Coś tworzy pliki exe o losowych nazwach.= + Log

Dla specjalistów Bezpieczeństwo
#1

Dziwna sprawa!

Jakis miesiac temu po zgraniu od kolegi z plytki strony www po otwarciu folderu nastepnego dnia znalazlem tam kolo 10 plikow exe o losowych nazwach typu svsschtjw . <-przyklad ale jak to bedzie istotne moge znalezc taki plik.

teraz znow sie na takie natknalem (plyta od kolegi byla czysta, avast nie widzi nic podejrzanego w tych plikach, ani na dysku).

W folderze zgranego z wlasnego nowego laptopa zawierajacego na pewno czyste pliki stron internetowych.

Teraz sie zorientowalem (wyszukujac pliki html i odwiedzajac foldery z nimi ze w kazdym katalogu na dysku zawierajacym choc jeden plik html znajduje sie wlasnie taki dziwny exe ( a dokladnie tyle plikow xe co html)…

Log raczej czysty ale wrzuce.

Poza tym czasem wywala mi sie explorer (niby wszystko ok ale sie zawiesz. Niby calyczas procka idzie na proces bezczynnosi. Po zakonczeniu explorera svchost zuzywa caly czas procka i nic sie nie da zrobic. Oczywiscie zakonczenie svchota skutkuje restartem po minuie :confused:

dodatkowo czasem bluescreen, ale to moze byc zwiazane z prockiem. (komp byl na czysczeniu w serwisie i gosc zdjal radiator z proca i pewnie nie dal pasty zaladajac go spowrotem. proc ma 70-71 stopni (ale nie zdarza mu sie miec wiecej. Monitorowalem go przez godzine intensywnego grania, oraz podzczas wykonywania renderu i oscylowal ciagle miedzy 70 i 71) jak wchodzil na 71 slychac zmiane rytmupracy radiatora i spowrotem 70 loga wrzuce jutro, bo mu wyczysciem procesy prawie do zera :stuck_out_tongue: same systemowe, by nic mi nie przeszkadzalo w napisaniu posta :stuck_out_tongue:

z gory thx

edit:

wlasnie dowiedzialem sie poco te exe i czemu akurat przy html’ah…

tworzylem taka strone w notatniku i tam na poczatku dopisane jest

w kazym pliku cos w tym stylu, a pod odpowiednim kluczem w rejestrze znajduje sie link do tego exe'ka...

a oto log z hijacka:

Logfile of HijackThis v1.99.1


Scan saved at 00:32:41, on 2007-03-31


Platform: Windows XP (WinNT 5.01.2600)


MSIE: Internet Explorer v6.00 (6.00.2600.0000)


Running processes:


C:\WINDOWS\System32\smss.exe


C:\WINDOWS\system32\winlogon.exe


C:\WINDOWS\system32\services.exe


C:\WINDOWS\system32\lsass.exe


C:\WINDOWS\system32\svchost.exe


C:\WINDOWS\System32\svchost.exe


C:\WINDOWS\system32\spoolsv.exe


R:\Programy\Alwil Software\Avast4\aswUpdSv.exe


R:\Programy\Alwil Software\Avast4\ashServ.exe


C:\WINDOWS\System32\svchost.exe


C:\WINDOWS\Explorer.EXE


C:\WINDOWS\System32\RunDLL32.exe


C:\Program Files\Trust\3011A WIRELESS OPTICAL DESKSET\Mouse\mouse32a.exe


R:\Programy\ALWILS~1\Avast4\ashDisp.exe


R:\programy\adobe\3.0\Apps\apdproxy.exe


C:\WINDOWS\System32\ctfmon.exe


E:\Program Files\Gadu-Gadu\gg.exe


C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe


R:\temp\hijackthis\HijackThis.exe


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada Plus wita Cie w Internecie


R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =


O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll


O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup


O4 - HKLM…\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit


O4 - HKLM…\Run: [FLMOFFICE4DMOUSE] C:\Program Files\Trust\3011A WIRELESS OPTICAL DESKSET\Mouse\mouse32a.exe


O4 - HKLM…\Run: [avast!] R:\Programy\ALWILS~1\Avast4\ashDisp.exe


O4 - HKLM…\Run: [Adobe Photo Downloader] “R:\programy\adobe\3.0\Apps\apdproxy.exe”


O4 - HKLM…\Run: [SoundService] rundll32.exe “C:\WINDOWS\System32\aekxvbhw.dll”,setvm


O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe


O4 - HKCU…\Run: [Gadu-Gadu] “E:\Program Files\Gadu-Gadu\gg.exe” /tray


O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe


O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - R:\Programy\Alwil Software\Avast4\aswUpdSv.exe


O23 - Service: avast! Antivirus - Unknown owner - R:\Programy\Alwil Software\Avast4\ashServ.exe


O23 - Service: Network helper Service (MSDisk) - Unknown owner - (no file)


O23 - Service: NVIDIA Display Driver Service (NVSvc) - Unknown owner - C:\WINDOWS\System32\nvsvc32.exe (file missing)

------------------------------------

Uważaj na słownictwo

Tytuł zmieniono

Asterisk

#2

Otwórz notatnik i wklej w nim to:

Plik -> zapisz jako -> zmień rozszerzenie na wszystkie pliki -> zapisz pod nazwą FIX.BAT

W trybie awaryjnym odpal plik FIX.BAT i restart kompa

zafixuj

nowe logi HJT + koniecznie Silent + Combofix