mcrusty
(Mcrusty)
23 Sierpień 2007 17:14
#1
Witam wszystkich serdecznie Niestety przygodę z forum zaczynam od tego niezbyt miłego posta Będę wdzięczny za pomoc
Od pewnego czasu dziwne rzeczy dzieją mi się z kompem. Czasem zamula na chwilę, a ostatnio f-secure nie mógł włączyć skanera. Ale najważniejsze, że dość regularnie wracają do mnie dwa wiry, które f-secure rozpoznaje jako:
Exploit.html.Iframe.FileDownload
Email-worm.Win32.runonce.b
(literki mogły mi przeskoczyć, bo wydawało mi się, że widziałem ‘rounce’ - ale czegoś takiego w ogóle nie znalazłem w sieci :? ),
dodano:
…juz wiem - znowu mi się pojawił - Email-Worm.Win32.Runouce.b
no i przy okazji pojawiają mi się pliki o nazwie
ZAPOMNIA-BA17D4.eml (czasem z tekstem ‘is comming’)
F-secure niby wywala pliki, ale one wciąż wracają.
Trochę poszperałem w sieci, ale nie znalazłem rozwiązania. Zainstalowałem HiJack’a, no i liczę na Waszą pomoc. :mrgreen:
Pozdrawiam:)
mcrusty
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:37:00, on 23.08.07 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Ahead\InCD\InCDsrv.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\VM305_STI.EXE C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\system32\igfxpers.exe C:\Program Files\Comodo\Firewall\CPF.exe C:\Program Files\F-Secure Internet Security\Common\FSM32.EXE C:\WINDOWS\system32\igfxsrvc.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE C:\Program Files\Comodo\Firewall\cmdagent.exe C:\Program Files\F-Secure Internet Security\Anti-Virus\fsgk32st.exe C:\Program Files\F-Secure Internet Security\Anti-Virus\FSGK32.EXE C:\Program Files\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe C:\Program Files\F-Secure Internet Security\Common\FSMA32.EXE C:\Program Files\F-Secure Internet Security\Anti-Virus\fssm32.exe C:\Program Files\F-Secure Internet Security\Common\FSMB32.EXE C:\Program Files\Common Files\LightScribe\LSSrvc.exe C:\Program Files\F-Secure Internet Security\backweb\4476822\Program\fspex.exe C:\Program Files\F-Secure Internet Security\Common\FCH32.EXE C:\WINDOWS\system32\svchost.exe C:\Program Files\F-Secure Internet Security\Common\FAMEH32.EXE C:\Program Files\F-Secure Internet Security\Anti-Virus\fsqh.exe C:\Program Files\Canon\CAL\CALMAIN.exe C:\Program Files\F-Secure Internet Security\Anti-Virus\fsrw.exe C:\Program Files\F-Secure Internet Security\Anti-Virus\fsav32.exe C:\Program Files\F-Secure Internet Security\FWES\Program\fsdfwd.exe C:\PROGRA~1\F-SECU~1\ANTI-S~1\fsaw.exe C:\Program Files\F-Secure Internet Security\FSGUI\fsguidll.exe C:\WINDOWS\system32\wscntfy.exe C:\PROGRA~1\FREEDO~1\fdm.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Program Files\Free Download Manager\iefdmcks.dll O4 - HKLM…\Run: [skyTel] SkyTel.EXE O4 - HKLM…\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM…\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM…\Run: [bigDog305] C:\WINDOWS\VM305_STI.EXE VIMICRO USB PC Camera (ZC0305) O4 - HKLM…\Run: [sunJavaUpdateSched] “C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe” O4 - HKLM…\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM…\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM…\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM…\Run: [COMODO Firewall Pro] “C:\Program Files\Comodo\Firewall\CPF.exe” /background O4 - HKLM…\Run: [F-Secure Manager] “C:\Program Files\F-Secure Internet Security\Common\FSM32.EXE” /splash O4 - HKLM…\Run: [F-Secure TNB] “C:\Program Files\F-Secure Internet Security\TNB\TNBUtil.exe” /CHECKALL /WAITFORSW O4 - HKLM…\Run: [F-Secure Startup Wizard] “C:\Program Files\F-Secure Internet Security\FSGUI\FSSW.EXE” /reboot O4 - HKCU…\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen.exe O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA LOKALNA’) O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’) O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’) O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’) O4 - Global Startup: F-Secure Anti-Virus 2006.lnk = C:\Program Files\F-Secure Internet Security\backweb\4476822\Program\fspex.exe O8 - Extra context menu item: &Zablokuj to okienko - C:\Program Files\F-Secure Internet Security\Anti-Spyware\blockpopups.htm O8 - Extra context menu item: Pobierz w Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm O8 - Extra context menu item: Pobierz wszystkie pliki w Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm O8 - Extra context menu item: Pobierz zaznaczone w Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra button: Osłona programu IE - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program Files\F-Secure Internet Security\Anti-Spyware\ieshield.dll O9 - Extra ‘Tools’ menuitem: Osłona programu IE… - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program Files\F-Secure Internet Security\Anti-Spyware\ieshield.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra ‘Tools’ menuitem: @xpsp3res.dll ,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {32305793-C19A-48E7-AD2F-D87FF7B264A4} (TenebrilSpywareScanner Control) - http://www.tenebril.com/assets/activeX/ … nnerV2.ocx O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (Installer Class) - http://www.nanoscan.com/as/v1/cabs/ascinstie.cab O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - http://www.nanoscan.com/cabs/nanoinst.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan … asinst.cab O17 - HKLM\System\CCS\Services\Tcpip…{005570B5-C702-49EB-8D5C-4707E507F016}: NameServer = 192.168.0.1 O17 - HKLM\System\CS1\Services\Tcpip…{005570B5-C702-49EB-8D5C-4707E507F016}: NameServer = 192.168.0.1 O17 - HKLM\System\CS2\Services\Tcpip…{005570B5-C702-49EB-8D5C-4707E507F016}: NameServer = 192.168.0.1 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: F-Secure Anti-Virus 2006 (BackWeb Plug-in - 4476822) - F-Secure Internet Security 2005 - C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:\Program Files\Comodo\Firewall\cmdagent.exe O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Program Files\F-Secure Internet Security\Anti-Virus\fsgk32st.exe O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\F-Secure Internet Security\FWES\Program\fsdfwd.exe O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\F-Secure Internet Security\Common\FSMA32.EXE O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe – End of file - 8796 bytes
tutaj jeszcze log po skanie F-secure: http://up.wklej.org/download.php?id=a34bacf839b923770b2c360eefa26748
jessica
(jessica)
23 Sierpień 2007 18:37
#2
F-Secure Virus Descriptions : Runouce NAME: Runouce ALIAS: W32/Thecid.B@mm, W32/Chir@MM, W32.Chier@mm, I-Worm.Runouce,I-Worm.Win32.ChiHack VARIANT: Runouce.B Runouce is an internet worm. When run it copies itself to the System Directory as Runouce.exe and modifies windows registry so it is run each time windows starts. Searches for HTML files in the users’ hard drive and modifies them to launch the file README.EML, created in the same directory where the HTML is found. Sends e-mail with the following format: Subject: From: The worm spreads itself as an attachment named pp.exe with MIME type audio/x-wav. It uses a static server to send messages through its own SMTP engine.
Rzeczywiście, niewiele z tego można się dowiedzieć o usuwaniu!
Na początek wyszukaj ten plik “pp.exe” i usuń.
Nie wiem, czy nie ma atrybutów ochronnych “ukryty” i “systemowy ukryty”, więc może przed szukaniem trzeba zrobić to:
Możesz dać jeszcze log z ComboFix (na dole tej strony z linku) -
Log wklej na http://wklej.org/ , a w poście daj tylko link.
EDIT:
W logu Hijacka jest prawie czysto - tylko ten powyższy wpis sfiksuj:
>>Hijack>>scan(Do a system scan only)>>zaznacz je >> Fix checked .
jessi
mcrusty
(Mcrusty)
23 Sierpień 2007 18:54
#3
tego pp.exe nie znalazł - mimo zastosowania Twojej wskazówki (szukałem już wcześniej)
log z Combo: http://wklej.org/id/1726559bdb
zaraz sFix’uje to, o czym piszesz
Dzięki za zainteresowanie
dodano:
…yyy… dziwne? teraz już nie mam tego wpisu To dobrze, czy źle?
jessica
(jessica)
23 Sierpień 2007 19:17
#4
W logu ComboFixa nie widzę nic podejrzanego.
Rzeczywiście, nie widać w logu tego, co miałeś sfiksować w Hijacku - samo zniknęło?
Jeśli zniknęło tylko jako klucz rejestru - to dobrze.
Jeśli zniknął także plik “ALCMTR.EXE” - to niezbyt dobrze.
Ponieważ nie widać nigdzie nic podejrzanego, to nic Ci nie potrafię doradzić.
Możesz jeszcze użyć SDFix i dać Report.txt znajdujący się w folderze SDFix.
SDFix działa tylko w Trybie Awaryjnym.
Ale z tym SDFixem to zrób tylko, jeśli masz ochotę, bo jest mało prawdopodobne, by to coś pomogło na Twój problem.
jessi
mcrusty
(Mcrusty)
23 Sierpień 2007 19:24
#5
Tak, wpis zniknął sam - program jest nawet w dwóch lokalizacjach: katalog Windows oraz w C:\Program Files\Realtek\InstallShield
Jest jeszcze ALCMTR.EXE-235F9538.pf w C:\WINDOWS\Prefetch
Hmm. niby dobrze, ze wpisy są czyste, ale jakoś uspokojony nie jestem Czy jest możliwe, że ten/te wiry siedzą w sieci i dlatego co “chwila” wracają do mnie. Co może być przyczyną?
Tak czy inaczej dziękuję
Pozdrawiam
mcrusty
jessica
(jessica)
23 Sierpień 2007 19:38
#6
Tego pliku "ALCMTR.EXE" nie usuwaj!
Wystarczy, że nie ma wpisu w Hijacku.
jessi
mcrusty
(Mcrusty)
23 Sierpień 2007 19:41
#7
Nie no luz… Bez obaw - nie jestem taki szybki w wywalaniu plików z systemu