Wirus tworzy plik w C: - analiza loga HijackThis na Windows XP SP2

Jakis wirus albo robal bezustannie zaklada plik c:\



Log z Hijack This:

Logfile of HijackThis v1.99.1
Scan saved at 21:30:29, on 2006-04-03
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\ptmn.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Gadu-Gadu\gg.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
C:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Documents and Settings\Administrator\Pulpit\HijackThis.exe
C:\totalcmd\WINCMD32.EXE
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Program Files\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SysTray] C:\Program Files\ptmn.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Norton SystemWorks] "C:\Program Files\Norton SystemWorks\cfgwiz.exe" /GUID {05858CFD-5CC4-4ceb-AAAF-CF00BF39736A} /MODE CfgWiz
O4 - HKCU\..\Run: [Shell] "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00003.exe"
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar1.dll/cmtrans.html
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SolidPDFConverterReadSpool (ScReadSpool) - VoyagerSoft, LLC - C:\Program Files\SolidDocuments\SolidConverterPDF\SCPDF\SolidPdfService.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe



Prosze o porady co robic. Leczenie Hijackiem nic nie daje, oproznienie folderu
C:\Program Files\Common Files\Microsoft Shared\Web Folders
(wlacznie z pikami ukrytymi) nic nie dalo.

pliku c:"\wininstall.exe nie ma nigdy sie nie pojawial.

Fix w hijackthis
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html <-usuń plik
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
O4 - HKCU\..\Run: [Shell] "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00003.exe" <-plik usuń
Nie wiem co to jest:
C:\Program Files\ptmn.exe
O4 - HKLM\..\Run: [SysTray] C:\Program Files\ptmn.exe
Jak Ty też nie wiesz, zakończ proces i usuń plik.

Przeskanuj system tym:
skaner online http://www.spywareinfo.com/xscan.php
ftp://download.hirekmedia.hu/ssfsetup1_0.exe <- zrób update przed skanowaniem, po przeskanowaniu odinstaluj.
http://download.ewido.net/ewido-setup.exe <- zrób update przed skanowaniem, po przeskanowaniu odinstaluj.

Jeżeli w nowym logu pojawi Ci się dalej wpis z ibm00003.exe mimo usunięcia pliku sprawdź w rejestrze w kluczu: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon czy wartość Shell ma tylko wpis Explorer.exe, cokolwiek więcej jest do usunięcia.

Po wszystkim wklej nowy log z hijackthis.

Ponadto masz dużo zbędnych programów uruchamianych w autostarcie (O4 w logu), zastanów się czy wszystkie są Ci potrzebne przy starcie systemu.

Miałem identyczny problem z wirusem pod XP (te same pliki + jeszcze kilka innych, niebieska strona secure32 w IE). Po usunięciu wszystkich jego komponentów (standardowe wyczyszczenie antywirusem) przeskanowanie programem antyspyware (Spy cleaner Gold) usunięciu plików z dysku "c:" folderów "program files" windows" "system32" pulpitu, moich dokumentów itd. Wyłączeniu go w msconfig (uruchamianie), usunięciu wpisów w rejestrze i jeszcze kilku operacjach antywirus już nic nie wykrył i antyspyware też. Całą operację wykonywałem przy wyłączonym routerze DSL. Dopóki modem był wyłączony system chodził stabilnie nic się nie działo, ślad po wirusie zaginął (nawet się z w msconfig nie pojawiło nic). Jednak z chwilą wciśnięcia przycisku od routera powstała inwazja. Antywirus raz po raz wykrywał te same pliki co wcześniej, SpyCleaner zauważył próbę ingerencji w rejestr.
Moje pytanie: Jak skutecznie usunąć tego syfa?

Problemem nie jest usunięcie, ale zabezpieczenie przed kolejnymi atakami. Twój problem jest typowym problemem użytkowników Windowsa bez aktualizacji łatkami krytycznymi, a bywa również, że bez SP2. Najczęściej właśnie taki przebieg ma walka z wirusami na pirackich Windowsach, których użytkownicy nie są w stanie zainstalować SP2 i późniejszych łatek. Części problemów można uniknąć używając przeglądarki innej niż IE.

artur.lubin

Z tego co piszesz wynika, że nie usunąłeś wszyskiego z systemu co dotyczyło robactwa.
Może nie usunąłeś plików tymczasowych (także internetowych), nie wyłączyłeś przywracania systemu, nie sprawdziłeś katalogu c:\WINDOWS\Prefetch\ itp.
Ponadto msconfig nie jest miejscem ani sposobem na usuwanie robactwa ! To tylko wyłącznik pewnych opcji, niczego na dobre nie usuwa !
Niestety md ma rację, żeby być bezpiecznym trzeba mieć conajmniej SP1 (najlepiej jednak SP2) i wszystkie łatki krytyczne (dostępne są nawet dla nielegalnych wersji XP na stronach M$). Zawsze prościej jest zabezpieczać niż leczyć.

Na Twoim miejscu poszukałbym "swojej" tapety tutaj: http://www.searchengines.pl/phpbb203/index.php?showtopic=31936 i próbował usunąć jej skutki.
Wklej też log z hijackthis.

Miejsca, które opisał Paweliw też "oczyściłem" a przywracanie było wyłączone. Co do łatek i SP2 to macie rację. Nie ma ich. Komputer, o którym wyżej wspomniałem należy do mojego kolegi, który regularnie odwiedza strony XXX . Ja tylko czasem wpadam usunąć skutki jego zainteresowań (poza oglądaniem "natury" i słuchaniem mp3 nie potrafi dobrze programu zainstalować). Kolega ma antywirus, który nie zrywa połączenia z zarażonymi stronami.

Życie w moim komputerze jest non-stop przeze mnie monitorowane dlatego ja na szczęście wirusy omijam z daleka.

PAWELIW usuń link do strony z wirusem gdyż ktoś przypadkowy może się na niego natknąć
Mi nie udało się wejść na nią bo AV zerwał połączenie ze stroną.

Aha co sądzicie o skuteczności Norton AntyVirusa 2005?

Pozdrawiam
Artur

artur.lubin napisał:

PAWELIW usuń link do strony z wirusem gdyż ktoś przypadkowy może się na niego natknąć
Mi nie udało się wejść na nią bo AV zerwał połączenie ze stroną.

Aha co sądzicie o skuteczności Norton AntyVirusa 2005?

Chodzi Ci o ten link http://www.searchengines.pl/phpbb203/index.php?showtopic=31936 ?
Tam nie ma żadnego wirusa ! Są jedynie opisy usuwania "opornych" pulpitów !

Jeżeli Twój antywirus nie pozwala na połączenie z tą stroną to dla mnie wystarczający powód by go zmienić (prawdopodobnie znajduje fragmenty kodu "robactwa" i traktuje je jako zagrożenie, co jest bzdurą totalną).

Tematów o opiniach użytkowników o różnych antywirusach jest na forum mnóstwo, wystarczy użyć SZUKAJ

Mnie wyskakuje informacja, że znaleziono na stronie egzemplarz: unp102111155 win32small-LX (trj) Co do stronki otwarłem ją. Faktycznie mój AV zrobił mnie w balona (ale wolę to niż miałby przepuszczać robaczki)

Informacje na podanej stronie bardzo przydatne za co dzięki bardzo.