x-kom hosting

Usługi nie do uruchomienia

Secabo
utworzono
utworzono

Witam, chciałbym prosić o pomoc!!

Sytuacja przedstawia się następująco (Przedstawię ją wypunktowaną by było zwięźlej i szybciej):

-korzystając z internetowej telewizji, IE nałapał toolbarów i oprogramowania otwierającego okienek, trojanów itd.

-próba usunięcia powiodła się ale niestety z gigantycznym skutkiem ubocznym - zatrzymanie kompletnie prawie wszystkich usług co spowodowało kolejne przeszukiwanie dysku kolejnymi programami

-korzystając z programów typu SpyBoot, SpywareDoctor, Ad-Aware se personal, HijackThis, RemoveITPro oraz antywirusa NOD32 i Avast dokonałem eliminacji znalezionych i zidentyfikowanych sprawców infekcji (również ręcznie z dysku i rejestru)

-wśród znalezionych m.in.:Agent.NEO , Agent.NGM , Rootkit.Agent.DP , Wigon.F , TrojanDownloader.Delf.NQZ , w Winlogon startował cryptimg.dll itd.

-obecnie nic nie wskazuje na jakieś pozostałości infekcji, natomiast usługi dalej są zatrzymane i niemożliwe do uruchomienia

-podczas próby uruchomienia usług z apletu Services.msc wyskakują powiadomienia o błędzie 1053:"Usługa nie odpowiada na sygnał uruchomienia lub sygnał sterujący w oczekiwanym czasie" (czasami także o 1068 ale to dlatego że usługi od których są zależne także są wyłączone)

-jedyne usługi które są uruchomione to: Bufor wydruku, Dziennik zdarzeń, Klient DNS, Magazyn chroniony, Menedżer kont zabezpieczeń,Plug and play, Pomoc TCP/IP NetBIOS, Program uruchamiający proces serwera DCOM, Rejestr zdalny, Usługi IPSEC, Usługi terminalowe, WebClient, Windows User Mode Driver Framework, i najważniejsza Zdalne wywoływanie procedur(RPC)

-co skutkuje brakiem przede wszystkim internetu, dźwięku :/

-odnośnie apletu services.msc nie można wogóle podejrzeć zależnosci pomiędzy usługami

-w moich poczynaniach zamknąłem również porty programem Windows Worms Door Cleaner

Wstawiam Log z HijackThis oraz podgląd procesów z programu procexp dla Winlogon i Services jaki i listę plików zainfekowanych ale usunietych

08:31:38: Infected file (Sys32.au_) C:DOCUME~1KasiaaUSTAWI~1Temp~nsu.tmpau_.exe08:31:38: Infected file (Sys32.4272cfsb) C:WINDOWSsystem324272cfsb.dll08:31:38: Infected file (Sys32.49c3ntos) C:WINDOWSsystem3249c3ntos.dll08:31:38: Infected file (Sys32.bind_50099) C:WINDOWSsystem32bind_50099.exe~08:31:38: Infected file (Sys32.cryptimg) C:WINDOWSsystem32cryptimg.dll08:31:38: Infected file (Sys32.dufs1) C:WINDOWSsystem32dufs1.exe08:31:38: Infected file (Sys32.ffudf) C:WINDOWSsystem32ffudf.exe08:31:38: Infected file (Sys32.process) C:WINDOWSsystem32process.exe08:31:38: Infected file (Sys32.srchsts) C:WINDOWSsystem32srchsts.exe08:31:38: Infected file (Sys32.swreg) C:WINDOWSsystem32swreg.exe08:31:38: Infected file (Sys32.updsffdsg1) C:WINDOWSsystem32updsffdsg1.exe
Logfile of HijackThis v1.99.1Scan saved at 08:58:02, on 2007-03-01Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Running processes:C:WINDOWSSystem32smss.exeC:WINDOWSsystem32winlogon.exeC:WINDOWSsystem32services.exeC:WINDOWSsystem32lsass.exeC:WINDOWSsystem32svchost.exeC:WINDOWSsystem32svchost.exeC:WINDOWSsystem32spoolsv.exeC:WINDOWSExplorer.EXEC:Program FilesAlwil SoftwareAvast4aswUpdSv.exeC:Program FilesAlwil SoftwareAvast4ashServ.exeC:WINDOWSsystem32RUNDLL32.EXEC:Program FilesJavajre1.5.0_10binjusched.exeC:PROGRA~1ALWILS~1Avast4ashDisp.exeD:programyspyremoveitInCode SolutionsRemoveIT Pro v4-Trialremoveit.exeD:programyspyHijackThis.exeR0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = ŁączaO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesAdobeAcrobat 5.0 CEReaderActiveXAcroIEHelper.ocxO2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:Program FilesJavajre1.5.0_10binssv.dll[b]O2 - BHO: (no name) - {8f32a61f-a29a-4272-8b0d-4e03f37a8dbf} - C:WINDOWSsystem324272cfsb.dll (file missing)O3 - Toolbar: (no name) - {DFCB34B6-902D-426E-AE2B-1B294AE19F4F} - (no file)[/b]O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSsystem32NvCpl.dll,NvStartupO4 - HKLM..Run: [sunJavaUpdateSched] "C:Program FilesJavajre1.5.0_10binjusched.exe"O4 - HKLM..Run: [Resume copy] copyfstq.exe /startupO4 - HKLM..Run: [avast!] C:PROGRA~1ALWILS~1Avast4ashDisp.exeO4 - HKCU..Run: [RemoveIT Pro XT] D:programyspyremoveitInCode SolutionsRemoveIT Pro v4-Trialremoveit.exeO8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:PROGRA~1MICROS~2OFFICE11EXCEL.EXE/3000O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.5.0_10binssv.dllO9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.5.0_10binssv.dllO9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:WINDOWSsystem32shdocvw.dllO16 - DPF: {BFA1F11D-3121-AFE1-4112-894323212DAC} (GameDesire Word Games) - http://67.15.101.3/g_bin/pl/words_2_0_0_42.cabO16 - DPF: {BFA1F11D-3121-AFE1-4112-983219421AEF} (GameDesire 1Player Word Games) - http://67.15.101.3/g_bin/pl/wordssingle_2_0_0_40.cabO16 - DPF: {E23FABEE-12E3-33DA-DA12-195DAC123984} (GameDesire Mahjong) - http://67.15.101.3/g_bin/pl/mahjong_2_0_0_24.cabO16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C1} (GameDesire Pool 8) - http://67.15.101.3/g_bin/pl/billard8_2_0_0_28.cabO16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C3} (GameDesire Pool 14) - http://67.15.101.3/g_bin/pl/billard14_2_0_0_28.cabO16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C5} (GameDesire Snooker) - http://67.15.101.3/g_bin/pl/snooker_2_0_0_28.cabO20 - Winlogon Notify: WRNotifier - C:WINDOWSO23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:WINDOWSMicrosoft.NETFrameworkv2.0.50727aspnet_state.exe (file missing)O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:Program FilesAlwil SoftwareAvast4aswUpdSv.exeO23 - Service: avast! Antivirus - Unknown owner - C:Program FilesAlwil SoftwareAvast4ashServ.exeO23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:WINDOWSsystem32nvsvc32.exeO23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:Program FilesCommon FilesSymantec SharedSNDSrvc.exe
Process	PID	CPU	Description	Company NameSystem Idle Process	0	84.85		Interrupts	n/a		Hardware Interrupts	DPCs	n/a		Deferred Procedure Calls	System	4			  smss.exe	464		Menedżer sesji Windows NT	Microsoft Corporation   csrss.exe	520	9.09	Client Server Runtime Process	Microsoft Corporation   winlogon.exe	544	1.52	Aplikacja logowania systemu Windows NT	Microsoft Corporation	services.exe	588		Usługi i aplikacja Kontroler	Microsoft Corporation	 svchost.exe	764		Generic Host Process for Win32 Services	Microsoft Corporation	 svchost.exe	808		Generic Host Process for Win32 Services	Microsoft Corporation	 svchost.exe	912		Generic Host Process for Win32 Services	Microsoft Corporation	 svchost.exe	936		Generic Host Process for Win32 Services	Microsoft Corporation	 spoolsv.exe	996		Spooler SubSystem App	Microsoft Corporation	 alg.exe	1096		Application Layer Gateway Service	Microsoft Corporation	 aswUpdSv.exe	1156				 ashServ.exe	1172		avast! antivirus service		 wdfmgr.exe	1332		Windows User Mode Driver Manager	Microsoft Corporation	 svchost.exe	1344	1.52	Generic Host Process for Win32 Services	Microsoft Corporation	lsass.exe	600		LSA Shell (Export Version)	Microsoft Corporationexplorer.exe	1652		Eksplorator Windows	Microsoft Corporationrundll32.exe	1780		Uruchamia plik DLL jako aplikację	Microsoft Corporationjusched.exe	1808		Java 2 Platform Standard Edition binary	Sun Microsystems, Inc.ashDisp.exe	1824		avast! service GUI component	removeit.exe	1868			procexp.exe	188	1.52	Sysinternals Process Explorer	SysinternalsProcess: winlogon.exe Pid: 544Name	Description	Company Name	Versionunicode.nls			locale.nls			sortkey.nls			sorttbls.nls			ctype.nls			R000000000007.clb			c_1252.nls			winlogon.exe	Aplikacja logowania systemu Windows NT	Microsoft Corporation	5.01.2600.2180ntdll.dll	Biblioteka NT Layer DLL	Microsoft Corporation	5.01.2600.2180kernel32.dll	Biblioteka DLL klienta Windows NT BASE API	Microsoft Corporation	5.01.2600.2180advapi32.dll	Advanced Windows 32 Base API	Microsoft Corporation	5.01.2600.2180rpcrt4.dll	Remote Procedure Call Runtime	Microsoft Corporation	5.01.2600.2180authz.dll	Authorization Framework	Microsoft Corporation	5.01.2600.2180msvcrt.dll	Windows NT CRT DLL	Microsoft Corporation	7.00.2600.2180crypt32.dll	Crypto API32	Microsoft Corporation	5.131.2600.2180user32.dll	Biblioteka DLL klienta Windows XP USER API	Microsoft Corporation	5.01.2600.2180gdi32.dll	GDI Client DLL	Microsoft Corporation	5.01.2600.2180msasn1.dll	ASN.1 Runtime APIs	Microsoft Corporation	5.01.2600.2180nddeapi.dll	Interfejsy API zarządzania udziałami DDE sieci	Microsoft Corporation	5.01.2600.2180profmap.dll	Userenv	Microsoft Corporation	5.01.2600.2180netapi32.dll	Net Win32 API DLL	Microsoft Corporation	5.01.2600.2180userenv.dll	Userenv	Microsoft Corporation	5.01.2600.2180psapi.dll	Process Status Helper	Microsoft Corporation	5.01.2600.2180regapi.dll	Registry Configuration APIs	Microsoft Corporation	5.01.2600.2180secur32.dll	Security Support Provider Interface	Microsoft Corporation	5.01.2600.2180setupapi.dll	Interfejs API Instalatora systemu Windows	Microsoft Corporation	5.01.2600.2180version.dll	Version Checking and File Installation Libraries	Microsoft Corporation	5.01.2600.2180winsta.dll	Winstation Library	Microsoft Corporation	5.01.2600.2180wintrust.dll	Interfejsy API potwierdzania zaufania firmy Microsoft	Microsoft Corporation	5.131.2600.2180imagehlp.dll	Windows NT Image Helper	Microsoft Corporation	5.01.2600.2180ws2_32.dll	Windows Socket 2.0 32-Bit DLL	Microsoft Corporation	5.01.2600.2180ws2help.dll	Windows Socket 2.0 Helper dla Windows NT	Microsoft Corporation	5.01.2600.2180msgina.dll	Biblioteka DLL GINA logowania systemu Windows NT	Microsoft Corporation	5.01.2600.2180shell32.dll	Wspólna biblioteka DLL Powłoki systemu Windows	Microsoft Corporation	6.00.2900.2180shlwapi.dll	Biblioteka dodatkowych narzędzi powłoki	Microsoft Corporation	6.00.2900.2180comctl32.dll	Common Controls Library	Microsoft Corporation	5.82.2900.2180odbc32.dll	Microsoft Data Access - ODBC Driver Manager	Microsoft Corporation	3.525.1117.0000comdlg32.dll	Plik DLL wspólnych okien dialogowych	Microsoft Corporation	6.00.2900.2180comctl32.dll	User Experience Controls Library	Microsoft Corporation	6.00.2900.2180odbcint.dll	Microsoft Data Access - Zasoby ODBC	Microsoft Corporation	3.525.1117.0000shsvcs.dll	Biblioteka DLL usług powłoki systemu Windows	Microsoft Corporation	6.00.2900.2180sfc.dll	Windows File Protection	Microsoft Corporation	5.01.2600.2180sfc_os.dll	Ochrona plików systemu Windows	Microsoft Corporation	5.01.2600.2180ole32.dll	Microsoft OLE for Windows	Microsoft Corporation	5.01.2600.2180apphelp.dll	Application Compatibility Client Library	Microsoft Corporation	5.01.2600.2180winscard.dll	Microsoft Smart Card API	Microsoft Corporation	5.01.2600.2180wtsapi32.dll	Windows Terminal Server SDK APIs	Microsoft Corporation	5.01.2600.2180sxs.dll	Fusion 2.5	Microsoft Corporation	5.01.2600.2180winmm.dll	MCI API DLL	Microsoft Corporation	5.01.2600.2180cscdll.dll	Agent sieci w trybie offline	Microsoft Corporation	5.01.2600.2180rsaenh.dll	Microsoft Enhanced Cryptographic Provider	Microsoft Corporation	5.01.2600.2161wlnotify.dll	Wspólna biblioteka DLL do odbierania powiadomień usługi Winlogon	Microsoft Corporation	5.01.2600.2180winspool.drv	Windows Spooler Driver	Microsoft Corporation	5.01.2600.2180mpr.dll	Multiple Provider Router DLL	Microsoft Corporation	5.01.2600.2180uxtheme.dll	Biblioteka Microsoft UxTheme	Microsoft Corporation	6.00.2900.2180samlib.dll	SAM Library DLL	Microsoft Corporation	5.01.2600.2180wldap32.dll	Win32 LDAP API DLL	Microsoft Corporation	5.01.2600.2180cscui.dll	Interfejs użytkownika buforowania z strony klienta	Microsoft Corporation	5.01.2600.2180xpsp2res.dll	Komunikaty pakietu Service Pack 2	Microsoft Corporation	5.01.2600.2180ntmarta.dll	Windows NT - dostawca MARTA	Microsoft Corporation	5.01.2600.2180comres.dll		Microsoft Corporation	2001.12.4414.0258oleaut32.dll		Microsoft Corporation	5.01.2600.2180clbcatq.dll		Microsoft Corporation	2001.12.4414.0258
Process	PID	CPU	Description	Company NameSystem Idle Process	0	92.31		Interrupts	n/a		Hardware Interrupts	DPCs	n/a		Deferred Procedure Calls	System	4			  smss.exe	464		Menedżer sesji Windows NT	Microsoft Corporation   csrss.exe	520	4.62	Client Server Runtime Process	Microsoft Corporation   winlogon.exe	544		Aplikacja logowania systemu Windows NT	Microsoft Corporation	services.exe	588		Usługi i aplikacja Kontroler	Microsoft Corporation	 svchost.exe	764		Generic Host Process for Win32 Services	Microsoft Corporation	 svchost.exe	808		Generic Host Process for Win32 Services	Microsoft Corporation	 svchost.exe	912		Generic Host Process for Win32 Services	Microsoft Corporation	 svchost.exe	936		Generic Host Process for Win32 Services	Microsoft Corporation	 spoolsv.exe	996		Spooler SubSystem App	Microsoft Corporation	 alg.exe	1096		Application Layer Gateway Service	Microsoft Corporation	 aswUpdSv.exe	1156				 ashServ.exe	1172		avast! antivirus service		 wdfmgr.exe	1332		Windows User Mode Driver Manager	Microsoft Corporation	lsass.exe	600		LSA Shell (Export Version)	Microsoft Corporationexplorer.exe	1652		Eksplorator Windows	Microsoft Corporationrundll32.exe	1780		Uruchamia plik DLL jako aplikację	Microsoft Corporationjusched.exe	1808		Java 2 Platform Standard Edition binary	Sun Microsystems, Inc.ashDisp.exe	1824		avast! service GUI component	removeit.exe	1868			procexp.exe	188	1.54	Sysinternals Process Explorer	SysinternalsProcess: services.exe Pid: 588Name	Description	Company Name	Versionunicode.nls			locale.nls			sortkey.nls			sorttbls.nls			ctype.nls			Antivirus.Evt			AppEvent.Evt			SecEvent.Evt			SysEvent.Evt			services.exe	Usługi i aplikacja Kontroler	Microsoft Corporation	5.01.2600.2180ntdll.dll	Biblioteka NT Layer DLL	Microsoft Corporation	5.01.2600.2180kernel32.dll	Biblioteka DLL klienta Windows NT BASE API	Microsoft Corporation	5.01.2600.2180msvcrt.dll	Windows NT CRT DLL	Microsoft Corporation	7.00.2600.2180advapi32.dll	Advanced Windows 32 Base API	Microsoft Corporation	5.01.2600.2180rpcrt4.dll	Remote Procedure Call Runtime	Microsoft Corporation	5.01.2600.2180user32.dll	Biblioteka DLL klienta Windows XP USER API	Microsoft Corporation	5.01.2600.2180gdi32.dll	GDI Client DLL	Microsoft Corporation	5.01.2600.2180userenv.dll	Userenv	Microsoft Corporation	5.01.2600.2180scesrv.dll	Aparat edytora konfiguracji zabezpieczeń w systemie Windows	Microsoft Corporation	5.01.2600.2180authz.dll	Authorization Framework	Microsoft Corporation	5.01.2600.2180umpnpmgr.dll	Usługa Plug-and-Play trybu użytkownika	Microsoft Corporation	5.01.2600.2180winsta.dll	Winstation Library	Microsoft Corporation	5.01.2600.2180netapi32.dll	Net Win32 API DLL	Microsoft Corporation	5.01.2600.2180ncobjapi.dll		Microsoft Corporation	5.01.2600.2180msvcp60.dll	Microsoft ® C++ Runtime Library	Microsoft Corporation	6.02.3104.0000shimeng.dll	Shim Engine DLL	Microsoft Corporation	5.01.2600.2180AcGenral.dll	Windows Compatibility DLL	Microsoft Corporation	5.01.2600.2180winmm.dll	MCI API DLL	Microsoft Corporation	5.01.2600.2180ole32.dll	Microsoft OLE for Windows	Microsoft Corporation	5.01.2600.2180oleaut32.dll		Microsoft Corporation	5.01.2600.2180msacm32.dll	Filtr audio ACM Microsoft	Microsoft Corporation	5.01.2600.2180version.dll	Version Checking and File Installation Libraries	Microsoft Corporation	5.01.2600.2180shell32.dll	Wspólna biblioteka DLL Powłoki systemu Windows	Microsoft Corporation	6.00.2900.2180shlwapi.dll	Biblioteka dodatkowych narzędzi powłoki	Microsoft Corporation	6.00.2900.2180uxtheme.dll	Biblioteka Microsoft UxTheme	Microsoft Corporation	6.00.2900.2180comctl32.dll	User Experience Controls Library	Microsoft Corporation	6.00.2900.2180comctl32.dll	Common Controls Library	Microsoft Corporation	5.82.2900.2180secur32.dll	Security Support Provider Interface	Microsoft Corporation	5.01.2600.2180apphelp.dll	Application Compatibility Client Library	Microsoft Corporation	5.01.2600.2180eventlog.dll	Usługa rejestrowania zdarzeń	Microsoft Corporation	5.01.2600.2180ws2_32.dll	Windows Socket 2.0 32-Bit DLL	Microsoft Corporation	5.01.2600.2180ws2help.dll	Windows Socket 2.0 Helper dla Windows NT	Microsoft Corporation	5.01.2600.2180psapi.dll	Process Status Helper	Microsoft Corporation	5.01.2600.2180wtsapi32.dll	Windows Terminal Server SDK APIs	Microsoft Corporation	5.01.2600.2180

Trochę tego tu nawrzucałem ale chciałem opisać mniej więcej dokładnie jeśli czegoś brak proszę piszcie dołączę

P.s. wpisów pogrubionych z HijackThis nie mogę zafixować ani usunąć kluczy z rejestru nawet w trybie awaryjnym z poziomu administratora :/

oczywiście regedit się bez problemu uruchamia

Proszę o jakieś rozwiązania, tylko proszę nie wspominać o formacie z góry dziękuję za pomoc i czekam na odpowiedzi

tazman
komentarz
komentarz

Format c:

Secabo
komentarz
komentarz

a tak jak prosiłem bez formatu ??

Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!

Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.

×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Strona wykorzystuje pliki cookies w celu prawidłowego świadczenia usług i wygody użytkowników. Warunki przechowywania i dostępu do plików cookies możesz zmienić w ustawieniach przeglądarki.