/dl


I stało się, przez pomyłkę - scrypt, który przygotowałeś dla kompa do pracy wykonałem w domu na komputerze Martity.
Czy można/trzeba jakoś odwrócić te działania?
Avenger stworzył katalog:
C:\Avenger\backup.zip\avenger.txt i backup.reg.
Ale nie daje się otworzyć - wymaga hasła do rozpakowania zip-a.


Oto log z wykonania scryptu L o g f i l e o f T h e A v e n g e r :
http://wklej.org/id/109393/dl
Powtarzam, usunęło pliki nie w tym komputerze co trzeba...
Proszę, o ile się da, podać jak odwrócić ten proces, i proszę o nowy scrypt, na te wirusy w komputerze Martity:

log AVZ Antiviral Toolkit_csv: (Tylko zarażone pliki pokazuje)

C:\Windows\system32\ShowErrMsg.dll;5;Suspicion for Keylogger or Trojan DLL
C:\Windows\system32\sysenv.dll;5;Suspicion for Keylogger or Trojan DLL

log AVZ Antiviral Toolkit log: (Pełny waży 89 Mb, wiec zamieszczam tylko fragmencik z podsumowaniem. Może wrzucić go na jakiś upload?)
http://wklej.org/id/109390/dl

Ostatnio edytowany przez marcos_777, 21 Cze 2009, 14:11, edytowano w sumie 1 raz

Zostały usunięte usługi programu SUPERAntiSpyware.
Program wymaga do poprawnego działania tych usług. Jeżeli chcesz z niego nadal korzystać po prostu zainstaluj go ponownie.

log ComboFix:
http://www.wklej.org/id/109514/dl

A co z tym?

log AVZ Antiviral Toolkit_csv: (Tylko zarażone pliki pokazuje)

C:\Windows\system32\ShowErrMsg.dll;5;Suspicion for Keylogger or Trojan DLL
C:\Windows\system32\sysenv.dll;5;Suspicion for Keylogger or Trojan DLL

już usunięte?

Pobierz ComboFix, ale nie uruchamiaj
Wklej do notatnika:

Kod:

File::
c:\program files\Global.sw
C:\Windows\system32\ShowErrMsg.dll
C:\Windows\system32\sysenv.dll

Folder::
c:\users\user\AppData\Local\temp

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000000



Z menu notatnika wybierz Plik Zapisz jako CFScript.txt.
Przeciągnij i upuść zapisany plik (CFScript.txt) na ikonę ComboFix.exe.
Rozpocznie się usuwanie, program wygeneruje log, dasz go na forum.
Na czas skanowania Combofixem wyłącz wszystkie antywirusy i firewalle.

Logi dajesz na wklej.org, a w poście podajesz tylko link.

log ComboFix:

http://www.wklej.org/id/109563/dl

c:\windows\system32\novamnp6.dll
c:\windows\system32\novamip6.dll

Przeskanuj te pliki tym lub tym skanerem

Wklej do notatnika:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WMPNSCFG"=-
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000000
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000000

Z menu notatnika wybierz Plik Zapisz jako .
Zmień rozszerzenie z "Dokument tekstowy" na "Wszystkie pliki"
Zapisz plik pod nazwą Fix.reg.
Uruchom ten plik, wprowadź zmianę do rejestru, uruchom ponownie komputer

c:\users\user\AppData\Local\Temp

Usuń ręcznie ten folder.

Usuń ręcznie folder C:\Qoobox oraz instalkę Combofixa z dysku.

Przeczyść system i rejestr CCleaner

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu http://support.microsoft.com/kb/310405/pll

Przeskanuj obszar całego systemu Kaspersky Online Scanner Następnie daj raport na forum.
lub użyj
Dr.WEB CureIt!

log Skaner Dr.Web:

Statystyki
-----------------------------------------------------------------------------
Przetestowane obiekty: 20553
Zainfekowane obiekty: 0
Zmodyfikowane obiekty: 0
Podejrzane obiekty: 0
Programy Adware: 0
Programy Dialer: 0
Programy Joke: 0
Programy Riskware: 0
Programy Hacktool: 0
Wyleczone obiekty: 0
Usunięte obiekty: 0
Przemianowane obiekty: 0
Przeniesione obiekty: 0
Pominięte obiekty: 0
Prędkość testu: 2723 Kb/s
Czas testu: 00:15:32

Przed chwilą było tak - log HJT:
http://wklej.org/id/109917/dl

Zafixowałem co nieco i aktualny stan - log HJT:
http://wklej.org/id/109919/dl

log AVZ Antiviral Toolkit
http://wklej.org/id/109921/dl

Komputer śmiga i jest czyściutko. Mam wrażenie, że już jest wszystko Ok. Ale rzuć jeszcze okiem fachowca na logi.
Dzięki za pomoc Michael Parker.

Ostatnio edytowany przez marcos_777 22 Cze 2009, 12:05, edytowano w sumie 2 razy