Backdoor.Win32.Sinowal.ck. problem Rozwiązany

woodyallen · 6 Sierpień 2008 17:38

PO ostatnim skanowaniu niestety uporczywie uaktywnia się

2008-08-06 15:26:32 Zagrożenie: Backdoor.Win32.Sinowal.ck \Device\Harddisk1\DR1

Nie wiem co mam z tym zrobić , szukałem po roznych forach ale za “cienki” jestem jak rozwiązac problem , zainstalowalem hijacka no i to wyszło. log. ps bardzo Was proszę o pomoc. !

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:20:51, on 2008-08-06

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\system32\RunDLL32.exe

C:\WINDOWS\PowerS.exe

C:\Program Files\Common Files\Real\Update_OB\realsched.exe

C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe

C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe

C:\WINDOWS\ATKKBService.exe

C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe

C:\Program Files\Executive Software\DiskeeperLite\DKService.exe

C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll

O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O4 - HKLM…\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM…\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM…\Run: [nwiz] nwiz.exe /install

O4 - HKLM…\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit

O4 - HKLM…\Run: [PowerS] C:\WINDOWS\PowerS.exe

O4 - HKLM…\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe

O4 - HKLM…\Run: [WinampAgent] “C:\Program Files\Winamp\winampa.exe”

O4 - HKLM…\Run: [TkBellExe] “C:\Program Files\Common Files\Real\Update_OB\realsched.exe” -osboot

O4 - HKLM…\Run: [sunJavaUpdateSched] “C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe”

O4 - HKLM…\Run: [AVP] “C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe”

O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU…\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] “C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe”

O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA LOKALNA’)

O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’)

O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’)

O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’)

O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: Dodaj do listy blokowanych banerów - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Locate Spot on Map by GPS - C:\Program Files\Opanda\IExif 2.3\IExifMap.htm

O8 - Extra context menu item: View Exif/GPS/IPTC with IExif - C:\Program Files\Opanda\IExif 2.3\IExifCom.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: Statystyki ochrony WWW - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe

O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe

O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\DiskeeperLite\DKService.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

–

End of file - 5627 bytes

Leon1 · 6 Sierpień 2008 17:46

Log czysty

Pobierz Combofix http://www.searchengines.pl/index.php?s … ntry395642 przeskanuj daj log

woodyallen · 6 Sierpień 2008 18:00

Tak zrobilem … no i to wyszło.

ComboFix 08-08-04.09 - 1 2008-08-06 19:49:51.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.1535 [GMT 2:00]

Running from: C:\Documents and Settings\1\Pulpit\ComboFix.exe

* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED

.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

-------\Legacy_{DEF85C80-216A-43AB-AF70-1665EDBE2780}

-------\Service_{DEF85C80-216A-43ab-AF70-1665EDBE2780}

((((((((((((((((((((((((( Files Created from 2008-07-06 to 2008-08-06 )))))))))))))))))))))))))))))))

.

2008-08-06 16:24 . 2008-08-06 16:24

2008-08-06 16:00 . 2008-08-06 16:23

2008-08-05 19:23 . 2008-08-06 18:44 96,976 --a------ C:\WINDOWS\system32\drivers\klin.dat

2008-08-05 19:23 . 2008-08-05 19:33 87,855 --a------ C:\WINDOWS\system32\drivers\klick.dat

2008-08-05 19:22 . 2008-08-05 19:22

2008-08-05 19:22 . 2008-08-06 18:58

2008-08-05 19:22 . 2008-08-06 19:53 1,741,856 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat

2008-08-05 19:22 . 2008-08-06 19:53 221,216 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat

2008-08-05 19:22 . 2008-08-06 19:53 17,832 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx

2008-08-05 19:22 . 2008-08-06 19:53 2,884 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx

2008-08-05 19:21 . 2008-08-05 19:21

2008-08-04 14:09 . 2008-08-06 16:48

2008-07-22 23:42 . 2008-07-28 00:26

2008-07-22 20:32 . 2008-07-22 20:32

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-08-06 17:18 --------- d-----w C:\Program Files\Mozilla Thunderbird

2008-07-31 13:05 --------- d-----w C:\Documents and Settings\1\Dane aplikacji\uTorrent

2008-07-22 18:32 --------- d-----w C:\Program Files\Java

2008-07-09 07:18 --------- d-----w C:\Program Files\Gadu-Gadu

2008-06-20 07:41 --------- d-----w C:\Program Files\Picasa2

2008-05-30 07:15 286,720 ----a-w C:\WINDOWS\iun507.exe

2008-05-14 17:13 21,680 ----a-w C:\Documents and Settings\1\Dane aplikacji\GDIPFONTCACHEV1.DAT

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

*Note* empty entries legit default entries are not shown

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“CTFMON.EXE”=“C:\WINDOWS\system32\ctfmon.exe” [2004-08-04 14:00 15360]

“BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}”=“C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe” [2006-03-01 20:43 90112]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“NvCplDaemon”=“C:\WINDOWS\system32\NvCpl.dll” [2006-06-01 11:22 7618560]

“PowerS”=“C:\WINDOWS\PowerS.exe” [2001-08-03 18:56 159800]

“NeroFilterCheck”=“C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe” [2006-01-12 16:40 155648]

“TkBellExe”=“C:\Program Files\Common Files\Real\Update_OB\realsched.exe” [2008-03-26 14:07 185896]

“SunJavaUpdateSched”=“C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe” [2008-06-10 04:27 144784]

“AVP”=“C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe” [2008-04-25 18:21 201992]

“RTHDCPL”=“RTHDCPL.EXE” [2007-09-03 09:52 16841216 C:\WINDOWS\RTHDCPL.exe]

“nwiz”=“nwiz.exe” [2006-06-01 11:22 1519616 C:\WINDOWS\system32\nwiz.exe]

“NvMediaCenter”=“NvMCTray.dll” [2006-06-01 11:22 86016 C:\WINDOWS\system32\nvmctray.dll]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

“CTFMON.EXE”=“C:\WINDOWS\system32\CTFMON.EXE” [2004-08-04 14:00 15360]

C:\Documents and Settings\1\Menu Start\Programy\Autostart\

Adobe Gamma.lnk - C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 20:16:50 113664]

C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\

Adobe Reader Speed Launch.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-24 08:05:26 29696]

Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 11:01:04 83360]

[HKLM~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Remote Controller.lnk]

path=C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Remote Controller.lnk

backup=C:\WINDOWS\pss\Remote Controller.lnkCommon Startup

[HKLM~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^TVSCHL.lnk]

path=C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\TVSCHL.lnk

backup=C:\WINDOWS\pss\TVSCHL.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

“NVSvc”=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]

“DisableMonitoring”=dword:00000001

[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

“EnableFirewall”= 0 (0x0)

[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

“%windir%\system32\sessmgr.exe”=

“C:\Program Files\Gadu-Gadu\gg.exe”=

“C:\Program Files\Nero\Nero 7\Nero Home\NeroHome.exe”=

“C:\Program Files\uTorrent\uTorrent.exe”=

“D:\eMule\emule.exe”=

“C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab Setup Files\Kaspersky Internet Security 2009\Polish\setup.exe”=

R0 iteraid;ITERAID_Service_Install;C:\WINDOWS\system32\DRIVERS\iteraid.sys [2005-08-04 07:51]

R0 klbg;Kaspersky Lab Boot Guard Driver;C:\WINDOWS\system32\drivers\klbg.sys [2008-01-29 18:29]

R2 BT878;BtCap, WDM Video Capture;C:\WINDOWS\system32\drivers\BT878.SYS [2003-03-26 23:48]

R2 BTTUNER;BtTuner, WDM TV Tuner;C:\WINDOWS\system32\drivers\BTTUNER.SYS [2002-02-22 14:36]

R2 BTXBAR;BtXBar, WDM Crossbar;C:\WINDOWS\system32\drivers\BTXBAR.SYS [2002-02-22 14:36]

R3 KLFLTDEV;Kaspersky Lab KLFltDev;C:\WINDOWS\system32\DRIVERS\klfltdev.sys [2008-03-13 19:02]

R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2008-03-25 20:07]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{728749ac-2fcf-11dd-abde-000b6a243bcc}]

\Shell\AutoRun\command - mug0sd.cmd

\Shell\explore\Command - mug0sd.cmd

\Shell\open\Command - mug0sd.cmd

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{728749ad-2fcf-11dd-abde-000b6a243bcc}]

\Shell\AutoRun\command - mug0sd.cmd

\Shell\explore\Command - mug0sd.cmd

\Shell\open\Command - mug0sd.cmd

.

- - - ORPHANS REMOVED - - - -

HKLM-Run-WinampAgent - C:\Program Files\Winamp\winampa.exe

.

------- Supplementary Scan -------

.

FireFox -: Profile - C:\Documents and Settings\1\Dane aplikacji\Mozilla\Firefox\Profiles\8gperduu.default\

FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://onet.pl

FF -: plugin - C:\Program Files\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll

FF -: plugin - C:\Program Files\Mozilla Firefox\plugins\NPSNOOKER.dll

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-08-06 19:54:34

Windows 5.1.2600 Dodatek Service Pack 2 NTFS

scanning hidden processes …

scanning hidden autostart entries …

scanning hidden files …

scan completed successfully

hidden files: 0

**************************************************************************

.

------------------------ Other Running Processes ------------------------

.

C:\WINDOWS\ATKKBService.exe

C:\Program Files\Executive Software\DiskeeperLite\DKService.exe

C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\rundll32.exe

.

**************************************************************************

.

Completion time: 2008-08-06 19:58:45 - machine was rebooted

ComboFix-quarantined-files.txt 2008-08-06 17:58:40

Pre-Run: 3,606,888,448 bajtów wolnych

Post-Run: 5,115,211,776 bajt˘w wolnych

135

Leon1 · 6 Sierpień 2008 18:14

Wylecz pendriva lub kartę pamięci http://www.softpedia.com/get/Security/S … Tool.shtml

Flash Disinfector http://www.searchengines.pl/index.php?s … ntry369724

lub format

Otwórz notatnik i wklej

zapisz jako plik.reg >> wszystkie pliki >> scal z rejestrem >> restart

powstanie plik o takiej ikonie

w który dwa razy klikniesz potwierdzisz chęć dodania do rejestru potem restart

zrób optymalizacje uruchamiania

http://cybertrash.netarteria.pl/cyber/i … 378.0.html

usuń ręcznie folder C: \Qoobox usuń instalkę Combofix z dysku.

Wyłącz I włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

przeskanuj obszar Mój komputer http://www.kaspersky.pl/virusscanner.html pokaż raport stronę uruchomić przez IE

woodyallen · 6 Sierpień 2008 18:15

Dzieki za wszystko ,ide walczyc.

Leon1 · 7 Sierpień 2008 10:26

co to jest czy to raport Kasperskiego?

woodyallen · 7 Sierpień 2008 10:30

To jest raport z mojego Kasperskiego… jak uruchomiłem on line- i moje 5 gb miejsca wolnego na C nagle zrobiło sie za mało miejsca. no i stanęło.

Leon1 · 7 Sierpień 2008 10:38

zastosuj narzędzie MBR.EXE http://www.searchengines.pl/index.php?showtopic=31936&st=0&p=470953entry470953

woodyallen · 7 Sierpień 2008 10:55

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully

user: MBR read successfully

kernel: MBR read successfully

user & kernel MBR OK

chyba nic nie wykrył.

Leon1 · 7 Sierpień 2008 11:06

Przeskanuj Kasperskim i zobacz

woodyallen · 7 Sierpień 2008 11:08

jak skanuje moim Kasperskim to cały czas wywala mi taki komunikat

2008-08-07 13:07:21 Zadanie zostało uruchomione

2008-08-07 13:07:28 Zagrożenie: Backdoor.Win32.Sinowal.ck \Device\Harddisk1\DR1

2008-08-07 13:07:28 Nieprzetworzony: Backdoor.Win32.Sinowal.ck \Device\Harddisk1\DR1 Odroczony

2008-08-07 13:07:28 Zagrożenie: Backdoor.Win32.Sinowal.ck \Device\Harddisk1\DR1

2008-08-07 13:07:28 Wyleczono: Backdoor.Win32.Sinowal.ck \Device\Harddisk1\DR1

2008-08-07 13:07:28 Zadanie zostało zakończone

:(:(

Leon1 · 7 Sierpień 2008 11:13

przeskanuj jeszcze Dr.WEB CureIt! http://dobreprogramy.pl/index.php?dz=2& … It!+4.44.5

woodyallen · 7 Sierpień 2008 11:26

Dr. Web wykryl i wyleczył. po restarcie zrobilem szybki skan moim kasperskim i pokazuje ze jest ok.:).jeszcze zrobie pełny skan i napisze .:)…jeszcze raz dzięki za poświęcony czas.

Agaton · 7 Sierpień 2008 16:58

woodyallen ,

Zapoznaj się z tematem Ważny komunikat dotyczący tytułowania tematów - popraw tytuł na konkretny, mówiący o problemie. W celu dokonania zaleconej korekty - proszę użyć przycisku

Zignorowanie zalecenia będzie skutkowało usunięciem tematu do Kosza.

W związku ze zmianą, jaka obowiązuje przy wklejaniu logów w tym dziale, przeczytaj i stosuj się do Tematu