IEXLORE - Problem z trojanem

[matecki]

Wczorajszego dnia, przytrafiła mi sie dość przykra sytuacja: po powrocie do domu, zalogowałem się na postać - znajdowała się ona w zupełnie innym miejscu niż tam gdzie była wylogowana, kolega napisał, że byłem online od 5 minut - szybko zmieniłem hasło do konta na drugim komputerze i wrzuciłem wszystko co posiadam do domku kolegi. Szybka diagnoza - hack. Jako, że licencja na Nortona Antywirusa dawno mi się skończyła, postanowiłem poszukać przyczyn owego hacka.

ctrl + alt + del -> procesy i odkryłem tam wiele procesów "IEXPLORE*****", wszystkie wyłączyłem. Wyszukałem na google, czym owo "IEXPLORE" się może objawiać i jaki program je wykrywa - Kaspersky. Sciagnalem, zainstalowałem i przeskanowałem komputer: wykryło trojana (nie pamiętam nazwy, na końcu miał "tibia"). Chyba został usunięty.

Przeskanowałem komputer programem Kaspersky Internet Security, oprócz tego Ad-Aware, SpyBot - Seach & Destroy i Spyware Doctor. Niby nic już nie wykrywa - jednakże nadal nie jestem pewny, czy nie mam jakiegoś syfu na komputerze. Jak to sprawdzić??

[Uther92]

Dawaj loga z hijackthis.

[matecki]

Logfile of HijackThis v1.99.1
Scan saved at 16:19:41, on 2007-06-30
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss*****
C:\WINDOWS\system32\winlogon*****
C:\WINDOWS\system32\services*****
C:\WINDOWS\system32\lsass*****
C:\WINDOWS\system32\svchost*****
C:\WINDOWS\System32\svchost*****
C:\Program Files\Intel\Wireless\Bin\EvtEng*****
C:\Program Files\Intel\Wireless\Bin\S24EvMon*****
C:\WINDOWS\system32\spoolsv*****
C:\WINDOWS\Explorer*****
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp*****
C:\Acer\Empowering Technology\admServ*****
C:\WINDOWS\system32\rundll32*****
C:\WINDOWS\RTHDCPL*****
c:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins*****
C:\WINDOWS\eHome\ehRecvr*****
C:\WINDOWS\eHome\ehSched*****
C:\Program Files\Synaptics\SynTP\SynTPEnh*****
C:\Acer\Empowering Technology\admtray*****
C:\Program Files\Common Files\LightScribe\LSSrvc*****
C:\Acer\Empowering Technology\ePower\ePower_DMC*****
C:\PROGRA~1\LAUNCH~1\LManager*****
C:\Acer\Empowering Technology\eRecovery\Monitor*****
C:\WINDOWS\system32\ElkCtrl*****
C:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr*****
C:\Program Files\Pinnacle\Shared Files\Programs\Remote\Remoterm*****
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp*****
C:\WINDOWS\system32\ctfmon*****
C:\Program Files\Messenger\msmsgs*****
C:\WINDOWS\system32\lvcomsx*****
C:\WINDOWS\system32\nvsvc32*****
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray*****
C:\Program Files\Intel\Wireless\Bin\RegSrvc*****
C:\WINDOWS\system32\svchost*****
c:\program files\pinnacle\shared files\programs\mediaserver\pmshost*****
C:\DOCUME~1\Darek\LOCALS~1\Temp\RtkBtMnt*****
C:\WINDOWS\system32\wbem\unsecapp*****
C:\WINDOWS\system32\dllhost*****
C:\WINDOWS\System32\svchost*****
C:\Program Files\Spyware Doctor\swdsvc*****
C:\Program Files\Spyware Doctor\SDTrayApp*****
C:\Program Files\Spyware Doctor\svcntaux*****
C:\Program Files\OpenOffice.org 2.1\program\soffice*****
C:\Program Files\OpenOffice.org 2.1\program\soffice.BIN
C:\PROGRA~1\Mozilla Firefox\firefox*****
C:\Program Files\Spyware Doctor\swdoctor*****
C:\WINDOWS\system32\igfxsrvc*****
C:\Documents and Settings\Darek\Desktop\hijackthis~\HijackThis*****

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aceradvantage.com/stdreg
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.aceradvantage.com/stdreg
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray*****
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd*****
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers*****
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32***** bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL*****
O4 - HKLM\..\Run: [Alcmtr] ALCMTR*****
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh*****
O4 - HKLM\..\Run: [ADMTray*****] "C:\Acer\Empowering Technology\admtray*****"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG*****" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst***** /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP***** /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP***** /IMEName
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp*****"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32***** C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz***** /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32***** C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC*****
O4 - HKLM\..\Run: [Acer ePower Management] C:\Acer\Empowering Technology\ePower\Acer ePower Management***** boot
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager*****
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor*****
O4 - HKLM\..\Run: [LogitechCameraService(E)] C:\WINDOWS\system32\ElkCtrl***** /automation
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\\PSDrvCheck*****
O4 - HKLM\..\Run: [Pinnacle WebUpdater] "C:\Program Files\Pinnacle\Shared Files\Programs\WebUpdater\WebUpdater*****" -s -f=UpdateVersion.xml -url=http://cdn.pinnaclesys.com/SupportFiles
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc*****" /a /m "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [PMCRemote] C:\Program Files\Pinnacle\Shared Files\Programs\Remote\Remoterm*****
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp*****"
O4 - HKLM\..\Run: [SDTray] "C:\Program Files\Spyware Doctor\SDTrayApp*****"
O4 - HKCU\..\Run: [ctfmon*****] C:\WINDOWS\system32\ctfmon*****
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs*****" /background
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg*****" /tray
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Dodaj do blokowanych banerów - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\ie_banner_deny.htm
O8 - Extra context menu item: Wyślij do urządzenia &Bluetooth... - c:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: Statystyki ochrony WWW - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag***** (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag***** (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs*****
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs*****
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1171381205433
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~2.0\adialhk.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp*****" -r (file missing)
O23 - Service: AdminWorks Agent X6 (AWService) - Avocent Inc. - C:\Acer\Empowering Technology\admServ*****
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - c:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins*****
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr***** (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSetMgr***** (file missing)
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng*****
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc*****
O23 - Service: LiveUpdate Notice Service - Unknown owner - C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc*****" /m "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifEng.dll (file missing)
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Unknown owner - c:\program files\common files\logitech\lvmvfm\LVPrcSrv***** (file missing)
O23 - Service: MSSQL$PINNACLESYS - Unknown owner - C:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr*****" -sPINNACLESYS (file missing)
O23 - Service: Norton Protection Center Service (NSCService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\Security Console\NSCSRVCE***** (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32*****
O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\program files\pinnacle\shared files\programs\mediaserver\pmshost*****
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc*****
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd*****" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon*****
O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\svcntaux*****
O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\swdsvc*****
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\Common Files\PCSuite\Services\ServiceLayer*****
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\SNDSrvc***** (file missing)
O23 - Service: SQLAgent$PINNACLESYS - Unknown owner - C:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlagent*****" -i PINNACLESYS (file missing)

Dobrze że zdążyłeś na czas

[Kajusz931]

po pierwsze usuń wszystko Symanteca (norton itp.) i zainstaluj Avasta (link)

O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\swdsvc***** - spyware doctor to syf reklamowany na necie, ad aware ci do spyware wystarczy!!

widzę że masz laptop Acera

chyba nic więcej nie ma...

edit:
jak jakiś podejrzany proces będziesz chciał sprawdzić to znam dobrą stronkę [link]

[matecki]

Cytuj:

Oryginalnie napisane przez Rychulec

Dobrze że zdążyłeś na czas

A owszem. Trafiłem na hakera idiotę - zamiast od razu przesłać na nowo stworzoną postać wszystkie itemy to gość sobie biegał po Tibii. Niemniej cud, że akurat wtedy się zalogowałem, kiedy haker i wyratowałem wszystko.

Teraz muszę się upewnić, czy mam czysty komputer. Mogę to zrobić prostą metodą - zaloguję się na drugie konto (jakis 35 palek) i sprawdzę, czy zostanie shakowany - wolałbym jednak jakoś bardziej profesjonalnie, upewnić się, czy mam jakieś trojany-wirusy itp na komputerze.

[matecki]

Cytuj:

Oryginalnie napisane przez Kajusz931

po pierwsze usuń wszystko Symanteca (norton itp.) i zainstaluj Avasta (link)

O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\swdsvc***** - spyware doctor to syf reklamowany na necie, ad aware ci do spyware wystarczy!!
]

Nie lepszy Kaspersky Internet Security ??

[Descartes]

Cytuj:

Oryginalnie napisane przez Kajusz931

po pierwsze usuń wszystko Symanteca (norton itp.) i zainstaluj Avasta (link)

Bo ja wiem, podobno Avast strasznie syfiasty jest. Ja np. mam u siebie Kaspersky Internet Security (antywirus+firewall+antispy) i Ad-Aware. Zamiast Anti-hackera można też zainstalować Kerio (BARDZO skuteczny firewall, jedyny minus to częste konflikty z innymi aplikacjami... dlatego przerzuciłem się na Kasperskiego). A Iexplore to proces Internet Explorera - cóż, jedyne, do czego ten program się nadaje to windows update. ;p

@Up: hehe, wyprzedziłeś mnie o kilka minut. Coś w tym jest.

Cytuj:

Oryginalnie napisane przez Kajusz931

po pierwsze usuń wszystko Symanteca (norton itp.) i zainstaluj Avasta (link)

To tak, jakbyś napisał "Usuń najlepszego antywirusa i daj się dobrowolnie hacknąć."
Avast jest jednym z najgorszych antywirusów jakie widział świat, nie wykrywa połowy wirusów.
Osobiście polecam Nortona Internet Security lub darmowe AVG.
Do tego Ad-Aware i dobrego firewalla + rozsądek

edit:
No i zobacz, Twój kochany avast zwykłego trojan droppera nie wykrywa

Kod:

 Service load:  	
0% 	  	  	100%
File: 	Tibia**********
Status: 	
INFECTED/MALWARE
MD5: 	b4a6b64bf70398182ec04ef167fa6d14
Packers detected: 	
-
Bit9 reports: 	File not found
Scanner results
Scan taken on 30 Jun 2007 16:44:17 (GMT)
A-Squared 	
Found Trojan-Dropper.Win32.Delf.wm
AntiVir 	
Found nothing
ArcaVir 	
Found Trojan.Dropper.Delf.Wm
Avast 	
Found nothing
AVG Antivirus 	
Found Dropper.Generic.JZB
BitDefender 	
Found Trojan.Dropper.Delf.WM
ClamAV 	
Found Trojan.Dropper.Delf-60
Dr.Web 	
Found Trojan.MulDrop.1859
F-Prot Antivirus 	
Found W32/Dropper.EJX
F-Secure Anti-Virus 	
Found Trojan-Dropper.Win32.Delf.wm
Fortinet 	
Found W32/Delf.WM!tr
Kaspersky Anti-Virus 	
Found Trojan-Dropper.Win32.Delf.wm
NOD32 	
Found nothing
Norman Virus Control 	
Found nothing
Panda Antivirus 	
Found nothing
Rising Antivirus 	
Found nothing
VirusBuster 	
Found nothing
VBA32 	
Found Trojan-Dropper.Win32.Delf.wm

[matecki]

Wracając do tematu: jest jakiś sposób, aby sprawdzić, czy aby na 100% nie mam już nie na kompie?

[Stun]

Cytuj:

Oryginalnie napisane przez matecki

Wracając do tematu: jest jakiś sposób, aby sprawdzić, czy aby na 100% nie mam już nie na kompie?

Przeczytaj PW. Tam Ci cos napisałem.

[Descartes]

Znalazłem coś w googlach: http://www.anetforums.com/posts.aspx?ThreadIndex=28956 (któryśtam post od góry wszystko dokładnie opisuje).

Mósisz sem leprze zabespieczenia kópici.