Secabo utworzono 1 marca 2007 utworzono 1 marca 2007 Witam, chciałbym prosić o pomoc!! Sytuacja przedstawia się następująco (Przedstawię ją wypunktowaną by było zwięźlej i szybciej): -korzystając z internetowej telewizji, IE nałapał toolbarów i oprogramowania otwierającego okienek, trojanów itd. -próba usunięcia powiodła się ale niestety z gigantycznym skutkiem ubocznym - zatrzymanie kompletnie prawie wszystkich usług co spowodowało kolejne przeszukiwanie dysku kolejnymi programami -korzystając z programów typu SpyBoot, SpywareDoctor, Ad-Aware se personal, HijackThis, RemoveITPro oraz antywirusa NOD32 i Avast dokonałem eliminacji znalezionych i zidentyfikowanych sprawców infekcji (również ręcznie z dysku i rejestru) -wśród znalezionych m.in.:Agent.NEO , Agent.NGM , Rootkit.Agent.DP , Wigon.F , TrojanDownloader.Delf.NQZ , w Winlogon startował cryptimg.dll itd. -obecnie nic nie wskazuje na jakieś pozostałości infekcji, natomiast usługi dalej są zatrzymane i niemożliwe do uruchomienia -podczas próby uruchomienia usług z apletu Services.msc wyskakują powiadomienia o błędzie 1053:"Usługa nie odpowiada na sygnał uruchomienia lub sygnał sterujący w oczekiwanym czasie" (czasami także o 1068 ale to dlatego że usługi od których są zależne także są wyłączone) -jedyne usługi które są uruchomione to: Bufor wydruku, Dziennik zdarzeń, Klient DNS, Magazyn chroniony, Menedżer kont zabezpieczeń,Plug and play, Pomoc TCP/IP NetBIOS, Program uruchamiający proces serwera DCOM, Rejestr zdalny, Usługi IPSEC, Usługi terminalowe, WebClient, Windows User Mode Driver Framework, i najważniejsza Zdalne wywoływanie procedur(RPC) -co skutkuje brakiem przede wszystkim internetu, dźwięku :/ -odnośnie apletu services.msc nie można wogóle podejrzeć zależnosci pomiędzy usługami -w moich poczynaniach zamknąłem również porty programem Windows Worms Door Cleaner Wstawiam Log z HijackThis oraz podgląd procesów z programu procexp dla Winlogon i Services jaki i listę plików zainfekowanych ale usunietych 08:31:38: Infected file (Sys32.au_) C:DOCUME~1KasiaaUSTAWI~1Temp~nsu.tmpau_.exe08:31:38: Infected file (Sys32.4272cfsb) C:WINDOWSsystem324272cfsb.dll08:31:38: Infected file (Sys32.49c3ntos) C:WINDOWSsystem3249c3ntos.dll08:31:38: Infected file (Sys32.bind_50099) C:WINDOWSsystem32bind_50099.exe~08:31:38: Infected file (Sys32.cryptimg) C:WINDOWSsystem32cryptimg.dll08:31:38: Infected file (Sys32.dufs1) C:WINDOWSsystem32dufs1.exe08:31:38: Infected file (Sys32.ffudf) C:WINDOWSsystem32ffudf.exe08:31:38: Infected file (Sys32.process) C:WINDOWSsystem32process.exe08:31:38: Infected file (Sys32.srchsts) C:WINDOWSsystem32srchsts.exe08:31:38: Infected file (Sys32.swreg) C:WINDOWSsystem32swreg.exe08:31:38: Infected file (Sys32.updsffdsg1) C:WINDOWSsystem32updsffdsg1.exe Logfile of HijackThis v1.99.1Scan saved at 08:58:02, on 2007-03-01Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Running processes:C:WINDOWSSystem32smss.exeC:WINDOWSsystem32winlogon.exeC:WINDOWSsystem32services.exeC:WINDOWSsystem32lsass.exeC:WINDOWSsystem32svchost.exeC:WINDOWSsystem32svchost.exeC:WINDOWSsystem32spoolsv.exeC:WINDOWSExplorer.EXEC:Program FilesAlwil SoftwareAvast4aswUpdSv.exeC:Program FilesAlwil SoftwareAvast4ashServ.exeC:WINDOWSsystem32RUNDLL32.EXEC:Program FilesJavajre1.5.0_10binjusched.exeC:PROGRA~1ALWILS~1Avast4ashDisp.exeD:programyspyremoveitInCode SolutionsRemoveIT Pro v4-Trialremoveit.exeD:programyspyHijackThis.exeR0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = ŁączaO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesAdobeAcrobat 5.0 CEReaderActiveXAcroIEHelper.ocxO2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:Program FilesJavajre1.5.0_10binssv.dll[b]O2 - BHO: (no name) - {8f32a61f-a29a-4272-8b0d-4e03f37a8dbf} - C:WINDOWSsystem324272cfsb.dll (file missing)O3 - Toolbar: (no name) - {DFCB34B6-902D-426E-AE2B-1B294AE19F4F} - (no file)[/b]O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSsystem32NvCpl.dll,NvStartupO4 - HKLM..Run: [sunJavaUpdateSched] "C:Program FilesJavajre1.5.0_10binjusched.exe"O4 - HKLM..Run: [Resume copy] copyfstq.exe /startupO4 - HKLM..Run: [avast!] C:PROGRA~1ALWILS~1Avast4ashDisp.exeO4 - HKCU..Run: [RemoveIT Pro XT] D:programyspyremoveitInCode SolutionsRemoveIT Pro v4-Trialremoveit.exeO8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:PROGRA~1MICROS~2OFFICE11EXCEL.EXE/3000O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.5.0_10binssv.dllO9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.5.0_10binssv.dllO9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:WINDOWSsystem32shdocvw.dllO16 - DPF: {BFA1F11D-3121-AFE1-4112-894323212DAC} (GameDesire Word Games) - http://67.15.101.3/g_bin/pl/words_2_0_0_42.cabO16 - DPF: {BFA1F11D-3121-AFE1-4112-983219421AEF} (GameDesire 1Player Word Games) - http://67.15.101.3/g_bin/pl/wordssingle_2_0_0_40.cabO16 - DPF: {E23FABEE-12E3-33DA-DA12-195DAC123984} (GameDesire Mahjong) - http://67.15.101.3/g_bin/pl/mahjong_2_0_0_24.cabO16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C1} (GameDesire Pool 8) - http://67.15.101.3/g_bin/pl/billard8_2_0_0_28.cabO16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C3} (GameDesire Pool 14) - http://67.15.101.3/g_bin/pl/billard14_2_0_0_28.cabO16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C5} (GameDesire Snooker) - http://67.15.101.3/g_bin/pl/snooker_2_0_0_28.cabO20 - Winlogon Notify: WRNotifier - C:WINDOWSO23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:WINDOWSMicrosoft.NETFrameworkv2.0.50727aspnet_state.exe (file missing)O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:Program FilesAlwil SoftwareAvast4aswUpdSv.exeO23 - Service: avast! Antivirus - Unknown owner - C:Program FilesAlwil SoftwareAvast4ashServ.exeO23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:WINDOWSsystem32nvsvc32.exeO23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:Program FilesCommon FilesSymantec SharedSNDSrvc.exe Process PID CPU Description Company NameSystem Idle Process 0 84.85 Interrupts n/a Hardware Interrupts DPCs n/a Deferred Procedure Calls System 4 smss.exe 464 Menedżer sesji Windows NT Microsoft Corporation csrss.exe 520 9.09 Client Server Runtime Process Microsoft Corporation winlogon.exe 544 1.52 Aplikacja logowania systemu Windows NT Microsoft Corporation services.exe 588 Usługi i aplikacja Kontroler Microsoft Corporation svchost.exe 764 Generic Host Process for Win32 Services Microsoft Corporation svchost.exe 808 Generic Host Process for Win32 Services Microsoft Corporation svchost.exe 912 Generic Host Process for Win32 Services Microsoft Corporation svchost.exe 936 Generic Host Process for Win32 Services Microsoft Corporation spoolsv.exe 996 Spooler SubSystem App Microsoft Corporation alg.exe 1096 Application Layer Gateway Service Microsoft Corporation aswUpdSv.exe 1156 ashServ.exe 1172 avast! antivirus service wdfmgr.exe 1332 Windows User Mode Driver Manager Microsoft Corporation svchost.exe 1344 1.52 Generic Host Process for Win32 Services Microsoft Corporation lsass.exe 600 LSA Shell (Export Version) Microsoft Corporationexplorer.exe 1652 Eksplorator Windows Microsoft Corporationrundll32.exe 1780 Uruchamia plik DLL jako aplikację Microsoft Corporationjusched.exe 1808 Java 2 Platform Standard Edition binary Sun Microsystems, Inc.ashDisp.exe 1824 avast! service GUI component removeit.exe 1868 procexp.exe 188 1.52 Sysinternals Process Explorer SysinternalsProcess: winlogon.exe Pid: 544Name Description Company Name Versionunicode.nls locale.nls sortkey.nls sorttbls.nls ctype.nls R000000000007.clb c_1252.nls winlogon.exe Aplikacja logowania systemu Windows NT Microsoft Corporation 5.01.2600.2180ntdll.dll Biblioteka NT Layer DLL Microsoft Corporation 5.01.2600.2180kernel32.dll Biblioteka DLL klienta Windows NT BASE API Microsoft Corporation 5.01.2600.2180advapi32.dll Advanced Windows 32 Base API Microsoft Corporation 5.01.2600.2180rpcrt4.dll Remote Procedure Call Runtime Microsoft Corporation 5.01.2600.2180authz.dll Authorization Framework Microsoft Corporation 5.01.2600.2180msvcrt.dll Windows NT CRT DLL Microsoft Corporation 7.00.2600.2180crypt32.dll Crypto API32 Microsoft Corporation 5.131.2600.2180user32.dll Biblioteka DLL klienta Windows XP USER API Microsoft Corporation 5.01.2600.2180gdi32.dll GDI Client DLL Microsoft Corporation 5.01.2600.2180msasn1.dll ASN.1 Runtime APIs Microsoft Corporation 5.01.2600.2180nddeapi.dll Interfejsy API zarządzania udziałami DDE sieci Microsoft Corporation 5.01.2600.2180profmap.dll Userenv Microsoft Corporation 5.01.2600.2180netapi32.dll Net Win32 API DLL Microsoft Corporation 5.01.2600.2180userenv.dll Userenv Microsoft Corporation 5.01.2600.2180psapi.dll Process Status Helper Microsoft Corporation 5.01.2600.2180regapi.dll Registry Configuration APIs Microsoft Corporation 5.01.2600.2180secur32.dll Security Support Provider Interface Microsoft Corporation 5.01.2600.2180setupapi.dll Interfejs API Instalatora systemu Windows Microsoft Corporation 5.01.2600.2180version.dll Version Checking and File Installation Libraries Microsoft Corporation 5.01.2600.2180winsta.dll Winstation Library Microsoft Corporation 5.01.2600.2180wintrust.dll Interfejsy API potwierdzania zaufania firmy Microsoft Microsoft Corporation 5.131.2600.2180imagehlp.dll Windows NT Image Helper Microsoft Corporation 5.01.2600.2180ws2_32.dll Windows Socket 2.0 32-Bit DLL Microsoft Corporation 5.01.2600.2180ws2help.dll Windows Socket 2.0 Helper dla Windows NT Microsoft Corporation 5.01.2600.2180msgina.dll Biblioteka DLL GINA logowania systemu Windows NT Microsoft Corporation 5.01.2600.2180shell32.dll Wspólna biblioteka DLL Powłoki systemu Windows Microsoft Corporation 6.00.2900.2180shlwapi.dll Biblioteka dodatkowych narzędzi powłoki Microsoft Corporation 6.00.2900.2180comctl32.dll Common Controls Library Microsoft Corporation 5.82.2900.2180odbc32.dll Microsoft Data Access - ODBC Driver Manager Microsoft Corporation 3.525.1117.0000comdlg32.dll Plik DLL wspólnych okien dialogowych Microsoft Corporation 6.00.2900.2180comctl32.dll User Experience Controls Library Microsoft Corporation 6.00.2900.2180odbcint.dll Microsoft Data Access - Zasoby ODBC Microsoft Corporation 3.525.1117.0000shsvcs.dll Biblioteka DLL usług powłoki systemu Windows Microsoft Corporation 6.00.2900.2180sfc.dll Windows File Protection Microsoft Corporation 5.01.2600.2180sfc_os.dll Ochrona plików systemu Windows Microsoft Corporation 5.01.2600.2180ole32.dll Microsoft OLE for Windows Microsoft Corporation 5.01.2600.2180apphelp.dll Application Compatibility Client Library Microsoft Corporation 5.01.2600.2180winscard.dll Microsoft Smart Card API Microsoft Corporation 5.01.2600.2180wtsapi32.dll Windows Terminal Server SDK APIs Microsoft Corporation 5.01.2600.2180sxs.dll Fusion 2.5 Microsoft Corporation 5.01.2600.2180winmm.dll MCI API DLL Microsoft Corporation 5.01.2600.2180cscdll.dll Agent sieci w trybie offline Microsoft Corporation 5.01.2600.2180rsaenh.dll Microsoft Enhanced Cryptographic Provider Microsoft Corporation 5.01.2600.2161wlnotify.dll Wspólna biblioteka DLL do odbierania powiadomień usługi Winlogon Microsoft Corporation 5.01.2600.2180winspool.drv Windows Spooler Driver Microsoft Corporation 5.01.2600.2180mpr.dll Multiple Provider Router DLL Microsoft Corporation 5.01.2600.2180uxtheme.dll Biblioteka Microsoft UxTheme Microsoft Corporation 6.00.2900.2180samlib.dll SAM Library DLL Microsoft Corporation 5.01.2600.2180wldap32.dll Win32 LDAP API DLL Microsoft Corporation 5.01.2600.2180cscui.dll Interfejs użytkownika buforowania z strony klienta Microsoft Corporation 5.01.2600.2180xpsp2res.dll Komunikaty pakietu Service Pack 2 Microsoft Corporation 5.01.2600.2180ntmarta.dll Windows NT - dostawca MARTA Microsoft Corporation 5.01.2600.2180comres.dll Microsoft Corporation 2001.12.4414.0258oleaut32.dll Microsoft Corporation 5.01.2600.2180clbcatq.dll Microsoft Corporation 2001.12.4414.0258 Process PID CPU Description Company NameSystem Idle Process 0 92.31 Interrupts n/a Hardware Interrupts DPCs n/a Deferred Procedure Calls System 4 smss.exe 464 Menedżer sesji Windows NT Microsoft Corporation csrss.exe 520 4.62 Client Server Runtime Process Microsoft Corporation winlogon.exe 544 Aplikacja logowania systemu Windows NT Microsoft Corporation services.exe 588 Usługi i aplikacja Kontroler Microsoft Corporation svchost.exe 764 Generic Host Process for Win32 Services Microsoft Corporation svchost.exe 808 Generic Host Process for Win32 Services Microsoft Corporation svchost.exe 912 Generic Host Process for Win32 Services Microsoft Corporation svchost.exe 936 Generic Host Process for Win32 Services Microsoft Corporation spoolsv.exe 996 Spooler SubSystem App Microsoft Corporation alg.exe 1096 Application Layer Gateway Service Microsoft Corporation aswUpdSv.exe 1156 ashServ.exe 1172 avast! antivirus service wdfmgr.exe 1332 Windows User Mode Driver Manager Microsoft Corporation lsass.exe 600 LSA Shell (Export Version) Microsoft Corporationexplorer.exe 1652 Eksplorator Windows Microsoft Corporationrundll32.exe 1780 Uruchamia plik DLL jako aplikację Microsoft Corporationjusched.exe 1808 Java 2 Platform Standard Edition binary Sun Microsystems, Inc.ashDisp.exe 1824 avast! service GUI component removeit.exe 1868 procexp.exe 188 1.54 Sysinternals Process Explorer SysinternalsProcess: services.exe Pid: 588Name Description Company Name Versionunicode.nls locale.nls sortkey.nls sorttbls.nls ctype.nls Antivirus.Evt AppEvent.Evt SecEvent.Evt SysEvent.Evt services.exe Usługi i aplikacja Kontroler Microsoft Corporation 5.01.2600.2180ntdll.dll Biblioteka NT Layer DLL Microsoft Corporation 5.01.2600.2180kernel32.dll Biblioteka DLL klienta Windows NT BASE API Microsoft Corporation 5.01.2600.2180msvcrt.dll Windows NT CRT DLL Microsoft Corporation 7.00.2600.2180advapi32.dll Advanced Windows 32 Base API Microsoft Corporation 5.01.2600.2180rpcrt4.dll Remote Procedure Call Runtime Microsoft Corporation 5.01.2600.2180user32.dll Biblioteka DLL klienta Windows XP USER API Microsoft Corporation 5.01.2600.2180gdi32.dll GDI Client DLL Microsoft Corporation 5.01.2600.2180userenv.dll Userenv Microsoft Corporation 5.01.2600.2180scesrv.dll Aparat edytora konfiguracji zabezpieczeń w systemie Windows Microsoft Corporation 5.01.2600.2180authz.dll Authorization Framework Microsoft Corporation 5.01.2600.2180umpnpmgr.dll Usługa Plug-and-Play trybu użytkownika Microsoft Corporation 5.01.2600.2180winsta.dll Winstation Library Microsoft Corporation 5.01.2600.2180netapi32.dll Net Win32 API DLL Microsoft Corporation 5.01.2600.2180ncobjapi.dll Microsoft Corporation 5.01.2600.2180msvcp60.dll Microsoft ® C++ Runtime Library Microsoft Corporation 6.02.3104.0000shimeng.dll Shim Engine DLL Microsoft Corporation 5.01.2600.2180AcGenral.dll Windows Compatibility DLL Microsoft Corporation 5.01.2600.2180winmm.dll MCI API DLL Microsoft Corporation 5.01.2600.2180ole32.dll Microsoft OLE for Windows Microsoft Corporation 5.01.2600.2180oleaut32.dll Microsoft Corporation 5.01.2600.2180msacm32.dll Filtr audio ACM Microsoft Microsoft Corporation 5.01.2600.2180version.dll Version Checking and File Installation Libraries Microsoft Corporation 5.01.2600.2180shell32.dll Wspólna biblioteka DLL Powłoki systemu Windows Microsoft Corporation 6.00.2900.2180shlwapi.dll Biblioteka dodatkowych narzędzi powłoki Microsoft Corporation 6.00.2900.2180uxtheme.dll Biblioteka Microsoft UxTheme Microsoft Corporation 6.00.2900.2180comctl32.dll User Experience Controls Library Microsoft Corporation 6.00.2900.2180comctl32.dll Common Controls Library Microsoft Corporation 5.82.2900.2180secur32.dll Security Support Provider Interface Microsoft Corporation 5.01.2600.2180apphelp.dll Application Compatibility Client Library Microsoft Corporation 5.01.2600.2180eventlog.dll Usługa rejestrowania zdarzeń Microsoft Corporation 5.01.2600.2180ws2_32.dll Windows Socket 2.0 32-Bit DLL Microsoft Corporation 5.01.2600.2180ws2help.dll Windows Socket 2.0 Helper dla Windows NT Microsoft Corporation 5.01.2600.2180psapi.dll Process Status Helper Microsoft Corporation 5.01.2600.2180wtsapi32.dll Windows Terminal Server SDK APIs Microsoft Corporation 5.01.2600.2180 Trochę tego tu nawrzucałem ale chciałem opisać mniej więcej dokładnie jeśli czegoś brak proszę piszcie dołączę P.s. wpisów pogrubionych z HijackThis nie mogę zafixować ani usunąć kluczy z rejestru nawet w trybie awaryjnym z poziomu administratora :/ oczywiście regedit się bez problemu uruchamia Proszę o jakieś rozwiązania, tylko proszę nie wspominać o formacie z góry dziękuję za pomoc i czekam na odpowiedzi
Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!
Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.