ah ten sillnet -> pakiecik wirków? - Wersja do druku +- SafeGroup (https://safegroup.pl) +-- Dział: Bezpieczeństwo (https://safegroup.pl/forum-10.html) +--- Dział: Pomoc po zainfekowaniu (https://safegroup.pl/forum-5.html) +--- Wątek: ah ten sillnet -> pakiecik wirków? (/thread-179.html) |
ah ten sillnet -> pakiecik wirków? - dymek9229 - 29.03.2007 Heja no mam nadzieje ze ktoś mi sprawdzi loga z sillenta. Zauważyłem tam trzy dziwne wpisy (jak przeglądałem google to chyba spy-ware, trojan ...) W Hijackthis mam jedynie jeden wpis z autoruna bo jest nawet pokazane w pierwszych linikjach Sillenta LOG: [code:1] "Silent Runners.vbs", revision R50, [Aby zobaczyć linki, zarejestruj się tutaj] Operating System: Windows XP SP2Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKLMSoftwareMicrosoftWindowsCurrentVersionRun {++} "inetsrv" = "C:WINDOWSsystem32inetsrv.exe" [null data] HKLMSoftwareMicrosoftActive SetupInstalled Components >{881dd1c5-3dcf-431b-b061-f3f88e8be88a}(Default) = "Outlook Express" StubPath = "C:WINDOWSsystem32shmgrate.exe OCInstallUserConfigOE" [MS] {A5CDF7EC-751B-46aa-AD69-4005FE080DE8}(Default) = (no title provided) StubPath = "C:WINDOWSsystem32REGSVRS32.EXE s" [null data] {A5CDF7EC-751B-46aa-AD69-4005FE080DE9}(Default) = (no title provided) StubPath = "C:WINDOWSsystem32msiexecs.exe s" [null data] HKLMSoftwareMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C}(Default) = (no title provided) -> {HKLM...CLSID} = "Megaupload Toolbar" InProcServer32(Default) = "CROGRA~1MEGAUP~1MEGAUP~1.DLL" ["MegaUpload"] {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}(Default) = (no title provided) -> {HKLM...CLSID} = "SSVHelper Class" InProcServer32(Default) = "Crogram FilesJavajre1.5.0_09binssv.dll" ["Sun Microsystems, Inc."] HKLMSoftwareMicrosoftWindowsCurrentVersionShell ExtensionsApproved "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Rozszerzenie CPL kadrowania wyświetlania" -> {HKLM...CLSID} = "Rozszerzenie CPL kadrowania wyświetlania" InProcServer32(Default) = "*n" (unwritable string) [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Rozszerzenie ikony HyperTerminalu" -> {HKLM...CLSID} = "HyperTerminal Icon Ext" InProcServer32(Default) = "C:WINDOWSsystem32hticons.dll" ["Hilgraeve, Inc."] "{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler" -> {HKLM...CLSID} = "Microsoft Office Outlook" InProcServer32(Default) = "CROGRA~1MICROS~2OFFICE11MLSHEXT.DLL" [MS] "{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler" -> {HKLM...CLSID} = "Rozszerzenie ikon plików programu Outlook" InProcServer32(Default) = "CROGRA~1MICROS~2OFFICE11OLKFSTUB.DLL" [MS] "{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler" -> {HKLM...CLSID} = (no title provided) InProcServer32(Default) = "Crogram FilesMicrosoft OfficeOFFICE11msohev.dll" [MS] "{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu" -> {HKLM...CLSID} = "Portable Media Devices Menu" InProcServer32(Default) = "C:WINDOWSsystem32Audiodev.dll" [MS] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {HKLM...CLSID} = "WinRAR" InProcServer32(Default) = "C:winrarrarext.dll" [null data] "{EFA24E62-B078-11d0-89E4-00C04FC9E26E}" = "History Band" -> {HKLM...CLSID} = "History Band" InProcServer32(Default) = "C:WINDOWSsystem32shdocvw.dll" [MS] HKLMSoftwareClassesPROTOCOLSFilter <<!>> text/xmlCLSID = "{807553E5-5146-11D5-A672-00B0D022E945}" -> {HKLM...CLSID} = (no title provided) InProcServer32(Default) = "Crogram FilesCommon FilesMicrosoft SharedOFFICE11MSOXMLMF.DLL" [MS] HKLMSoftwareClasses*shellexContextMenuHandlers WinRAR(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" InProcServer32(Default) = "C:winrarrarext.dll" [null data] HKLMSoftwareClassesDirectoryshellexContextMenuHandlers WinRAR(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" InProcServer32(Default) = "C:winrarrarext.dll" [null data] HKLMSoftwareClassesFoldershellexContextMenuHandlers WinRAR(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" InProcServer32(Default) = "C:winrarrarext.dll" [null data] Group Policies {GPedit.msc branch and setting}: ----------------------------------------------- Note: detected settings may not have any effect. HKLMSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem "shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Shutdown: Allow system to be shut down without having to log on} "undockwithoutlogon" = (REG_DWORD) hex:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Devices: Allow undock without having to log on} Active Desktop and Wallpaper: ----------------------------- Active Desktop may be disabled at this entry: HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerShellState Displayed if Active Desktop enabled and wallpaper not set by Group Policy: HKCUSoftwareMicrosoftInternet ExplorerDesktopGeneral "Wallpaper" = "C:WINDOWSsystem32configsystemprofileUstawienia lokalneDane aplikacjiMicrosoftWallpaper1.bmp" Displayed if Active Desktop disabled and wallpaper not set by Group Policy: HKCUControl PanelDesktop "Wallpaper" = "Cocuments and SettingsKompUstawienia lokalneDane aplikacjiMicrosoftWallpaper1.bmp" Enabled Screen Saver: --------------------- HKCUControl PanelDesktop "SCRNSAVE.EXE" = "C:WINDOWSsystem32logon.scr" [MS] Enabled Scheduled Tasks: ------------------------ "FRU Task #Hewlett-Packard#hp psc 1200 series#1170175812" -> launches: "Crogram FilesHewlett-PackardDigital ImagingBinhpqfrucl.exe -I "#Hewlett-Packard#hp psc 1200 series#1170175812"" [empty string] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLMSystemCurrentControlSetServicesWinsock2ParametersNameSpace_Catalog5Catalog_Entries {++} 000000000001LibraryPath = "%SystemRoot%System32mswsock.dll" [MS] 000000000002LibraryPath = "%SystemRoot%System32winrnr.dll" [MS] 000000000003LibraryPath = "%SystemRoot%System32mswsock.dll" [MS] Transport Service Providers HKLMSystemCurrentControlSetServicesWinsock2ParametersProtocol_Catalog9Catalog_Entries {++} 0000000000##PackedCatalogItem (contains) DLL [Company Name] , (at) ## range: %SystemRoot%system32mswsock.dll [MS] , 01 - 04, 07 - 18 %SystemRoot%system32rsvpsp.dll [MS] , 05 - 06 Toolbars, Explorer Bars, Extensions: ------------------------------------ Toolbars HKCUSoftwareMicrosoftInternet ExplorerToolbarWebBrowser "{4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C}" -> {HKLM...CLSID} = "Megaupload Toolbar" InProcServer32(Default) = "CROGRA~1MEGAUP~1MEGAUP~1.DLL" ["MegaUpload"] "{EF99BD32-C1FB-11D2-892F-0090271D4F88}" -> {HKLM...CLSID} = "Yahoo! Toolbar" InProcServer32(Default) = "*g" (unwritable string) [file not found] HKLMSoftwareMicrosoftInternet ExplorerToolbar "{4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C}" = (no title provided) -> {HKLM...CLSID} = "Megaupload Toolbar" InProcServer32(Default) = "CROGRA~1MEGAUP~1MEGAUP~1.DLL" ["MegaUpload"] Explorer Bars HKLMSoftwareMicrosoftInternet ExplorerExplorer Bars HKLMSoftwareClassesCLSID{FF059E31-CC5A-4E2E-BF3B-96E929D65503}(Default) = "&Badanie" Implemented Categories{00021493-0000-0000-C000-000000000046} [vertical bar] InProcServer32(Default) = "CROGRA~1MICROS~2OFFICE11REFIEBAR.DLL" [MS] Extensions (Tools menu items, main toolbar menu buttons) HKLMSoftwareMicrosoftInternet ExplorerExtensions {92780B25-18CC-41C8-B9BE-3C9C571A8263} "ButtonText" = "Badanie" Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ Ati HotKey Poller, Ati HotKey Poller, "C:WINDOWSsystem32atievxx.exe" [MS] Machine Debug Manager, MDM, ""Crogram FilesCommon FilesMicrosoft SharedVS7DEBUGMDM.EXE"" [MS] Windows User Mode Driver Framework, UMWdf, "C:WINDOWSsystem32wdfmgr.exe" [MS] Print Monitors: --------------- HKLMSystemCurrentControlSetControlPrintMonitors hpzsnt07Driver = "hpzsnt07.dll" ["HP"] Microsoft Document Imaging Writer MonitorDriver = "mdimon.dll" [MS] ---------- <<!>>: Suspicious data at a malware launch point. + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points, use the -supp parameter or answer "No" at the first message box and "Yes" at the second message box. ---------- (total run time: 136 seconds, including 5 seconds for message boxes) [/code:1] prubowałem usunąć to z autoruna ale powraca (oznazca to ze siedzi w rejestrze i sie odnawia) gadzina jedna -------------------------------- UWAGA! [Aby zobaczyć linki, zarejestruj się tutaj] może to tylko przewrażliwienie po kilku minutach tego juz nie było. Wątpie by to było od wira! czekam (żebym to umiał sillenta ) Re: ah ten sillnet -> pakiecik wirków? - dymek9229 - 30.03.2007 Kod: Logfile of HijackThis v1.99.1 zbyt duzy ten log to nie jest Re: ah ten sillnet -> pakiecik wirków? - dymek9229 - 30.03.2007 toolbary zostaw w spokoju... ja sobie sam logi sprawdzam więdz widze co jest nie tik Kuba napisał(a):inetsrv.exe to prawda to jest podejżane ;/ w rejestrze tego nie widze jak sam sobie patrze :o (widać ze może mało doświadczenia mam ) dymek9229 napisał(a):[null data] a czy to jest gites?? bo ja już niepanimajed a z kompen niby nic się nie dzieje. -------- być może przyjdzie mi srobić skana kapserscy skaner online (Uhh... 3 miechy się na to zbieram ) p.s dnośnie tamtego wpisu sillneta znalazłem coś takiego: [code:1] msiexecs.exe X msiexecs.exe Added by a variant of the SDBOT WORM![/code:1]<-- jak mam to odbierać ? Re: ah ten sillnet -> pakiecik wirków? - Serafin - 30.03.2007 Cytat: C:WINDOWSsystem32inetsrv.exe Przeskanuj to cudo na [Aby zobaczyć linki, zarejestruj się tutaj] w podaj wynikidymek9229Czy mi się wydaje czy ty naprawdę nie masz żadnego AV ? Jeśli nie to zainstaluj xD wirus? Stfuu... ;) - dymek9229 - 31.03.2007 bodek napisał(a):Czy mi się wydaje czy ty naprawdę nie masz żadnego AV ? BINGO!od 3-4 miechów nie mam i żyje;p wszystko to sam wykrywam poprzez hijack (do pomocy mam wwdc i active ports), Kuba napisał(a):tak to jest do usuniecia acha a o co Ci chodzi z tym "S" bo tam jest jeden przy drugim z tym "S" jak widzę ? ------------- teraz rozumniem kiedy windows łapie wira - jak jest głodny ------------- [Aby zobaczyć linki, zarejestruj się tutaj] to jest to dzięki za stronke BODEKprzyda mi się nastepnym razem Cytat: "Silent Runners.vbs", revision R50, Kod: Logfile of HijackThis v1.99.1 Napisze co uczyniłem a więc: pousuwałem te dziadowsta co były w silencie na poczatku z tym dodatkiem "s" i to z runa, także usunełem jakiś wpis z help 31 potem poszło głądko po tych zabiegach zauwazyłem ze w procesach pojawiło się iC:WINDOWSsystem32inetsrv.exe w liście procesów to wyłączyłęm proces ikill boxem usunełem plik ------------ p.s zawsze po extreme sytuations boje się czy system ruszy chętnie bym sfc /scannow zrobił ale cd-rom ledwo zipie Re: ah ten sillnet -> pakiecik wirków? - Serafin - 31.03.2007 Jak na moje oko to jest ok ;] - dymek9229 - 31.03.2007 czysto hm.. pewny nie jestem ;] jakie znacie narzędzie do wykrywania backdoorów ?? kiedyś mój pan od infy mówił o jakimś specyficznym programie do wykrywania trojanów (nazwy nie znał) może wy wiecie o co mu chodziło? program wykrywa tylko trojany i chyba jest małe (pod względem wielkości). --------- wracając do tematu wydaje mi się ze mam jeszcze Kinder-niespodzianke w komputerku (ale to już moja głowa Re: ah ten sillnet -> pakiecik wirków? - Serafin - 31.03.2007 Dodam jeszcze od siebie [Aby zobaczyć linki, zarejestruj się tutaj] Re: ah ten sillnet -> pakiecik wirków? - qrczak13 - 13.11.2011 Wklej do Notatnika: Cytat: Windows Registry Editor Version 5.00 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > uruchamiasz ten plik Nic więcej ciekawego nie widać. |