AVG Anti-rootkit cos wykrył, ogólne zamulenie, chore pingi

kombersista · 14 Sierpień 2007 09:19

AVG wykrył coś takiego:

wywalić?

A tu logi:

ComboFix

C

omboFix 07-08-09.3 - “Administrator” 07-08-13 20:27:58.1 - FAT32x86 Microsoft Windows XP Professional 5.1.2600.1.1250.48.1045.18.97 [GMT 2:00] ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) C:\Program Files\Common Files\companion wizard C:\Program Files\Common Files\companion wizard\compwiz.exe C:\Program Files\Common Files\Companion Wizard\compwiz.exe C:\Program Files\Common Files\Companion Wizard\WapCHK.dll C:\Program Files\Common Files\companion wizard\WapCHK.dll C:\Program Files\Common Files\companion wizard\WapCHK{3F50A412-0905-4124-9F04-0AF0866928D2}.dll C:\Program Files\Common Files\Companion Wizard\WapCHK{3F50A412-0905-4124-9F04-0AF0866928D2}.dll C:\WINDOWS\system32\stera.log ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) -------\LEGACY_FOPN ((((((((((((((((((((((((( Files Created from 2007-07-13 to 2007-08-13 ))))))))))))))))))))))))))))))) 2007-08-13 20:26 51,200 --a------ C:\WINDOWS\nircmd.exe 2007-08-12 18:36 2007-08-09 18:18 2007-08-04 12:23 2007-08-01 14:44 235,008 --a------ C:\WINDOWS\UNBOC.EXE 2007-08-01 14:44 208,896 --a------ C:\WINDOWS\CMDLIC.DLL 2007-07-27 20:20 103,736 --a------ C:\WINDOWS\system32\PnkBstrB.exe 2007-07-27 20:18 2007-07-27 20:17 66,872 --a------ C:\WINDOWS\system32\PnkBstrA.exe 2007-07-20 19:41 2007-07-18 21:39 2007-07-18 21:38 (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-08-12 18:39 3136 --a------ C:\WINDOWS\system32\tmp.reg 2007-06-27 10:19 --------- d-------- C:\DOCUME~1\ADMINI~1.MOR\DANEAP~1\Leadertech 2007-06-21 17:56 815 --a------ C:\WINDOWS\unins000.dat 2007-06-18 15:15 685816 --a------ C:\WINDOWS\system32\drivers\sptd.sys 2007-06-17 09:14 --------- d–h----- C:\Program Files\InstallShield Installation Information 2007-06-11 21:32 993 --a------ C:\WINDOWS\eReg.dat ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “@”="" [] “HPDJ Taskbar Utility”=“C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe” [2002-06-21 11:32] “NvCplDaemon”=“C:\WINDOWS\System32\NvCpl.dll” [2004-07-15 11:42] “nwiz”=“nwiz.exe” [2004-07-15 11:42 C:\WINDOWS\system32\nwiz.exe] “NvMediaCenter”=“C:\WINDOWS\System32\NvMcTray.dll” [2004-07-15 11:42] “avgnt”=“D:\Programy\AntiVir PersonalEdition Classic\avgnt.exe” [2007-04-20 14:46] “NeroFilterCheck”=“C:\WINDOWS\system32\NeroCheck.exe” [2001-07-09 10:50] “PWRISOVM.EXE”=“D:\Programy\PowerISO\PWRISOVM.EXE” [2007-04-09 14:23] “Comodo Personal Firewall”=“D:\Programy\Comodo Firewall\Personal Firewall\CPF.exe” [2007-02-15 10:18] “Comodo Launch Pad Tray”=“C:\Program Files\Comodo\LaunchPad\CLPTray.exe” [2006-09-23 10:57] “BOC-425”=“D:\Programy\BOCLEA~1.25\BOC425.exe” [2007-08-08 19:49] “combofix”=“C:\WINDOWS\system32\cmd.exe” [2001-10-26 17:29] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “Komunikator”=“D:\Programy\Tlen.pl\tlen.exe” [2007-02-12 12:01] “ccleaner”=“D:\Programy\CCleaner\ccleaner.exe” [2007-07-13 11:10] “NBJ”=“D:\Programy\Nero Vision\Nero BackItUp\NBJ.exe” [2005-06-02 15:03] “Odkurzacz-MCD”=“D:\Programy\Odkurzacz\odk_mcd.exe” [2007-05-03 10:02] “Steam”="" [] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runonce] “combofix”=C:\WINDOWS\system32\cmd.exe /c C:\ComboFix\Combobatch.bat C:\Documents and Settings\Dominik\Menu Start\Programy\Autostart\ Xfire.lnk - D:\Programy\XFire\xfire.exe [2007-08-06 20:26:02] uTorrent.lnk - D:\Programy\Utorrent\uTorrent.exe [2007-07-29 15:25:50] C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\ Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office\OSA9.EXE [1999-02-17 19:05:56] RaConfig.lnk - C:\WINDOWS\system32\RaConfig.exe [2005-07-19 11:47:16] Adobe Reader Speed Launch.lnk - D:\Programy\Adobe Reader 8\Reader\reader_sl.exe [2006-10-23 01:48:20] Adobe Reader Synchronizer.lnk - D:\Programy\Adobe Reader 8\Reader\AdobeCollabSync.exe [2006-10-23 00:01:50] R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\drivers\avgntmgr.sys R0 Inspect;Comodo Network Engine;C:\WINDOWS\System32\DRIVERS\inspect.sys R0 prohlp02;StarForce Protection Helper Driver v2;C:\WINDOWS\System32\drivers\prohlp02.sys R0 sfhlp01;StarForce Protection Helper Driver;C:\WINDOWS\System32\drivers\sfhlp01.sys R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys R1 prodrv06;StarForce Protection Environment Driver v6;C:\WINDOWS\System32\drivers\prodrv06.sys R3 BOCDRIVE;BOClean Kernel Monitor.;??\D:\Programy\BOClean 4.25\BOCDRIVE.sys R3 RT2400;RT2400 Wireless Driver;C:\WINDOWS\System32\DRIVERS\RT2400.sys R3 SiS7012;Service for AC’97 Sample Driver (WDM);C:\WINDOWS\System32\drivers\sis7012.sys S0 ElbyVCD;ElbyVCD;C:\WINDOWS\System32\DRIVERS\ElbyVCD.sys S3 ddsxeiservice;ddsxeiservice;??\D:\Programy\sXe Injected\ddsxei.sys S3 ldiskl;ldiskl;??\C:\DOCUME~1\Michal\USTAWI~1\Temp\ldiskl.sys S3 MEMSWEEP2;MEMSWEEP2;??\C:\WINDOWS\System32\72.tmp S3 sony_ssm.sys;sony_ssm.sys;??\C:\DOCUME~1\Dominik\USTAWI~1\Temp\sony_ssm.sys S3 XDva006;XDva006;??\C:\WINDOWS\System32\XDva006.sys S4 JBSXY;JBSXY;C:\DOCUME~1\ADMIN\USTAWI~1\Temp\JBSXY.exe ************************************************************************** catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-08-13 20:37:01 Windows 5.1.2600 Dodatek Service Pack. 1 FAT NTAPI scanning hidden processes … scanning hidden autostart entries … scanning hidden files … scan completed successfully hidden files: 0 ************************************************************************** Completion time: 2007-08-13 20:40:15 - machine was rebooted C:\ComboFix-quarantined-files.txt … 2007-08-13 20:40 — E O F —

Hijack:

L

ogfile of Trend Micro HijackThis v2.0.2 Scan saved at -|TEA12 @LFONS|- , on 2007-08-14 Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Boot mode: Normal Running processes: C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe D:\Programy\AntiVir PersonalEdition Classic\avgnt.exe D:\Programy\PowerISO\PWRISOVM.EXE D:\Programy\Comodo Firewall\Personal Firewall\CPF.exe C:\Program Files\Comodo\LaunchPad\CLPTray.exe D:\Programy\BOCLEA~1.25\BOC425.exe D:\Programy\Tlen.pl\tlen.exe C:\WINDOWS\system32\RaConfig.exe D:\Programy\XFire\xfire.exe D:\Programy\Winamp 5.35\winamp.exe D:\PROGRAMY\MOZILL~1.0\FIREFOX.EXE D:\Programy\hijackthis\HijackThis.exe R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go2.hit.gemius.pl/hitredir/id=ci … 07_SP07_17 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programy\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll O4 - HKLM…\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM…\Run: [nwiz] nwiz.exe /install O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM…\Run: [avgnt] “D:\Programy\AntiVir PersonalEdition Classic\avgnt.exe” /min O4 - HKLM…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM…\Run: [PWRISOVM.EXE] D:\Programy\PowerISO\PWRISOVM.EXE O4 - HKLM…\Run: [Comodo Personal Firewall] D:\Programy\Comodo Firewall\Personal Firewall\CPF.exe sysrestart O4 - HKLM…\Run: [Comodo Launch Pad Tray] C:\Program Files\Comodo\LaunchPad\CLPTray.exe O4 - HKLM…\Run: [bOC-425] D:\Programy\BOCLEA~1.25\BOC425.exe O4 - HKCU…\Run: [Komunikator] D:\Programy\Tlen.pl\tlen.exe O4 - HKCU…\Run: [ccleaner] “D:\Programy\CCleaner\ccleaner.exe” /AUTO O4 - HKCU…\Run: [NBJ] “D:\Programy\Nero Vision\Nero BackItUp\NBJ.exe” O4 - HKCU…\Run: [Odkurzacz-MCD] D:\Programy\Odkurzacz\odk_mcd.exe O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘SYSTEM’) O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘Default user’) O4 - Startup: Xfire.lnk = D:\Programy\XFire\xfire.exe O4 - Startup: uTorrent.lnk = D:\Programy\Utorrent\uTorrent.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: RaConfig.lnk = C:\WINDOWS\system32\RaConfig.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = D:\Programy\Adobe Reader 8\Reader\reader_sl.exe O4 - Global Startup: Adobe Reader Synchronizer.lnk = D:\Programy\Adobe Reader 8\Reader\AdobeCollabSync.exe O9 - Extra button: Pop-Up Blocker - {84536FE2-ABCD-3586-DCAB-40E286323737} - D:\Programy\WINnerTweak3\PopUp Blocker.exe O9 - Extra ‘Tools’ menuitem: Pop-Up Blocker - {84536FE2-ABCD-3586-DCAB-40E286323737} - D:\Programy\WINnerTweak3\PopUp Blocker.exe O17 - HKLM\System\CCS\Services\Tcpip…{9759F774-A012-4E4C-A4B4-279406B4B4EA}: NameServer = 192.168.18.1,194.204.159.1 O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - D:\Programy\Ad-ware 2007\aawservice.exe O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - D:\Programy\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Programy\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: BOCore - COMODO - D:\Programy\BOClean 4.25\BOCORE.exe O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - D:\Programy\Comodo Firewall\Personal Firewall\cmdagent.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - D:\Programy\Alcohol 120\StarWind\StarWindServiceAE.exe O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\System32\UAService7.exe – End of file - 4855 bytes

Internet i system w ogóle jest straszne przymulony, a pingi w grach (CoD, cs1.6) są wręcz szalone. Połaćzenie też regularnie się zrywa. co 5-10 minut dostaje “napadów” i przerywa połączenie co 5-15 sekund i w kółko. Choć tu niewiem czy to nie wina dostawcy (ostatnio miał duże problemy techniczne) Pomocy!

jessica · 14 Sierpień 2007 09:54

Chyba AVG sam rozstrzygnął sprawę tego " aw5evfjf.sys", bo w logu z ComboFixa już tego pliku nie widać.

W każdym razie nie był to plik z kategorii niezbędnych w systemie.

Sprawdź ten pogrubiony plik na http://virusscan.jotti.org/

Opis, jak korzystać z JOTTI --> http://otfans.pl/forums/showthread.php?tid=552

albo na http://www.virustotal.com/en/indexf.html

(korzysta się podobnie jak z JOTTI).

Nic tu więcej podejrzanego nie widzę.

.

kombersista · 14 Sierpień 2007 10:09

Hmmm, pogrubiony plik gdzieś zniknął. Przeczyściłem TEMP-y. A co do pliku w AVG, ciekawa sprawa za każdym razem gdy włączę AVG znajduje obiekt na ścieżce C:\WINDOWS\System32\Drivers z rozszerzeniem .sys, lecz za każdym razem ma on inną, losową chyba nazwę :? Można go bezpiecznie wywalić przez AVG?

jessica · 14 Sierpień 2007 10:20

Trudno powiedzieć - takie “zmyłki” stosują też prawidłowe narzędzia, np. GMER.

.

system · 14 Sierpień 2007 11:52

Wygląda na Rootkit Apropos.

kombersista · 14 Sierpień 2007 17:40

lol. To chyba syf, który jest ale go nie ma :?

Na dowód:

nie ma żadnych 8-literowych folderów C:\Program Files\ w rejestrze niczego nie potrafię sie doszukać :roll:

Tym nie mniej AVG dalej coś widzi. Co począć?

M_i_r · 14 Sierpień 2007 19:45

to jest pozostałość po WinAntiVirus

Jak usuwać tu

http://cybertrash.pl/images/tata/WinAnt … 02007.html

jessica · 15 Sierpień 2007 09:16

@M_i_r - ale po co ma usuwać, skoro to jest już usunięte - te wpisy znajdują się przecież w sekcji “Other Deletions” logu ComboFixa. Ta sekcja zawiera to, co ComboFix samoczynnie usunął.

jessi

M_i_r · 15 Sierpień 2007 09:31

Witaj @jessica - ten szkodnik ściąga też swoich “przyjaciół” np. vundo i dlatego sugeruję wykonanie usuwania w.g. instrukcji @taty.Może coś się ukryło.Pozdrawiam.

kombersista · 15 Sierpień 2007 09:47

Ok, spróbujemy

Ale może dokładniej opiszę mój problem. Otóż mam radiówkę 512 kb/s kilka dni temu dostawca miał ogromne problemy techniczne spowodowane gwałtownymi burzami. Przez 3 dni w ogóle ani ja, ani sąsiedzi nie mieliśmy dostępu do netu (ten sam dostawca), aż w końcu w poniedziałkowe popołudnie rozwiązał się problem Ale pewien problem pozostaje u mnie nadal, mianowicie sieć bezprzewodowa ciągle (co 5-10 minut) przełancza sie między różnymi nadajnikami przez co znów następują “przerwy”. Po oględzinach okazało się, że mam niesprawną (uszkodzoną) wtyczkę antenową SMA R\P (mam zewnętrzną antenę, na dachu) więc przyczyną "przeskoków sieci może być albo ta wtyczka, albo owy dziwny syf, albo jedno i drugie. Dodam że obecnie wtyczka, a w zasadzie goły kabel jest prowizorycznie przymocowany kawałkiem taśmy Co wy o tym myślicie? :?

M_i_r · 15 Sierpień 2007 10:16

O teorii anten nie będę się rozpisywał - jak najszybciej popraw instalację.

Przy uszkodzonym ekranie (przerwa) odbierasz z wysokim poziomem zakłóceń a nadajesz z niewielką mocą przy okazji zaśmiecając innym.

Pozdrawiam.