Avast - wirus w pamięci operacyjnej (Co robić?)

Dla specjalistów Bezpieczeństwo
#1

Witam…

A więc tak jak w temacie. Ok 10 minut od uruchomienia wyskakuje monit o tym że Avast Professional wykrył zagrożenie w pamięci operacyjnej. Gdy klikam tak komputer robi restart i zaczyna skanowanie lecz nie wykrywa zagrożeń… Zarzucam logi z HijackThis!

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 09:00:24, on 2009-09-27

Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\shellext\DrvIcon.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\shellext\ViOrb.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wscntfy.exe

D:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Program Files\Outlook Express\msimn.exe"

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O2 - BHO: IEPluginBHO - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Documents And Settings\WinXPae\Dane aplikacji\Nowe Gadu-Gadu\_userdata\ggbho.1.dll

O4 - HKLM\..\Run: [DrvIcon] C:\WINDOWS\system32\shellext\DrvIcon.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [ViOrb] C:\WINDOWS\system32\shellext\ViOrb.exe

O4 - HKCU\..\Run: [cdoosoft] C:\DOCUME~1\WinXPae\USTAWI~1\Temp\herss.exe

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')

O13 - Gopher Prefix: 

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe


--

End of file - 4155 bytes

Log z SilentRunners

http://wklejto.pl/txt43205

Log z OTL

http://wklejto.pl/txt43206

Musiałem wrzucić na wklejto bo tutaj mi krzyczy o przekroczeniu ilości znaków

#2

Wklej w OTL

Kliknij Run Fix. Potem wklejasz log z usuwania i nowy z OTL.

Zastanawia mnie też to

Brakuje markera Microsoftu. Na wszelki wypadek przeskanuj ten plik na VirusTotal i pokaż raport.

#3

A wiec tak…

OTL wiesza się i pomaga tylko reset

VirtualTotal pisze tak

Plik został już przeskanowany:

MD5: 92ec9f292972faecac1bc5a74d294cdf

First received: 2009.05.12 09:41:24 UTC

Data: 2009.05.12 09:41:24 UTC [>137D]

Wyniki: 0/38

Permalink: analisis/ce4727776ebf4b9ce12e43039d8425609837a6837909a240940ff23296a06824-1242121284
#4

Pobierz AVZ

Potem File => Custom scripts i wklej takie coś

Klikasz Run, log będzie w lokalizacji c:\avzlog.txt, wklej go, wklej też nowo robiony log z OTL.

Potem w AVZ do skanu wszystkie partycje, potem File => Standard scripts => zaznaczasz opcję 2 => klikasz Execute selected scripts => po zakończeniu skanu klikasz ikonę dyskietki po prawej stronie, zapisujesz log i podajesz tutaj jego zawartość.

#5

AVZ

Delete file:C:\Documents And Settings\WinXPae\Ustawienia lokalne\Temp\herss.exe

Delete file:C:\w9uxx92.exe

Delete file:C:\bycfht.exe

Delete file:d:\w9uxx92.exe

Delete file:d:\bycfht.exe

Delete file:e:\w9uxx92.exe

Delete file:e:\bycfht.exe

Delete file:c:\autorun.inf

Delete file:d:\autorun.inf

Delete file:e:\autorun.inf

Removing traces of deleted files...

[malware removal microprogram]> registry key deleted HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2

OTL

http://wklejto.pl/txt43211

AVZ

http://wklejto.pl/txt43212
#6

AVZ nie usunął resztek. Wklej do notatnika

Zapisz jako, Wszystkie pliki plik.reg. Uruchamiasz ten plik, zgadzasz się na dodanie informacji do rejestru, restart.

Potem kliknij CleanUp w OTL.

Wyłącz na chwilę przywracanie systemu - XP/Vista

Wykonaj pełny skan Malwarebytes Anti-Malware, jeśli coś znajdzie - usuń i wklej log.

Przeczyść dysk i rejestr CCleaner’em.

Podepnij pamięci przenośne i zastosuj FlashDisinfector

#7

Log z MAM

Malwarebytes' Anti-Malware 1.41

Wersja bazy definicji: 2865

Windows 5.1.2600 Dodatek Service Pack 3


2009-09-27 12:02:24

mbam-log-2009-09-27 (12-02-24).txt


Typ skanowania: Pełne skanowanie (C:\|D:\|E:\|)

Przeskanowane obiekty: 115889

Upłynęło: 11 minute(s), 34 second(s)


Zainfekowane procesy w pamięci: 0

Zainfekowane moduły pamięci: 0

Zainfekowane klucze rejestru: 1

Zainfekowane wartości rejestru: 1

Zainfekowane pliki rejestru: 1

Zainfekowane foldery: 0

Zainfekowane pliki: 2


Zainfekowane procesy w pamięci:

(Nie wykryto groźnych plików)


Zainfekowane moduły pamięci:

(Nie wykryto groźnych plików)


Zainfekowane klucze rejestru:

HKEY_CLASSES_ROOT\CLSID\MADOWN (Worm.Magania) -> Quarantined and deleted successfully.


Zainfekowane wartości rejestru:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Quarantined and deleted successfully.


Zainfekowane pliki rejestru:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSMHelp (Hijack.Help) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.


Zainfekowane foldery:

(Nie wykryto groźnych plików)


Zainfekowane pliki:

C:\Documents And Settings\WinXPae\Ustawienia lokalne\Temp\cvasds0.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.

C:\Documents And Settings\WinXPae\Ustawienia lokalne\Temp\cvasds1.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.

P.S te wirusy są teraz w kwarantannie… Mam je całkowicie wywalić czy je tam pozostawić?

#8

Opróżnij kwarantannę Malwarebytes. Jak wykonałeś resztę poleceń to nic już nie ma.

#9

Lol…

Muszę odkopać temat bo znowu złapałem tego Wirusa w pam. opeacyjnej…

Tak jak wtedy zarzucam wam logi z

HijackThis 2.0.2

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 07:14:30, on 2009-10-31

Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\SearchIndexer.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\Program Files\AIMP2\AIMP2.exe

D:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\SearchProtocolHost.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe


R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: Foxit Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [cdoosoft] C:\DOCUME~1\Kopmuter\USTAWI~1\Temp\herss.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe


--

End of file - 4456 bytes

SilentRunner

http://wklej.org/id/190952/

OTL

http://wklej.org/id/190953/

OTL (extras)

http://wklej.org/id/190954/

Trochę ręce mi opadają bo AVAST przepuszcza co może :E

#10

W OTL w dolne białe okno wklej taki tekst

Kliknij Run Fix. Pokaż log z usuwania i nowy robiony z opcji Run Scan (Processes i Modules przestaw na All, reszty nie ruszaj). Doklej logi z GMER i System Repair Engineer

#11

OTL opcja z usuwaniem

http://wklej.org/id/190973/

OTL scan

http://wklej.org/id/190976/

GMER i ten drugi w drodze :slight_smile:

Logi muszę wysyłać na wklejorg bo tu przekraczam ilość znaków :stuck_out_tongue:

#12

Die wklejaj linków w żadne tagi. Do wklejenia logi z ww narzędzi.

#13

mam zapodać loga z wszystkich opcji w GMERZE? czy tylko z rejestru?

log z SRE

http://wklej.org/id/190988/

#14

Jakbyś tutaj wkleił to, przynajmniej ja, bym ich nie sprawdził.

Wygląda na skasowane.

Kroki końcowe.

Wyłącz na chwilę przywracanie systemu - XP/Vista

Wykonaj pełny skan Malwarebytes Anti-Malware, jeśli coś znajdzie - usuń i wklej log.

Przeczyść dysk i rejestr CCleaner’em.

Podepnij pamięci przenośne i zastosuj FlashDisinfector