Strona 1 z 10 123 ... OstatniOstatni
Pokaż wyniki 1 do 10 z 91

Temat: Problem z bardzo dziwnym wirusem.

  1. #1

    Domyślnie Problem z bardzo dziwnym wirusem.

    Witam z racji że mam ograniczenie w ilości znaków i nie mogę podać całego opisu problemu chciałbymk podać link do forum na którym umieściłem podobny temata a rozwiązania nie otrzymałem. Nie iwm czy dobrze robie ale jestem w wielkiej despracji więc proszę o wybaczenie mam nadzięję że jak zapoznacie się z moim tematem zrozumiecie moją sytuację tym bardziej że moje umiejętności nawet nie są lamerskie.

    Mój problem polega na tym że tracę kontrolę nad komputerem co jakiś czas co więcej są otwierane programy i następuje pakowanie Menu Start przez WinRAR'a a następnie jak miałem pakiet Offica próba jego wysłania przez Outlooka czy coś w tym rodzaju.

    Tu podaję linka do mojego tematu na innym forum i bardzooo proszę o pomoc.
    Kod:
    http://forum.dobreprogramy.pl/viewtopic.php?f=16&t=254050
    Dodaję jeszcze najnowszy log z HiJackThis

    Kod:
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 10:57:25, on 2008-07-04
    Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal
    
    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\explorer.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
    C:\Program Files\802.11g Wireless LAN\Monitor.exe
    C:\PROGRA~1\AVG\AVG8\avgam.exe
    C:\PROGRA~1\AVG\AVG8\avgrsx.exe
    C:\PROGRA~1\AVG\AVG8\avgnsx.exe
    C:\PROGRA~1\AVG\AVG8\avgemc.exe
    C:\PROGRA~1\AVG\AVG8\aAvgApi.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\hijack\HijackThis.exe
    
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
    R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
    F2 - REG:system.ini: Shell=explorer.exe 
    O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
    O2 - BHO: AVGTOOLBAR - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
    O3 - Toolbar: AVGTOOLBAR - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
    O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Startup: Monitor.lnk = C:\Program Files\802.11g Wireless LAN\Monitor.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O17 - HKLM\System\CCS\Services\Tcpip\..\{1D318E90-3557-46B5-AAEF-5C31CDC629F3}: NameServer = 10.5.0.2 10.101.0.1
    O17 - HKLM\System\CS1\Services\Tcpip\..\{1D318E90-3557-46B5-AAEF-5C31CDC629F3}: NameServer = 10.5.0.2 10.101.0.1
    O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
    O20 - AppInit_DLLs: avgrsstx.dll
    O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
    O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
    
    --
    End of file - 2724 bytes
    Ostatnio edytowane przez figus : 07-04-2008 - 11:21 Powód: Coś chciało skasować folder z Silent Runners

  2. #2
    Zarejestrowany
    Apr 2008
    Postów
    348

    Domyślnie

    Cos mi tu śmierci AHS-em, bo z tego co piszesz mozna wywnioskować ze ma ktos zdalny w gląd w procesy na twoim kompie...zrób tak jak ci pisze
    wpisujesz w przegladarce adres http://localhost:34280/`ahs
    klikasz 'Wylacz AHS'
    uruchamiasz edytor rejestru (regedit.exe)
    idziesz do HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run
    usuwasz wartosc Windows HTTP SubSystem
    C:\WINDOWS\System32\winhttp.exe usuwasz ten plik
    Jezeli zas nie bedzie AHS-a to pokaze ci sie błąd po wpisaniu tego
    a zeby zdalni uruchomic ahs-a wpisujesz http://ip_lamera:34280/`ahs ...wirus znajduje sie w lokalizacjii C:\WINDOWS\System32\winhttp.exe .... Jeżeli nixc z tego to ściągnij sobie firewalla-to juz na pewno bdedxzie problem z głowy jezeli ktos robi to zdalnie, a wątpie zeby umiał to ominąc jezeli jego umiejetnosci ograniczają sie do zwykłych, gotowych "programów"...jezeli nie podziałalo to jest to wirus który ma scisle okreslone działania i jest niezalezny od nikogo, wtedy musowo po prostu zrobic format i tyle

  3. #3
    Zarejestrowany
    May 2007
    Skąd
    802.1 Wireless Wlan Card
    Postów
    552

    Domyślnie

    Masz demo klawiatury

    Ja pier*** masz tyle gotowych odpowiedzi w tamtym watku i jeszcze piszesz, ale chcac nie chcac pomoge Ci...

    Masz firewalla

    Druga sprawa to taka, ze nie czysc rejestru automatycznie softem bo potem cos takiego jest...
    Wez jakies liveCD male! i dopiero z poziomu linuxa zobacz co sie swieci:P

    Aha- polecam jeszcze GDATA TotalCare a nie Avire:P
    o przemyśleniach w kontekście NLP... http://www.tuetbrute.blogspot.com

  4. #4

    Domyślnie

    Przed chwilą ktoś za pomocą wirusa chciał skasować mi folder z Silent Runners więc pomyślałem że warto nim zrobić Log.
    Kod:
    "Silent Runners.vbs", revision 58, http://www.silentrunners.org/
    Operating System: Windows XP SP2
    Output limited to non-default values, except where indicated by "{++}"
    
    
    Startup items buried in registry:
    ---------------------------------
    
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
    "AVG8_TRAY" = "C:\PROGRA~1\AVG\AVG8\avgtray.exe" ["AVG Technologies CZ, s.r.o."]
    
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
    {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}\(Default) = "WormRadar.com IESiteBlocker.NavFilter"
      -> {HKLM...CLSID} = "AVG Safe Search"
                       \InProcServer32\(Default) = "C:\Program Files\AVG\AVG8\avgssie.dll" ["AVG Technologies CZ, s.r.o."]
    {A057A204-BACC-4D26-9990-79A187E2698E}\(Default) = (no title provided)
      -> {HKLM...CLSID} = "AVGTOOLBAR"
                       \InProcServer32\(Default) = "C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL" ["AVG, Inc.                                    "]
    
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
    "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Rozszerzenie CPL kadrowania wyświetlania"
      -> {HKLM...CLSID} = "Rozszerzenie CPL kadrowania wyświetlania"
                       \InProcServer32\(Default) = "deskpan.dll" [file not found]
    "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Rozszerzenie ikony HyperTerminalu"
      -> {HKLM...CLSID} = "HyperTerminal Icon Ext"
                       \InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
    "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
      -> {HKLM...CLSID} = "WinRAR"
                       \InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
    "{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}" = "AVG8 Shell Extension"
      -> {HKLM...CLSID} = "AVG8 Shell Extension Class"
                       \InProcServer32\(Default) = "C:\Program Files\AVG\AVG8\avgse.dll" ["AVG Technologies CZ, s.r.o."]
    
    HKLM\SOFTWA	RE\Microsoft\Windows NT\CurrentVersion\Winlogon\
    <<!>> "Shell" = "explorer.exe " [MS]
    
    HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\
    AVG8 Shell Extension\(Default) = "{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}"
      -> {HKLM...CLSID} = "AVG8 Shell Extension Class"
                       \InProcServer32\(Default) = "C:\Program Files\AVG\AVG8\avgse.dll" ["AVG Technologies CZ, s.r.o."]
    WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
      -> {HKLM...CLSID} = "WinRAR"
                       \InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
    
    HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\
    WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
      -> {HKLM...CLSID} = "WinRAR"
                       \InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
    
    HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\
    AVG8 Shell Extension\(Default) = "{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}"
      -> {HKLM...CLSID} = "AVG8 Shell Extension Class"
                       \InProcServer32\(Default) = "C:\Program Files\AVG\AVG8\avgse.dll" ["AVG Technologies CZ, s.r.o."]
    WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
      -> {HKLM...CLSID} = "WinRAR"
                       \InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
    
    
    Group Policies {GPedit.msc branch and setting}:
    -----------------------------------------------
    
    Note: detected settings may not have any effect.
    
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\
    
    "shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001
    {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
    Shutdown: Allow system to be shut down without having to log on}
    
    "undockwithoutlogon" = (REG_DWORD) dword:0x00000001
    {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
    Devices: Allow undock without having to log on}
    
    
    Active Desktop and Wallpaper:
    -----------------------------
    
    Active Desktop may be disabled at this entry:
    HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState
    
    Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
    HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
    "Wallpaper" = "C:\WINDOWS\web\wallpaper\Idylla.bmp"
    
    Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
    HKCU\Control Panel\Desktop\
    "Wallpaper" = "C:\WINDOWS\web\wallpaper\Idylla.bmp"
    
    
    Enabled Screen Saver:
    ---------------------
    
    HKCU\Control Panel\Desktop\
    "SCRNSAVE.EXE" = "C:\WINDOWS\system32\logon.scr" [MS]
    
    
    Startup items in "Ananas" & "All Users" startup folders:
    --------------------------------------------------------
    
    C:\Documents and Settings\Ananas\Menu Start\Programy\Autostart
    "Monitor" -> shortcut to: "C:\Program Files\802.11g Wireless LAN\Monitor.exe" [empty string]
    
    
    Winsock2 Service Provider DLLs:
    -------------------------------
    
    Namespace Service Providers
    
    HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
    000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
    000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
    000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
    
    Transport Service Providers
    
    HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
    0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
    %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 15
    %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05
    
    
    Toolbars, Explorer Bars, Extensions:
    ------------------------------------
    
    Toolbars
    
    HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
    "{A057A204-BACC-4D26-9990-79A187E2698E}"
      -> {HKLM...CLSID} = "AVGTOOLBAR"
                       \InProcServer32\(Default) = "C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL" ["AVG, Inc.                                    "]
    
    HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\
    "{A057A204-BACC-4D26-9990-79A187E2698E}" = (no title provided)
      -> {HKLM...CLSID} = "AVGTOOLBAR"
                       \InProcServer32\(Default) = "C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL" ["AVG, Inc.                                    "]
    
    Extensions (Tools menu items, main toolbar menu buttons)
    
    HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\
    {FB5F1910-F110-11D2-BB9E-00C04F795683}\
    "ButtonText" = "Messenger"
    "MenuText" = "Windows Messenger"
    "Exec" = "C:\Program Files\Messenger\msmsgs.exe" [MS]
    
    
    Running Services (Display Name, Service Name, Path {Service DLL}):
    ------------------------------------------------------------------
    
    AVG8 E-mail Scanner, avg8emc, "C:\PROGRA~1\AVG\AVG8\avgemc.exe" ["AVG Technologies CZ, s.r.o."]
    AVG8 WatchDog, avg8wd, "C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe" ["AVG Technologies CZ, s.r.o."]
    
    
    ---------- (launch time: 2008-07-04 11:12:34)
    <<!>>: Suspicious data at a malware launch point.
    
    + This report excludes default entries except where indicated.
    + To see *everywhere* the script checks and *everything* it finds,
      launch it from a command prompt or a shortcut with the -all parameter.
    + To search all directories of local fixed drives for DESKTOP.INI
      DLL launch points, use the -supp parameter or answer "No" at the
      first message box and "Yes" at the second message box.
    ---------- (total run time: 90 seconds, including 4 seconds for message boxes)

  5. #5
    Zarejestrowany
    Apr 2008
    Postów
    348

    Domyślnie

    zobacz co masz w autostarcie i napisz...to cos wiecej niz wirus zwykły mam takie wrażenie to wygląda jakby ktos shella u ciebie uruchamiał kiedy zechce...sprawdz te pliki:
    C:\WINDOWS\system32\logon.scr
    C:\Program Files\Messenger\msmsgs.exe
    C:\WINDOWS\web\wallpaper\Idylla.bmp
    Ja u siebie nie ma windowsa ale te pliki wyglądają mi na dziwne...Czy jestes w sieci LAN
    Ostatnio edytowane przez lukasz6547 : 07-04-2008 - 11:36

  6. #6

    Domyślnie

    Lukasz6547
    próbowałem zrobić tak jak napisałeś ale IE 6 wyskakiwało mi "Nie można wyświetlić strony" więc zainstalowałem Firefoxa 2 i tam próbowałem wpisać http://localhost:34280/`ahs aleee wtedy komputer dostał warjacji a właściwie ja bo znów straciłem kontrolezamknięty został firefox i otworzony drugi pojaił się menedżer zadań właściwości strony Firefoxa czy coś takiego w dodatku chciał mi się utworzyć jakiś skrót do IE 6 na pulpicie itp rzeczy się działy nawt była próba przelogowania użytkownika w systemie Windows. (Nie pracuje już na Koncie administratora he he) A i jak wpisałem http://localhost:34280/`ahs do firefoxa to też wyskoczyło że nie ma takiej stronki

    Eragon Argetlam

    Wcześniej miałem FireWalla Ashampoo 1.1 ale też to się działo czasem nawet otwierało mi Ten program.

    Teraz jeszcze nie zdążyłem zainstalować.

    Dodam że mam połączenie radiowe i jak wyjąłem kiedyś sieciówkę też pojawiał się ten problem ale nie tak mocno i nie z takim natężęniem.
    Jak np przeglądałem strony za pomocą firefoxa to otwierał mi się czasami ich kod HTML w jakimś oknie.

    Dzięki za wyrozumienie i pomoc

  7. #7

    Domyślnie

    Przeskanowałem te pliki za pomocą swojego antyvira AVG 8 i wykazało że są czyste
    wrzuciłem je więc jeszcze na stonke:

    Kod:
    http://virusscan.jotti.org/
    żeby sprawdzić dokładnie ale też wykazało że są ok, tu podaje z niej wyniki:

    Kod:
    C:\WINDOWS\system32\logon.scr
    
    File:  logon.scr  
    Status:  OK  
    MD5:  03c6ecb81e9795613e1a238e60880130  
    Packers detected:  - 
    
    =================
    
    C:\Program Files\Messenger\msmsgs.exe
    
    File:  msmsgs.exe  
    Status:  OK(Note: file has been scanned before. Therefore, this file's scan results will not be stored 
    
    in the database)  
    MD5:  77130f73be7be5b9b57a921e4a3c5edc  
    Packers detected:  - 
    
    ===============
    
    C:\WINDOWS\web\wallpaper\Idylla.bmp
    
    File:  Idylla.bmp  
    Status:  OK  
    MD5:  216d20df62af34d39089e066d1d4b3af  
    Packers detected:  -
    Nie jestem w sieci LAN używam połączenia Radiowego WiFi i kart Sieciowej Sparklan 660R

    P.S. Teraz włączył mi się Scan zaplanowany AVG i widze że znalazł coś w ciasteczkach cookie: Tracking cookie:Statcounter i 2o7 i Tradedoubler ale skanowanie jeszcze się nie zakończyło. Dodam że nie wchodziłem na podejrzane strony tylko na konto mailowe google i hack.pl oraz forum dobre programy i stronkę o wirusach wirusy.net.pl

  8. #8
    Zarejestrowany
    Apr 2008
    Skąd
    Białystok
    Postów
    4

    Domyślnie

    przez hijackthis usuń tą linijkę:
    O4 - Startup: Monitor.lnk = C:\Program Files\802.11g Wireless LAN\Monitor.exe

    dodatkowo powinieneś zrobić loga Combofix'em
    download + opis działania programu

  9. #9

    Domyślnie

    Wydaje mi się że to jest prawidłowy wpis zrobiłem tak wcześniej bo na forum
    Kod:
    http://forum.dobreprogramy.pl/viewtopic.php?f=16&t=254050
    polecił mi też tak Baldys16 ale Barnaba stwierdził że to jest prawidłowy wpis można o tym przeczytać jak podał na
    Kod:
    http://forum.dobreprogramy.pl/viewtopic.php?f=16&t=254050
    Zresztą zrobiłem tak wcześniej i mi to nie pomogło miałem tylko kłopot z uruchomieniem neta. Mój internet nie łączy się zresztą automatycznie tylko musze najpierw kliknąć na ikonkę Połącznia z netem i dopiero mogę odpalić przeglądarkę

    Log z ComboFixa zaraz podam.

  10. #10
    Zarejestrowany
    Jan 2008
    Postów
    278

    Domyślnie

    Cytat Napisał lukasz6547 Zobacz post
    C:\WINDOWS\system32\logon.scr
    C:\Program Files\Messenger\msmsgs.exe
    C:\WINDOWS\web\wallpaper\Idylla.bmp
    Ad. 1 < Wygaszacz z logo windowsa.
    Ad. 2 < Windows Messenger
    Ad. 3 < Sławna tapeta z windowsa

    O4 - Startup: Monitor.lnk = C:\Program Files\802.11g Wireless LAN\Monitor.exe
    Dlaczego akurat ten plik


    @up : byłeś szybszy

    Pozdrawiam VLN.
    Kod php:
    $zmienna $_POST['COS']; 
    Zamiast tego :
    Kod php:
    $zmienna htmlspecialchars($_POST['COS']); 
    I mamy zabezpieczenie przed XSS

Strona 1 z 10 123 ... OstatniOstatni

Podobne wątki

  1. hack sondy. BARDZO WAZNE!!
    By szakal900 in forum PHP/CGI/ASP/JSP/J2EE
    Odpowiedzi: 0
    Autor: 03-04-2008, 12:56
  2. bardzo prosze o pomoc!!!
    By lydia in forum Hacking
    Odpowiedzi: 13
    Autor: 01-24-2008, 20:07
  3. szukam pomocy, bardzo proszę...
    By nani in forum /dev/null
    Odpowiedzi: 6
    Autor: 10-26-2007, 20:11
  4. Keylogger bardzo potrzebny !!
    By sasi in forum /dev/null
    Odpowiedzi: 10
    Autor: 06-01-2007, 17:14
  5. Bardzo fajna strona !
    By Bart in forum Pomysły/Sugestie
    Odpowiedzi: 41
    Autor: 06-11-2006, 14:56

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj