| Author |
Message
|
ogryz
Poziom 24
Joined: 25 Mar 2005
Posts: 4148
Location: Kościan
|
 #1
 17 Nov 2005 21:21 WinXP i uciążliwy spyware - co przeczyłem? |
|
|
|
Witam!
Mam dość uciążliwy problem z spyware'm na WinXP. Otóż wczoraj wszedłem z google na jakąś stronkę (niby o TV), po czym przeglądarka się wyłączyła. Po jej ponownym uruchomieniu, otawrła się jakaś strona syserrors. Strona startowa nie została podmieniona (w ustawieniach jest nią nadal elektroda), lecz po uruchomieniu przeglądarki widoczny jest adres
| Quote: |
| res://C:\WINDOWS\System32\shdoclc.dll/navcancl.htm |
po czym następuje przekierowanie na wcześniej wspomnianą stronę (po wpisaniu adresu elektrody też przekierowuje na tą stronę). Dodatkowo ciągle pojawiały się monity (fałszywe) o infekcji komputera przez spyware, antywir wykrywał (prawdziwe) co kilka minut trojany (m.in. HoaxAlarm-M).
Pierwszym krokiem była zmiana nazwy pliku shdoclc.dll na shdoclc.dl_. Przeszukując forum natrafiłem na porady dotyczące tego typu problemów (skanowanie antywirem, Ad-Ware, CWShredder - programy nic nie znalazły). Uruchomiłem HijackThis i oto co wyświetlił:
| Quote: |
Logfile of HijackThis v1.99.1
Scan saved at 19:15:15, on 2005-11-17
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\nvctrl.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\ lsass.exe
C:\WINDOWS\System32\ svchost.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Gadu-Gadu\gg.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\ svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\ lsass.exe
C:\WINDOWS\System32\mssearchnet.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\ogryz\USTAWI~1\Temp\Rar$EX00.495\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://elektroda.pl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
F2 - REG:system.ini: Shell=
O2 - BHO: HomepageBHO - {e9ccf15d-4c68-4b5a-9e9a-8e12e4bd39bd} - C:\WINDOWS\System32\hpF12A.tmp
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [MS-patch33] winsecurity.exe
O4 - HKLM\..\Run: [WindowsUpdatelsass] lsass.exe
O4 - HKLM\..\Run: [WindowsUpdatesvchost] svchost.exe
O4 - HKLM\..\RunServices: [MS-patch33] winsecurity.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
O15 - Trusted Zone: *.coolwebsearch.com
O15 - Trusted Zone: *.searchmeup.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1132180234423
O20 - Winlogon Notify: gs - C:\WINDOWS\adsldpbd.dll
O20 - Winlogon Notify: st3 - C:\WINDOWS\system32\st3.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe |
Pliki zaznaczone pogrubieniem usunąłem (z poziomu innego systemu), wpisy oznaczone kursywą również (po restarcie). Jednak nie rozwiązało to problemu. Co prawda monity o infekcji spywarem się już nie pokazują, ale antywir nadal wykrywa trojana HoaxAlarm-M, a przeglądarka nadal przekierowuje do stronki syserrors. Log z HijackThis po moich zabiegach wygląda tak:
| Quote: |
Logfile of HijackThis v1.99.1
Scan saved at 20:44:59, on 2005-11-17
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\nvctrl.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\ lsass.exe
C:\WINDOWS\System32\ svchost.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Gadu-Gadu\gg.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\ogryz\USTAWI~1\Temp\Rar$EX07.502\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://elektroda.pl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
F2 - REG:system.ini: Shell=
O2 - BHO: HomepageBHO - {e9ccf15d-4c68-4b5a-9e9a-8e12e4bd39bd} - C:\WINDOWS\System32\hp152.tmp
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [WindowsUpdatelsass] lsass.exe
O4 - HKLM\..\Run: [WindowsUpdatesvchost] svchost.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
O15 - Trusted Zone: *.coolwebsearch.com
O15 - Trusted Zone: *.searchmeup.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1132180234423
O20 - Winlogon Notify: gs - C:\WINDOWS\adsldpbd.dll (file missing)
O20 - Winlogon Notify: st3 - C:\WINDOWS\system32\st3.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe |
I teraz już nie wiem co robić - brak pomysłów :(
Pozdrawiam.
|
|
| Back to top |
|
 |
Adam770
Poziom 14
Joined: 06 Sep 2005
Posts: 184
Location: Krosno
|
#2
17 Nov 2005 22:05 Re: WinXP i uciążliwy spyware - co przeczyłem? |
|
|
|
Wywal to:
C:\WINDOWS\System32\nvctrl.exe
O2 - BHO: HomepageBHO - {e9ccf15d-4c68-4b5a-9e9a-8e12e4bd39bd} - C:\WINDOWS\System32\hp152.tmp
O4 - HKLM\..\Run: [WindowsUpdatelsass] lsass.exe
O4 - HKLM\..\Run: [WindowsUpdatesvchost] svchost.exe
O15 - Trusted Zone: *.coolwebsearch.com
O15 - Trusted Zone: *.searchmeup.com
O20 - Winlogon Notify: gs - C:\WINDOWS\adsldpbd.dll (file missing)
O20 - Winlogon Notify: st3 - C:\WINDOWS\system32\st3.dll (file missing)
i zaktualizuj IE
|
|
| Back to top |
|
|
ogryz
Poziom 24
Joined: 25 Mar 2005
Posts: 4148
Location: Kościan
|
#3
18 Nov 2005 13:12 WinXP i uciążliwy spyware - co przeczyłem? |
|
|
|
A więc tak - usunąłem co zaznaczyłeś i faktycznie problem ustąpił prawie całkowicie (strony już nie przekierowywało ale nadal Avast wykrywał co kilka minut trojana HoaxAlarm). Przeskanowałem system avastem, ad-ware i CWSem i nic nie znalazły. Dziś gdy zabierałem się za pisanie tej odpowiedzi przeglądarka sama z siebie (nie wchodziłem na żadne strony prócz elektrody) wyłączyła się. Po jej ponownym uruchomieniu zobaczyłem znaną mi stronkę z "antyspywarem". Zabiegi bezzwłocznie powtórzyłem, lecz coś jeszcze pozostało w systemie. Wrzucam log z HijackThis:
| Quote: |
Logfile of HijackThis v1.99.1
Scan saved at 12:47:42, on 2005-11-18
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Gadu-Gadu\gg.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\nvctrl.exe
C:\WINDOWS\System32\mssearchnet.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\ogryz\USTAWI~1\Temp\Rar$EX00.715\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://elektroda.pl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
F2 - REG:system.ini: Shell=
O2 - BHO: HomepageBHO - {e9ccf15d-4c68-4b5a-9e9a-8e12e4bd39bd} - C:\WINDOWS\System32\hpC33A.tmp
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1132180234423
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe |
Elementy pogrubione wywaliłem. Dodatkowo znalazłem plik C:\WINDOWS\System32\wuauclt1.exe, który podejrzewam, że był jakąś kopią tego z logu HijackThis (oczywiście usunąłem go). Co dalej?
Pozdrawiam.
P.S. Za aktualizację IE jeszcze się nie zabierałem bo już mi wczoraj czasu brakowało.
|
|
| Back to top |
|
|
Google
|
| #
18 Nov 2005 13:12 |
|
|
|
|
|
| Back to top |
|
|
Adam770
Poziom 14
Joined: 06 Sep 2005
Posts: 184
Location: Krosno
|
|
| Back to top |
|
|
Google
|
| #
18 Nov 2005 14:26 |
|
|
|
|
|
| Back to top |
|
|
ogryz
Poziom 24
Joined: 25 Mar 2005
Posts: 4148
Location: Kościan
|
#5
19 Nov 2005 20:01 WinXP i uciążliwy spyware - co przeczyłem? |
|
|
|
Dzięki wielkie, problem jak na razie chyba rozwiązany.
CWShredder nic nie wykrył. Z linku, który podałeś zainstalowałem SpyBot S&D i wykrył 6 robaków, jednak to nie rozwiązało problemu. Dopiero skaner on-line MKS wykrył jeszcze 6 robaków (w tym 3 opisane jako "trojan.downloader") i od 3 godzin nie miałem komunikatu o HoaxAlarm :) Az trudno uwierzyć, że tyle paskudztwa na komputerze miałem!
Mam jeszcze jeden problem nie związany z tematem (nie chcę niepotrzebnie zakładać nowego tematu). Otóż przy starcie, windows wyświetla komunikat, że jeden z dysków wymaga sprawdzenia spójności danych. Gdy odliczanie dobiega do końca pojawia się komunikat, że "nie można przeskanować dysku, ponieważ nie jest to dysk systemu windows. Czy skanować mimo to?". System automatycznie wybiera opcję "Nie" i kontynuuje ładowanie systemu. Problem jest o tyle denerwujący, że pojawia się przy każdym starcie systemu. Dodam iż problemowa partycja znajduje się na drugim dysku, na którym mam "awaryjny" W98. Co z tym można zrobić?
Pozdrawiam.
|
|
| Back to top |
|
|
Adam770
Poziom 14
Joined: 06 Sep 2005
Posts: 184
Location: Krosno
|
#6
19 Nov 2005 20:31 WinXP i uciążliwy spyware - co przeczyłem? |
|
|
|
Przeskanuj ten dysk z poziomu WinXP
|
|
| Back to top |
|
|
ogryz
Poziom 24
Joined: 25 Mar 2005
Posts: 4148
Location: Kościan
|
#7
19 Nov 2005 20:59 WinXP i uciążliwy spyware - co przeczyłem? |
|
|
|
Uruchomiłem sprawdzanie błędów we właściwościach dysku - skanowanie trwało mniej niż 1sek. (partycja ma 3.2GB). Po restarcie problem nie zniknął :(
Pozdrawiam.
|
|
| Back to top |
|
|
Adam770
Poziom 14
Joined: 06 Sep 2005
Posts: 184
Location: Krosno
|
#8
20 Nov 2005 15:13 WinXP i uciążliwy spyware - co przeczyłem? |
|
|
|
A czy zaznaczyłeś opcję "Automatycznie naprawiaj błędy" ?
|
|
| Back to top |
|
|
Google
|
| #
20 Nov 2005 15:13 |
|
|
|
|
|
| Back to top |
|
|
ogryz
Poziom 24
Joined: 25 Mar 2005
Posts: 4148
Location: Kościan
|
#9
20 Nov 2005 15:38 WinXP i uciążliwy spyware - co przeczyłem? |
|
|
|
Zaznaczyłem. Próbowałem go sprawdzić z poziomu W98 i tam wykrył błędy i je wszystkie usunął. Jednak przy uruchamianiu WXP nadal pojawia się komunikat o błędach. Wygląda to tak jakby XP wogóle nie podejmował próby sprawdzenia i kwitował to komunikatami: "nie można sprawdzić" lub "sprawdzanie zostało zakończone", tylko dlaczego?
Pozdrawiam.
|
|
| Back to top |
|
|
321Kami
Poziom 18
Joined: 02 Nov 2004
Posts: 526
Location: Koszalin
|
#10
20 Nov 2005 15:46 Re: WinXP i uciążliwy spyware - co przeczyłem? |
|
|
|
ja bym odpalił kompa z konsoli odzyskiwania (płyta windows Xp i na pierwszym oknie wciskasz R) po czym w lini komend wpisał chkdsk X: gdzie X oznacza partycję którą chcesz sprawdzić
Pozdrowienia
|
|
| Back to top |
|
|
ogryz
Poziom 24
Joined: 25 Mar 2005
Posts: 4148
Location: Kościan
|
#11
20 Nov 2005 22:21 WinXP i uciążliwy spyware - co przeczyłem? |
|
|
|
Problem rozwiązany. Uruchomiłem system w trybie awaryjnym z wierszem polecenia i wpisałem chkdsk /f X: (bez parametru /f program jedynie sprawdza partycję nie naprawiając błędów). Okazało się, że system miał problemy z deinstalacją woluminu i dlatego nie skanował dysku przy starcie.
Pozdrawiam i dziękuję obu kolegom za pomoc.
Temat można zamknąć.
|
|
| Back to top |
|
|
