Złośnik czy posypany Windows? [log gratis!]

przez **Adak** » 04 Cze 2008, 10:20

Witam.

Na początek krotki opis problemu, gdyż nie jest dla mnie oczywiste iż mam do czynienia z jakimś złośliwcem.

Pewnego dnia, po uruchomieniu komputera (laptop, służy rodzinie do różnych rzeczy), Avast stwierdził w moim svchost.exe jakiegoś trojana (!!!), a ja zamiast "Spadaj na bambus" kliknąłem w "skasuj i zmasakruj".
Reset, a Avast znów kombinuje - tym razem wydało mu się że cdaaccess.exe jest trojanem, ale nie dałem mu go skasować.
W tym czasie zauważyłem następujący szereg niepokojących objawów:
Po zminimalizowaniu okienka, nie ładuje ono na pasku zadań, tylko pod nim w formie zminimalizowanej.
Dźwięk zniknął (głośniczek – takoż)- pomimo ze w menadżerze urządzeń znajduje się karta dźwiękowa.
Połączenia sieciowe również puste - pomimo iż w menadżerze sieciówka egzystuje.
Po odpaleniu Worda, ten pluje "Ten dokument może nie być zarejestrowany" i otwiera, ale słownika niet.
Nie mogę także przeciągać plików w explorerze - wiec bez TC ani rusz.
Avast nie uruchamia się.

Przywróciłem svchost.exe z płyty XP, ale nic to nie zmieniło.

Jakieś inne pomysły?

Poniżej wklejam zawartość skanu hijack'a:

Logfile of HijackThis v1.99.1
Scan saved at 21:22:00, on 2008-06-03
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\System32\atievxx.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\System32\niSvcLoc.exe
C:\Program Files\802.11 Wireless LAN\802.11g Pen Size Wireless USB 2.0 Adapter HW.32 V1.10\SiSWLSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\SpeedswitchXP\SpeedswitchXP.exe
C:\Program Files\802.11 Wireless LAN\802.11g Pen Size Wireless USB 2.0 Adapter HW.32 V1.10\WlanCU.exe
C:\Documents and Settings\Adak\Pulpit\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [SpeedswitchXP] C:\SpeedswitchXP\SpeedswitchXP.exe
O4 - Global Startup: Wireless Configuration Utility HW.32.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: NILM License manager - Macrovision Corporation - C:\Program Files\National Instruments\shared\License Manager\Bin\lmgrd.exe
O23 - Service: NI Service Locator (niSvcLoc) - National Instruments - C:\WINDOWS\System32\niSvcLoc.exe
O23 - Service: SiS WirelessLan Service (SiSWLSvc) - Unknown owner - C:\Program Files\802.11 Wireless LAN\802.11g Pen Size Wireless USB 2.0 Adapter HW.32 V1.10\SiSWLSvc.exe

Z góry dziękuję.

przez **huber2t** » 04 Cze 2008, 16:42

Pokaż log z Combofix

przez **Adak** » 05 Cze 2008, 16:42

Służę:

ComboFix 08-06-01.6 - Adak 2008-06-04 18:41:38.1 - NTFSx86
Running from: C:\Documents and Settings\Adak\Pulpit\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((( Files Created from 2008-05-04 to 2008-06-04 )))))))))))))))))))))))))))))))
.

2008-06-03 17:03 . 2001-10-26 19:30 12,800 --a------ C:\WINDOWS\system32\svchost.exe
2008-06-03 13:29 . 2001-08-17 20:19 136,960 --a------ C:\WINDOWS\system32\drivers\essm2e.sys
2008-06-03 13:29 . 2001-08-18 06:24 135,040 --a------ C:\WINDOWS\system32\drivers\portcls.sys
2008-06-03 13:29 . 2001-08-18 06:24 134,144 --a------ C:\WINDOWS\system32\drivers\ks.sys
2008-06-03 13:29 . 2001-10-26 17:30 117,248 --a------ C:\WINDOWS\system32\ksproxy.ax
2008-06-03 13:29 . 2001-08-17 22:01 57,344 --a------ C:\WINDOWS\system32\drivers\drmk.sys
2008-06-03 13:29 . 2001-08-17 22:01 42,752 --a------ C:\WINDOWS\system32\drivers\stream.sys
2008-06-03 13:29 . 2001-10-26 17:30 22,016 --a------ C:\WINDOWS\system32\wdmaud.drv
2008-06-03 13:29 . 2001-08-17 21:48 5,120 --a------ C:\WINDOWS\system32\drivers\MSPCLOCK.sys
2008-06-03 13:29 . 2001-10-26 17:27 4,096 --a------ C:\WINDOWS\system32\ksuser.dll
2008-06-02 19:58 . 2008-06-02 19:59 <DIR> d-------- C:\Program Files\Luxor
2008-06-02 19:57 . 2008-06-02 19:57 <DIR> d-------- C:\Program Files\ReflexiveArcade
2008-05-29 21:34 . 2008-05-29 21:38 <DIR> d-------- C:\Documents and Settings\Adak\Dane aplikacji\ICQ
2008-05-29 21:32 . 2008-05-29 21:42 <DIR> d-------- C:\Program Files\ICQLite
2008-05-29 21:32 . 2008-05-29 21:42 <DIR> d-------- C:\Documents and Settings\Adak\Dane aplikacji\ICQLite
2008-05-29 10:59 . 2008-05-29 10:59 <DIR> d-------- C:\Program Files\Tlen.pl
2008-05-29 10:15 . 2008-05-29 10:15 <DIR> d-------- C:\Documents and Settings\Adak\Dane aplikacji\Tlen.pl
2008-05-07 11:25 . 2008-05-07 11:25 0 --a------ C:\WINDOWS\system32\swunilog.ini
2008-05-07 11:11 . 2008-05-07 11:11 <DIR> d-------- C:\Program Files\802.11 Wireless LAN

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2003-05-01 08:36 114,688 ----a-w C:\Program Files\internet explorer\plugins\LV7ActiveXControl.dll
.

------- Sigcheck -------

2001-10-26 19:30 12800 b3c95bfeef6781a82a1c429f466a3a11 C:\WINDOWS\system32\svchost.exe

2004-06-17 19:58 530432 160a69cf24a426b2bd22b2b8cb7950c8 C:\WINDOWS\system32\user32.dll
2004-06-17 19:58 530432 160a69cf24a426b2bd22b2b8cb7950c8 C:\WINDOWS\system32\dllcache\user32.dll

2001-10-26 19:29 75264 9b7d1c56cc12d806314b853bf52ecb4c C:\WINDOWS\system32\ws2_32.dll
2001-10-26 19:29 75264 9b7d1c56cc12d806314b853bf52ecb4c C:\WINDOWS\system32\dllcache\ws2_32.dll

2004-08-23 19:18 587776 33e3501fbe09d90c57ca9831f38a3e09 C:\WINDOWS\system32\WININET.DLL
2004-08-23 19:18 587776 33e3501fbe09d90c57ca9831f38a3e09 C:\WINDOWS\system32\dllcache\WININET.DLL

2001-08-18 08:24 327168 e7774698bb0d14b0710a9a31e209f9b6 C:\WINDOWS\system32\dllcache\tcpip.sys
2001-08-18 08:24 327168 e7774698bb0d14b0710a9a31e209f9b6 C:\WINDOWS\system32\drivers\tcpip.sys

2004-06-17 02:21 433152 3b7db268f4962c1f6061c77fddcedd26 C:\WINDOWS\system32\winlogon.exe
2004-06-17 02:21 433152 3b7db268f4962c1f6061c77fddcedd26 C:\WINDOWS\system32\dllcache\winlogon.exe

2001-08-18 08:24 161536 3efd4f59ba0a340de0a3ab984001dbf7 C:\WINDOWS\system32\dllcache\ndis.sys
2001-08-18 08:24 161536 3efd4f59ba0a340de0a3ab984001dbf7 C:\WINDOWS\system32\drivers\ndis.sys

2004-06-17 19:53 1905152 95e107cc318d3197f00d0bdddf99f952 C:\WINDOWS\Driver Cache\i386\ntkrnlpa.exe
2004-06-17 19:53 1905152 95e107cc318d3197f00d0bdddf99f952 C:\WINDOWS\system32\ntkrnlpa.exe

2004-06-17 19:54 1883136 cb6c56d0f5b0de01ab74158427d42d2b C:\WINDOWS\Driver Cache\i386\ntoskrnl.exe
2004-06-17 19:54 1883136 cb6c56d0f5b0de01ab74158427d42d2b C:\WINDOWS\system32\ntoskrnl.exe

2001-10-26 19:29 1002496 0b6cb4abb3166e1717bda7895f2029d8 C:\WINDOWS\explorer.exe
2001-10-26 19:29 1002496 0b6cb4abb3166e1717bda7895f2029d8 C:\WINDOWS\system32\dllcache\explorer.exe

2001-10-26 19:30 101888 bf4cbefdce42a699389791647cb95ca2 C:\WINDOWS\system32\services.exe
2001-10-26 19:30 101888 bf4cbefdce42a699389791647cb95ca2 C:\WINDOWS\system32\dllcache\services.exe

2001-10-26 19:29 11776 5cc79cfe660dd720739fb9adb03f2275 C:\WINDOWS\system32\lsass.exe
2001-10-26 19:29 11776 5cc79cfe660dd720739fb9adb03f2275 C:\WINDOWS\system32\dllcache\lsass.exe

2001-10-26 19:29 13312 106e93e7eead4f0797fc1a30bd53fa3d C:\WINDOWS\system32\ctfmon.exe
2001-10-26 19:29 13312 106e93e7eead4f0797fc1a30bd53fa3d C:\WINDOWS\system32\dllcache\ctfmon.exe
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpeedswitchXP"="C:\SpeedswitchXP\SpeedswitchXP.exe" [2004-05-14 03:30 491520]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-09-06 12:06 79224]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2001-10-26 19:29 13312]

[HKLM\~\startupfolder\C:^Documents and Settings^Adak^Menu Start^Programy^Autostart^H3 The Shadow of Death(TM).lnk]
path=C:\Documents and Settings\Adak\Menu Start\Programy\Autostart\H3 The Shadow of Death(TM).lnk
backup=C:\WINDOWS\pss\H3 The Shadow of Death(TM).lnkStartup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Microsoft Office.lnk]
path=C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^NkvMon.exe.lnk]
path=C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\NkvMon.exe.lnk
backup=C:\WINDOWS\pss\NkvMon.exe.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Auto CD-ROM Startup]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray]
--a------ 2003-10-26 23:53 57344 C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
--a------ 2001-10-26 19:29 13312 C:\WINDOWS\System32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
--a------ 2006-07-11 12:06 3144800 C:\Program Files\ICQLite\ICQLite.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RunUtility]
--a------ 2006-01-20 19:29 17895424 C:\Program Files\Cisco-Linksys LLC\Wireless-G Notebook Adapter with SRX400\WPC54GX4.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2007-03-14 03:43 83608 C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F]
\Shell\AutoRun\command - F:\DP.exe

*Newly Created Service* - CATCHME
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-04 18:51:45
Windows 5.1.2600 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2008-06-04 18:53:27
ComboFix-quarantined-files.txt 2008-06-04 16:53:20

Pre-Run: 464,842,752 bajtów wolnych
Post-Run: 1,445,974,016 bajtów wolnych

107

przez **huber2t** » 06 Cze 2008, 05:32

W logu czysto

Wyłącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

Włącz przywracanie systemu.

przez **Adak** » 06 Cze 2008, 10:34

Nie mogę - nie działa żadne połączenie sieciowe.

przez **huber2t** » 06 Cze 2008, 14:49

Przeskanuj komputer programem ArcaMicroscan lub Dr. Web Cure It

przez **Adak** » 09 Cze 2008, 19:26

huber2t napisał(a):Przeskanuj komputer programem ArcaMicroscan lub Dr. Web Cure It

ArcaMicroscan nie potrafi zeskanowac, bo nie moze dopchnac sie do Instalatora Windows, a Web Cure It nie wykryl nic sensownego (VNC, Combofixa i takie tam dyrdymaly).

Co dalej?

przez **huber2t** » 10 Cze 2008, 05:28

Jeśli tak jest to powinno byc ok:)

przez **Adak** » 10 Cze 2008, 11:34

Czyli posypany Windows, a nie szkodnik?

przez **huber2t** » 10 Cze 2008, 16:23

tak masz coś w windowsie wysypanego

przez **Adak** » 10 Cze 2008, 21:14

Ok, dziekuje, moze cos na alt.pl.comp.os.windowsxp poradza, ale choc wiadomo, ze to nie bug.

Pozdrawiam!

Złośnik czy posypany Windows? [log gratis!]

Złośnik czy posypany Windows? [log gratis!]

Kto jest na forum