Infekcja VUNDO + ukraiński Rootkit + Fałszywy Antivirus

Kruszon92 · 12 Październik 2007 07:16

Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 09:04:35, on 2007-10-12 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16544) Boot mode: Normal Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\csrss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\Ati2evxx.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\system32\ZoneLabs\vsmon.exe D:\WINDOWS\system32\Ati2evxx.exe D:\WINDOWS\Explorer.EXE D:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe D:\WINDOWS\system32\spoolsv.exe D:\WINDOWS\eHome\ehRecvr.exe D:\WINDOWS\eHome\ehSched.exe D:\Program Files\Eset\nod32krn.exe D:\WINDOWS\system32\PnkBstrA.exe D:\WINDOWS\system32\dllhost.exe D:\WINDOWS\System32\alg.exe D:\WINDOWS\ehome\ehtray.exe D:\Program Files\ATI Technologies\ATI.ACE\cli.exe D:\WINDOWS\SOUNDMAN.EXE D:\WINDOWS\eHome\ehmsas.exe D:\Program Files\Eset\nod32kui.exe C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe D:\Program Files\Java\jre1.6.0_02\bin\jusched.exe D:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe D:\Program Files\PC Connectivity Solution\ServiceLayer.exe D:\Program Files\Common Files\BestsellerAntivirus\bm.exe D:\WINDOWS\system32\ctfmon.exe D:\Program Files\Tlen.pl\tlen.exe C:\Program Files\DAEMON Tools\daemon.exe D:\Program Files\ATI Technologies\ATI.ACE\CLI.exe D:\Program Files\USB all-in-one game controller\GM_DevUpdate.exe C:\Program Files\Opera\Opera.exe D:\Program Files\Windows Media Player\wmplayer.exe D:\Program Files\Trend Micro\HijackThis\HijackThis.exe D:\WINDOWS\system32\wbem\wmiprvse.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O4 - HKLM…\Run: [ehTray] D:\WINDOWS\ehome\ehtray.exe O4 - HKLM…\Run: [ATICCC] “D:\Program Files\ATI Technologies\ATI.ACE\cli.exe” runtime O4 - HKLM…\Run: [ATIMACE] D:\Program Files\ATI Technologies\ATI.ACE\MACE.exe O4 - HKLM…\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe O4 - HKLM…\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM…\Run: [nod32kui] “D:\Program Files\Eset\nod32kui.exe” /WAITSERVICE O4 - HKLM…\Run: [ZoneAlarm Client] “c:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe” O4 - HKLM…\Run: [sunJavaUpdateSched] “D:\Program Files\Java\jre1.6.0_02\bin\jusched.exe” O4 - HKLM…\Run: [PCSuiteTrayApplication] D:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup O4 - HKLM…\Run: [searchIndexer] rundll32.exe “D:\WINDOWS\system32\faknpvhb.dll”,sitypnow O4 - HKLM…\Run: [salestart] “D:\Program Files\Common Files\BestsellerAntivirus\bm.exe” dm=http://bestsellerantivirus.com;’>http://bestsellerantivirus.com; ad=http://bestsellerantivirus.com O4 - HKCU…\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe O4 - HKCU…\Run: [Komunikator] D:\Program Files\Tlen.pl\tlen.exe O4 - HKCU…\Run: [DAEMON Tools] “C:\Program Files\DAEMON Tools\daemon.exe” -lang 1033 O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User ‘LOCAL SERVICE’) O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User ‘NETWORK SERVICE’) O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’) O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’) O4 - Startup: GM_DevUpdate.lnk = D:\Program Files\USB all-in-one game controller\GM_DevUpdate.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = D:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: ATI CATALYST – pasek zadań.lnk = D:\Program Files\ATI Technologies\ATI.ACE\CLI.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra ‘Tools’ menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microso … 9113839359 O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://player.virtools.com/downloads/pl … taller.exe O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} (Virtools WebPlayer Class) - http://a532.g.akamai.net/f/532/6712/5m/ … taller.exe O17 - HKLM\System\CCS\Services\Tcpip…{96399477-0ACC-4A41-B13C-8F9954F54F8C}: NameServer = 85.255.113.123,85.255.112.186 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.123 85.255.112.186 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.123 85.255.112.186 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.123 85.255.112.186 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - D:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - D:\Program Files\Eset\nod32krn.exe O23 - Service: PnkBstrA - Unknown owner - D:\WINDOWS\system32\PnkBstrA.exe O23 - Service: Instinct Drivers Auto Removal (pr2ae5eb) (pr2ae5eb) - Noviy Disk - D:\WINDOWS\system32\pr2ae5eb.exe O23 - Service: ServiceLayer - Nokia. - D:\Program Files\PC Connectivity Solution\ServiceLayer.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - D:\WINDOWS\system32\ZoneLabs\vsmon.exe – End of file - 6737 bytes

sdar · 12 Październik 2007 07:35

Kruszon92 Proszę zastosować się do zaleceń zawartych w TYM temacie. W przeciwnym wypadku temat zostanie usunięty.

jessica · 12 Październik 2007 07:57

Mozesz śmiało zmienić tytuł swego tematu na np. taki: “Infekcja VUNDO + ukraiński Rootkit + Fałszywy Antivirus”.

Ale do rzeczy:

Masz ukraińską infekcję czyli Rootkit “Windows Security Center”.

Użyj -->FixWareout

Po jego użyciu może zajść potrzeba ustawiania od nowa DNS Twojego dostawcy internetowego.

–>Jak przywrócić prawidłowe DNS.

Potem:

Te w/w wpisy sfiksuj w Hijacku:

>>Hijack>>scan(Do a system scan only)>>zaznacz je >> Fix checked.

Potem:

Ściągnij -->ComboFix (na dole tej strony z linku).

Wklej do Notatnika :

File::

D:\WINDOWS\system32\faknpvhb.dll

D:\Program Files\Common Files\BestsellerAntivirus\bm.exe


Folder::

D:\Program Files\Common Files\BestsellerAntivirus

>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku –>

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: ** Qoobox**.

Potem daj tu:

raport z D:\Fixwareout.txt
log z Hijacka
log z ComboFixa

Log wklej na http://wklej.org/, a w poście daj tylko link.(czyli skopiuj adres z paska adresów) .

jessi

Kruszon92 · 12 Październik 2007 08:41

http://wklej.org/id/44a42e743c combofix

http://wklej.org/id/252017c140 fixwareout

http://wklej.org/id/024de8cf5e HijackThis

a tych nie moge znalesc nie mam ich teraz a nie usuwałem

jessica · 12 Październik 2007 09:05

Nie wiem, dlaczego zniknęły wpisy “O4” z logu, ale to nieważne, bo liczy się tylko to, by ich nie było.

Natomiast wpisy "O17"zniknęły, bo pewnie masz w ustawione “Automatyczne wyszukiwanie DNS” - i bardzo dobrze, bo nie musisz ustawiać ręcznie.

>>Hijack>>scan(Do a system scan only)>>zaznacz go >> Fix checked. (ale w logu ComboFixa nie widzę tego powyższego klucza, więc może wpis też już zniknął?).

Wklej do Notatnika :

File::

D:\WINDOWS\tsitra2000382.exe


Folder::

D:\Documents and Settings\Maciek Dabrowski\Application Data\BestsellerAntivirus

>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku –>

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: ** Qoobox**.

Daj ten log do kontroli.

jessi

Kruszon92 · 12 Październik 2007 09:27

http://wklej.org/id/c3c8aac9ed combofix zrobiłem wszystko oto ten log

jessica · 12 Październik 2007 09:46

Ja nie widzę już nic podejrzanego.

jessi

Kruszon92 · 12 Październik 2007 09:54

Dzieki wielkie pozdro dla całego dla całej ekipy Dobreprogramy