Stránka 1 z 9
MBAM opakovane hlasi Hijack.WindowsUpdates
Napsal: 28 zář 2009 09:06
od offline007
Dobry den,
Malwarebytes mi opakovane hlasi 2 zaznamy v registroch Hijack.WindowsUpdates.
Ked ich odstranim, pri dalsej kontrole najde to iste. Znovu a znovu.
Pomozete prosim ?
Prikladam vypis logu z MBAM:
Malwarebytes' Anti-Malware 1.41
Verzia databázy: 2866
Windows 5.1.2600 Service Pack 3
28.9.2009 9:58:36
mbam-log-2009-09-28 (09-58-36).txt
Typ kontroly: Rýchla
Objektov kontrolovaných: 114252
Uplynutý cas: 3 minute(s), 41 second(s)
Infikovaných procesov pamäte: 0
Infikovaných modulov pamäte: 0
Infikovaných registracných klúcov: 0
Infikovaných registracných hodnôt: 0
Infikovaných registracných údajov položiek: 2
Infikovaných priecinkov: 0
Infikovaných súborov: 0
Infikovaných procesov pamäte:
(Žiadne škodlivé položky)
Infikovaných modulov pamäte:
(Žiadne škodlivé položky)
Infikovaných registracných klúcov:
(Žiadne škodlivé položky)
Infikovaných registracných hodnôt:
(Žiadne škodlivé položky)
Infikovaných registracných údajov položiek:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\BITS\ImagePath (Hijack.WindowsUpdates) -> Bad: (%fystemRoot%\system32\svchost.exe -k netsvcs) Good: (%SystemRoot%\System32\svchost.exe -k netsvcs) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\wuauserv\ImagePath (Hijack.WindowsUpdates) -> Bad: (%fystemroot%\system32\svchost.exe -k netsvcs) Good: (%SystemRoot%\System32\svchost.exe -k netsvcs) -> Quarantined and deleted successfully.
Infikovaných priecinkov:
(Žiadne škodlivé položky)
Infikovaných súborov:
(Žiadne škodlivé položky)
Re: MBAM opakovane hlasi Hijack.WindowsUpdates
Napsal: 28 zář 2009 09:29
od offline007
Obsah DDS:
DDS (Ver_09-09-24.01) - NTFSx86
Run by JA at 10:27:01,65 on po 28.09.2009
Internet Explorer: 7.0.5730.13
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.421.1033.18.2047.1279 [GMT 2:00]
AV: ESET Smart Security 3.0 *On-access scanning enabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
FW: ESET personal firewall *enabled* {E5E70D32-0101-4340-86A3-A7B0F1C8FFE0}
============== Running Processes ===============
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost -k DcomLaunch
svchost.exe
C:\WINDOWS\System32\svchost.exe -k netsvcs
svchost.exe
svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
svchost.exe
C:\Program Files\ESET\ESET Smart Security\ekrn.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\Canon\MultiPASS\mpservic.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\ESET\ESET Smart Security\egui.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\Canon\MultiPASS\monitr32.exe
C:\Program Files\Canon\MultiPASS\MPTBox.exe
C:\WINDOWS\system32\ctfmon.exe
C:\lotus\organize\easyclip6.exe
C:\WINDOWS\system32\FxRedir.EXE
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\JA\Desktop\dds.scr
============== Pseudo HJT Report ===============
uStart Page = hxxp://www.google.com/
BHO: Podpora odkazu pro Adobe PDF Reader: {06849e9f-c8d7-4d59-b87d-784b7d6be0b3} - c:\program files\common files\adobe\acrobat\activex\AcroIEHelper.dll
BHO: AVG Safe Search: {3ca2f312-6f6e-4b53-a66e-4e65e497c8c0} - c:\program files\avg\avg8\avgssie.dll
BHO: SSVHelper Class: {761497bb-d6f0-462c-b6eb-d4daf1d92d43} - c:\program files\java\jre1.6.0_05\bin\ssv.dll
BHO: IEHlprObj Class: {ce7c3cf0-4b15-11d1-abed-709549c10000} - c:\lotus\organize\iehelper.dll
uRun: [CTFMON.EXE] c:\windows\system32\ctfmon.exe
mRun: [NeroFilterCheck] c:\program files\common files\ahead\lib\NeroCheck.exe
mRun: [SoundMAXPnP] c:\program files\analog devices\core\smax4pnp.exe
mRun: [SoundMAX] "c:\program files\analog devices\soundmax\Smax4.exe" /tray
mRun: [Adobe Reader Speed Launcher] "c:\program files\adobe\reader 8.0\reader\Reader_sl.exe"
mRun: [WinampAgent] c:\program files\winamp\winampa.exe
mRun: [StartCCC] "c:\program files\ati technologies\ati.ace\core-static\CLIStart.exe" MSRun
mRun: [egui] "c:\program files\eset\eset smart security\egui.exe" /hide /waitservice
mRun: [MP_STATUS_MONITOR] "c:\program files\canon\multipass\monitr32.exe" I
mRun: [MPTBox] "c:\program files\canon\multipass\MPTBox.exe"
mRun: [Malwarebytes Anti-Malware (reboot)] "c:\program files\malwarebytes' anti-malware\mbam.exe" /runcleanupscript
dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE
StartupFolder: c:\docume~1\alluse~1\startm~1\programs\startup\lotuso~1.lnk - c:\lotus\organize\easyclip6.exe
IE: E&xportovať do programu Microsoft Excel - c:\progra~1\micros~2\office12\EXCEL.EXE/3000
IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\program files\messenger\msmsgs.exe
IE: {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBC} - c:\program files\java\jre1.6.0_05\bin\ssv.dll
IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\progra~1\micros~2\office12\REFIEBAR.DLL
IE: {B4E30F61-16D9-11D3-85D1-005004229569} - {85E0B172-04FA-11D1-B7DA-00A0C90348D6} - c:\lotus\organize\bandobjs.dll
DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} - hxxp://go.microsoft.com/fwlink/?linkid=58813
DPF: {17492023-C23A-453E-A040-C7C580BBF700} - hxxp://go.microsoft.com/fwlink/?linkid=39204
DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} - hxxp://www.update.microsoft.com/windowsupdate/ ... 7744588984
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab
Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - c:\progra~1\common~1\skype\SKYPE4~1.DLL
Notify: AtiExtEvent - Ati2evxx.dll
SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\WPDShServiceObj.dll
================= FIREFOX ===================
FF - ProfilePath - c:\docume~1\ja\applic~1\mozilla\firefox\profiles\trsl0v6r.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.sk/
FF - plugin: c:\program files\google\update\1.2.183.7\npGoogleOneClick8.dll
---- FIREFOX POLICIES ----
c:\program files\mozilla firefox\greprefs\all.js - pref("capability.policy.default.XMLHttpRequest.channel", "noAccess");
c:\program files\mozilla firefox\greprefs\all.js - pref("javascript.options.jit.chrome", false);
c:\program files\mozilla firefox\greprefs\all.js - pref("security.checkloaduri", true);
c:\program files\mozilla firefox\greprefs\all.js - pref("bidi.characterset", 1);
c:\program files\mozilla firefox\defaults\pref\channel-prefs.js - pref("app.update.channel", "release");
c:\program files\mozilla firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".sk");
============= SERVICES / DRIVERS ===============
R0 ViBus;ViBus;c:\windows\system32\drivers\ViBus.sys [2008-2-5 16896]
R0 ViPrt;VIA SATA IDE Device Driver;c:\windows\system32\drivers\ViPrt.sys [2008-2-5 52736]
R1 VD_FileDisk;VD_FileDisk;c:\windows\system32\drivers\vd_filedisk.sys [2008-10-16 15872]
R2 ekrn;Eset Service;c:\program files\eset\eset smart security\ekrn.exe [2008-10-24 468224]
R3 AtiHdmiService;ATI Function Driver for HDMI Service;c:\windows\system32\drivers\AtiHdmi.sys [2007-7-20 89600]
R3 PSched;QoS Packet Scheduler;c:\windows\system32\drivers\psched.sys [2007-7-27 69120]
S2 gupdate1c990cb2357fea0;Služba Google Update (gupdate1c990cb2357fea0);c:\program files\google\update\GoogleUpdate.exe [2009-2-17 133104]
S3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Adapter;c:\windows\system32\drivers\atl01_xp.sys --> c:\windows\system32\drivers\atl01_xp.sys [?]
S3 esihdrv;esihdrv;c:\docume~1\ja\locals~1\temp\esihdrv.sys [2009-8-11 107256]
=============== Created Last 30 ================
2009-09-25 13:35 <DIR> --d----- c:\docume~1\ja\applic~1\Malwarebytes
2009-09-25 13:35 38,224 a------- c:\windows\system32\drivers\mbamswissarmy.sys
2009-09-25 13:35 19,160 a------- c:\windows\system32\drivers\mbam.sys
2009-09-25 13:35 <DIR> --d----- c:\program files\Malwarebytes' Anti-Malware
2009-09-25 13:35 <DIR> --d----- c:\docume~1\alluse~1\applic~1\Malwarebytes
2009-09-14 09:29 <DIR> --d----- c:\program files\WinDjView
2009-09-04 07:54 <DIR> --d----- c:\program files\Doc Reader
==================== Find3M ====================
2008-12-11 09:47 16 a------- c:\documents and settings\ja\ppfE82.dll
============= FINISH: 10:27:23,46 ===============
Re: MBAM opakovane hlasi Hijack.WindowsUpdates
Napsal: 28 zář 2009 10:19
od offline007
Urobil som vsetko podla navodu, polozky 2 a 5 sa naistalovali OK, pri polozek 1, 3, 4, 6 sa objavila hlaska:
Kluc D:/dokumenty /... sa neda importovat. Nie vsetky udaje sa zapisali do databazy Registry. Niektore kluce su otvorene systemom alebo inymi procesmi.
Dal som restart a pustil kontrolu MBAM, znovu sa objavili 2 zaznamy, tu je vypis logu:
Malwarebytes' Anti-Malware 1.41
Verzia databázy: 2866
Windows 5.1.2600 Service Pack 3
28.9.2009 11:14:43
mbam-log-2009-09-28 (11-14-43).txt
Typ kontroly: Rýchla
Objektov kontrolovaných: 114020
Uplynutý cas: 3 minute(s), 57 second(s)
Infikovaných procesov pamäte: 0
Infikovaných modulov pamäte: 0
Infikovaných registracných klúcov: 0
Infikovaných registracných hodnôt: 0
Infikovaných registracných údajov položiek: 2
Infikovaných priecinkov: 0
Infikovaných súborov: 0
Infikovaných procesov pamäte:
(Žiadne škodlivé položky)
Infikovaných modulov pamäte:
(Žiadne škodlivé položky)
Infikovaných registracných klúcov:
(Žiadne škodlivé položky)
Infikovaných registracných hodnôt:
(Žiadne škodlivé položky)
Infikovaných registracných údajov položiek:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\BITS\ImagePath (Hijack.WindowsUpdates) -> Bad: (%fystemRoot%\system32\svchost.exe -k netsvcs) Good: (%SystemRoot%\System32\svchost.exe -k netsvcs) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\wuauserv\ImagePath (Hijack.WindowsUpdates) -> Bad: (%fystemroot%\system32\svchost.exe -k netsvcs) Good: (%SystemRoot%\System32\svchost.exe -k netsvcs) -> Quarantined and deleted successfully.
Infikovaných priecinkov:
(Žiadne škodlivé položky)
Infikovaných súborov:
(Žiadne škodlivé položky)
Re: MBAM opakovane hlasi Hijack.WindowsUpdates
Napsal: 28 zář 2009 11:18
od offline007
Urobil som vsetko podla navodu. MBAM znovu nasiel tie iste dve polozky.
Prikladam vypis logu avenger.txt :
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
Program "regedit.exe /s c:\zapis1.reg" successfully queued to run on reboot.
Program "regedit.exe /s c:\zapis2.reg" successfully queued to run on reboot.
Program "regedit.exe /s c:\zapis3.reg" successfully queued to run on reboot.
Program "regedit.exe /s c:\zapis4.reg" successfully queued to run on reboot.
Program "regedit.exe /s c:\zapis5.reg" successfully queued to run on reboot.
Program "regedit.exe /s c:\zapis6.reg" successfully queued to run on reboot.
Completed script processing.
*******************
Finished! Terminate.
Re: MBAM opakovane hlasi Hijack.WindowsUpdates
Napsal: 28 zář 2009 11:37
od offline007
Viem pustit Regedit z prikazoveho riadku a nalistovat prislusne retazce.
Prosim o presny postup co mam prepisat a ako.
Dakujem
Re: MBAM opakovane hlasi Hijack.WindowsUpdates
Napsal: 28 zář 2009 12:04
od offline007
V registroch mam ControlSet001 a 003-
Nie 002. Je to OK?
Hovorim o tomto retazci:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wuauserv
Re: MBAM opakovane hlasi Hijack.WindowsUpdates
Napsal: 28 zář 2009 12:18
od offline007
Skusil som, objavila sa hlaska:
ImagePath sa neda upravovat. Chyba pocas zapisovania obsahu hodnoty.
Re: MBAM opakovane hlasi Hijack.WindowsUpdates
Napsal: 28 zář 2009 13:10
od offline007
Ahoj Naughty,
vyskusal som GMER. Zmenil som len dve polozky:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS
Pri obidvoch zmenach PC zamrzlo, ale zmeny ulozilo (musel som dat tvrdy restart). Ostatne polozky sa uz zmenili automaticky (fystem na system).
Hned mi aj prisli aktualizacie pre Windows a kontrola MBAM bola bez nalezu !!!
Dakujem mnohokrat za pomoc
Da sa odmena vyplatit cez internetbanking ?
Prajem vsetko dobre
Re: MBAM opakovane hlasi Hijack.WindowsUpdates
Napsal: 19 lis 2010 00:01
od destilator
zdravim vsetkych, ja mamten isty problem co kolega offline 007. malwarebytes mi naslo vyrusy, vsetky odstranilo okrem dvoch. tych istych co opisuje offline 007. skusil som vsetky moznosti co si ponukol jemu a nic. stale je to tam. %fystemroot%\system32\svchost.exe -k netsvcs.
vedel by si mi prosimta poradit ako to odstranit?
dakujem.
Re: MBAM opakovane hlasi Hijack.WindowsUpdates
Napsal: 19 lis 2010 01:38
od vyosek
Zdravim a pekny den preji

Stahnete
OTL (viz muj podpis) a ulozte jej na plochu
- Pokud pouzivate Win Vista ci W7, kliknete na OTL pravym a dejte Run As Administrator ci Spustit jako spravce
- Pokud pouzivate 64bitovy OS, zkontrolujte, zda-li je zaskrtnuty ctverecek u Pro 64 bitové OS, pokud ne, zaskrtnete jej
- Zaskrtnete okenko Pro vsechny uzivatele
- Zaskrtnete okenko Kontrola na havet "LOP"
- Zaskrtnete okenko Kontrola na havet "Purity"
- Stari souboru zmente z 30 dnu na 7 dnu
- Do spodniho okenka Vlastni skenovani/opravy vlozte skript nize
Kód: Vybrat vše
netsvcs
drivers32
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /s
c:\windows\*.* /U
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
nvrd32.sys
symmpi.sys
adp3132.sys
mv61xx.sys
nvraid.sys
ndis.sys
winlogon.exe
explorer.exe
userinit.exe
lsass.exe
svchost.exe
smss.exe
hal.dll
ws2_32.dll
tcpip.sys
cryptsvc.dll
Changer.sys
JakNDis.sys
isapnp.sys
cdrom.sys
autochk.exe
/md5stop
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\*.dll /lockedfiles
reg query "HKLM\Software\Microsoft\Windows NT\CurrentVersion\winlogon" /v GinaDLL /c
reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv" /v ImagePath /c
reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS" /v ImagePath /c
%systemroot%\system32\drivers\*.sys /3
%systemroot%\system32\*.* /3
CREATERESTOREPOINT
- Kliknete na tlacitko Prohledat
- Po dokonceni skenu (cca 5 az 10 min) se objevi logy OTL.txt a Extras.txt, oba sem vlozte
Re: MBAM opakovane hlasi Hijack.WindowsUpdates
Napsal: 19 lis 2010 12:16
od destilator
myslim ze to mam vsetko oznacene, len nemozem najst ten stvorcek kde sa oznacuje 64 bit os. ja mam obycajny windows xp. ale preistotu som to chcel skontrolovat ci to neni oznacene. no nemozem to najst.
a este neviem ktorym tlacidkom sa to spusta. viete, ja som iba podpriemerny uzivatel pc.
Re: MBAM opakovane hlasi Hijack.WindowsUpdates
Napsal: 19 lis 2010 12:22
od destilator
preistotu posielam obrazok, ako som to pooznacoval
Re: MBAM opakovane hlasi Hijack.WindowsUpdates
Napsal: 19 lis 2010 12:27
od vyosek

Vy nemate 64bit OS takze to nenajdete, jinak mate oznaceni dobre

A prohledavani se spousti tlacitkem Run Scan - bohuzel zatim nemame OTL v SK jazyce
Re: MBAM opakovane hlasi Hijack.WindowsUpdates
Napsal: 19 lis 2010 13:38
od destilator
oukej, idem nato
Re: MBAM opakovane hlasi Hijack.WindowsUpdates
Napsal: 19 lis 2010 13:39
od vyosek
Budu tu logy vyhlizet...