BackDoor.Generic_c.AHA-trojan


(Badzio9) #1

Mam na kompie BackDoor.Generic_c.AHA ponieważ wykrywa mi go AVG. Już kilka razy go usuwałem w trybie awaryjnym za pomocą AVG i spybota oraz robiłem czyszczenie combofixem. Usunęło mi to kilka innych śmieci.

Narazie wyskakuje mi:

F:\WINDOWS\system32\kl.exe

bo F:\WINDOWS\system32\fu1.exe właśnie przed chwilą przeniosłem do kwarantanny:/ Jak się tego pozbyć, pomocy. Dodam że komputer trochę zwolnił no i dłużej się uruchamia. Przywracałem już system do wcześniejszego punktu przywracania ale nic.


(huber2t) #2

zapewne ma teraz wirus wpisy w rejestrze które musisz usunąć. Ale najlepiej będzie jak znajdziesz szczepionkę i nią usuniesz wirus najwięcej szczepionek jest na http://www.symantec.com


(matio) #3

daj log hijackthis


(Badzio9) #4

HJT log:

Logfile of HijackThis v1.99.1

Scan saved at 17:27, on 2007-11-04

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)


Running processes:

F:\WINDOWS\System32\smss.exe

F:\WINDOWS\system32\winlogon.exe

F:\WINDOWS\system32\services.exe

F:\WINDOWS\system32\lsass.exe

F:\WINDOWS\system32\svchost.exe

F:\WINDOWS\System32\svchost.exe

F:\WINDOWS\system32\spoolsv.exe

F:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

F:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

F:\PROGRA~1\Grisoft\AVG7\avgemc.exe

F:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe

F:\Program Files\cFosSpeed\spd.exe

F:\WINDOWS\System32\nvsvc32.exe

F:\Program Files\AlienGUIse\wbload.exe

F:\WINDOWS\Explorer.EXE

F:\PROGRA~1\Grisoft\AVG7\avgcc.exe

F:\WINDOWS\TBPanel.exe

F:\WINDOWS\SOUNDMAN.EXE

F:\Program Files\Unlocker\UnlockerAssistant.exe

F:\Program Files\cFosSpeed\cFosSpeed.exe

F:\WINDOWS\System32\ctfmon.exe

F:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe

F:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

F:\Program Files\AlienGUIse\AlienwareDock\ObjectDock.exe

F:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE

F:\progra~1\mozill~1\firefox.exe

F:\Program Files\foobar2000\foobar2000.exe

F:\Documents and Settings\Daniel\Pulpit\hijackthis\HijackThis.exe

F:\WINDOWS\system32\tftp.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - URLSearchHook: (no name) - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Tłumaczenie - {0D704FAD-66E9-4F0A-BFED-4F665770DDB3} - F:\Program Files\Techland\Common\InternetTranslator\InternetTranslator.dll

O4 - HKLM\..\Run: [AVG7_CC] F:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [Gainward] F:\WINDOWS\TBPanel.exe /A

O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [UnlockerAssistant] "F:\Program Files\Unlocker\UnlockerAssistant.exe"

O4 - HKLM\..\Run: [cFosSpeed] F:\Program Files\cFosSpeed\cFosSpeed.exe

O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\ctfmon.exe

O4 - Startup: Alienware Dock.lnk = F:\Program Files\AlienGUIse\AlienwareDock\ObjectDock.exe

O4 - Startup: Skrót do Neostrada TP.lnk = ?

O4 - Global Startup: BTTray.lnk = ?

O4 - Global Startup: DSLMON.lnk = F:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://F:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {B46B0919-62BA-4D99-A5C4-916B57A6805C} - F:\Program Files\Techland\Common\InternetTranslator\InternetTranslator.dll

O9 - Extra 'Tools' menuitem: @F:\Program Files\Techland\Common\InternetTranslator\InternetTranslator.dll,-103 - {B46B0919-62BA-4D99-A5C4-916B57A6805C} - F:\Program Files\Techland\Common\InternetTranslator\InternetTranslator.dll

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - F:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - F:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O17 - HKLM\System\CCS\Services\Tcpip\..\{99309A02-2F1D-4688-906A-EC92307EE6D6}: NameServer = 194.204.159.1 217.98.63.164

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - F:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: WB - F:\Program Files\AlienGUIse\fastload.dll

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - F:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - F:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - F:\PROGRA~1\Grisoft\AVG7\avgemc.exe

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - F:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe

O23 - Service: cFosSpeed System Service (cFosSpeedS) - Unknown owner - F:\Program Files\cFosSpeed\spd.exe" -service (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - F:\WINDOWS\System32\nvsvc32.exe

Dodam jeszcze, e wcześniej sam ręcznie usuwałem wpis i plik:

Złączono Posta : 04.11.2007 (Nie) 17:53

Dodam jeszcze, że sprawdzając programy zauważyłem, że port DCOM był otwarty w programie WindowsWormDoorCleaner a na pewno wszystkie zamykałem. Po zamknięciu od razu szybciej przebiega skanowanie antywirusem lecz znowu mi wykryło tego trojana tylko na końcu ma teraz rozszerzenie *.AGZ


(jessica) #5

Ale to jest prawidłowy plik, w prawidłowej lokalizacji.

Jeśli jest zarażony, to użyj -->SDFix

Uwaga: Da się go uruchomić tylko w Trybie Awaryjnym.

Pokaż Report.txt znajdujący się w folderze SDFix.

>>Hijack>>scan(Do a system scan only)>>zaznacz (V) >> Fix checked.

Nic tu więcej podejrzanego nie widzę. We wcześniejszym Twoim logu z ComboFixa (w innym Twoim temacie) też nic ciekawgo.

jessi


(Badzio9) #6

Daję loga:

Mówiłem, że to jest zarażony plik? Miałem rację, ale dam jeszcze log z HJT bo mi jeszcze znalazł tego tftp.exe :confused: Nie wiem jak się go pozbyć:((((

Złączono Posta : 05.11.2007 (Pon) 17:59

Acha, dodam bo może się przyda a to mnie zaciekawiło. Mam to jeszcze to robactwo na kompie, i zauważyłem, że ono otwiera port DCOM. Nie wiem jak ale mam WindowsWormDoorCleaner i zamykałem wcześniej (wczoraj) ten port na 100% bo zauważyłem, że był otwarty. Teraz patrzę, że znowu jest otwarty to go zablokowałem. Czy da się jakoś na stałe zablokować ten port innym programem albo w rejestrze, żeby ten robak mi go nie otwierał? Wiem z "doświadczenia", że wystarczy 5 minut jak ten port jest otwarty i już instaluje się jakiś trojan czy robal. POMOCY..


(jessica) #7

Ale te usunięte, to nie są "tftp" - bo mają inne nazwy, tyle, że zaczynające się na "tftp". :slight_smile:

EDIT:

Może teraz już nic nie będzie otwierało tych portów..?

jessi


(Badzio9) #8

Ale właśnie przed chwilą miałem otwarty port DCOM (chyba 135 się inaczej na to mówi). Nie wiem, ściągłem (jak to się pisze:/) już nowszą wersję WormDoorCleanera [ostatnią] i mam nadzieję że to pomoże. Wcześniej korzystałem z wersji 1.3.1

Aa, bo zapomniałem dać loga z HJT.

I to też mnie zastanawia. Teraz nie ma tego tftp.exe w logu a jak tylko się otwierał port DCOM to od razu się to pojawiało. Mam nadzieję że to już spokój mi dało:)