Kasperky i wyrzucanie ncnttdll.exe

Dla specjalistów Bezpieczeństwo
#1

Proszę o pomoc…zainstalowałem kaspeskiego i za każdym razem jak wchodzę na jakąkolwiek stronę wyrzuca mi informację o możliwym zgrożeniu i wysyłaniu ukrytych informacji…zapytanie dotyczy procesu ncnttdll.exe z system32…nie wiem czy mam to blokować czy zezwalać…nawet gdy zablokuję i zaznaczę “ptaszka” wykonywania tej czynności przy podobnych procesach i tak wciąż się pojawia…

załączam też loga z hijack’a

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:34:16, on 2008-08-16

Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16705)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe

C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe

C:\WINDOWS\system32\IoctlSvc.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe

C:\WINDOWS\system32\VTtrayp.exe

C:\WINDOWS\system32\VTTimer.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\AGRSMMSG.exe

C:\Program Files\Apoint2K\Apoint.exe

C:\windows\system32\rownw64p.exe

C:\Program Files\Apoint2K\Apntex.exe

C:\Program Files\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\ncntttdl.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O2 - BHO: (no name) - {AAFB348A-A64F-4856-A4CB-06B852B143E7} - C:\WINDOWS\system32\catsr.dll

O4 - HKLM…\Run: [sunJavaUpdateSched] “C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe”

O4 - HKLM…\Run: [VTTrayp] VTtrayp.exe

O4 - HKLM…\Run: [VTTimer] VTTimer.exe

O4 - HKLM…\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM…\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM…\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe

O4 - HKLM…\Run: [Microsoft WinUpdate] C:\WINDOWS\system32\msupdte.exe

O4 - HKLM…\Run: [{AA-AD-D6-67-DW}] C:\windows\system32\rownw64p.exe DWbrk03

O4 - HKLM…\Run: [ExploreUpdSched] C:\WINDOWS\system32\ncntttdl.exe DWbrk03

O4 - HKLM…\Run: [Mode Load Mpeg Less] C:\Documents and Settings\All Users\Dane aplikacji\two setup mode load\Copy slow.exe

O4 - HKLM…\Run: [AVP] “C:\Program Files\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe”

O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU…\Run: [Liesglobal] C:\DOCUME~1\jesse74\DANEAP~1\PROGRA~1\Way jump.exe

O4 - HKCU…\Run: [TomTomHOME.exe] “C:\Program Files\TomTom HOME 2\HOMERunner.exe”

O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA LOKALNA’)

O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’)

O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’)

O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’)

O4 - Startup: Deewoo.lnk = C:\WINDOWS\system32\ncntttdl.exe

O4 - Startup: DW_Start.lnk = C:\WINDOWS\system32\rownw64p.exe

O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Security Suite CBE\ie_banner_deny.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Security Suite CBE\SCIEPlgn.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra ‘Tools’ menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.pl/resources/virus … nicode.cab

O16 - DPF: {631FF594-EC25-4CFF-B869-402DF294E1D6} (Instalator oprogramowania Onet.pl) - http://slimak.onet.pl/_m/kamerzysta/One … or012s.ocx

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windows … 0540470284

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s … wflash.cab

O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll

O23 - Service: Kaspersky Security Suite CBE (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe

O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe

O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe

End of file - 6005 bytes

#2

Masz tu infekcję “LOP”, ale przede wszystkim masz Robaki.

  1. Zamknij robaczywe porty przy pomocy --> Windows Worms Doors Cleaner

Ustaw znaczki na zielono, Netbios może być na żółto.

Po użyciu narzędzia wymagany jest restart.

  1. Użyj -->SDFix -na dole strony z linku

Pokaż Report.txt znajdujący się w folderze SDFix.

  1. Daj log z ComboFix

Uwaga:

Logi wklejaj na http://wklejto.pl/, a w poście daj tylko link.(czyli skopiuj adres z paska adresów)

jessi

#3

Witaj jessi, dziękuję za pomoc

Uruchomiłem SDFix’a i Combofix’a…oto logi

SDFix

http://www.wklejto.pl/8146

ComboFix

http://www.wklejto.pl/8147

NIestety nie mam pojęcia jak poradzić sobie z robakami i zamykaniem portów…poproszę o dalsze wskazówki…

#4

http://cybertrash.pl/images/tata/WWDC.html

#5

A poza tym:

Wklej do Notatnika :

File::

C:\WINDOWS\Tasks\A45CFE4C91F774F4.job

c:\docume~1\jesse74\daneap~1\progra~1\Poke scr wave.exe

C:\WINDOWS\system32\ncntttdl.exe

C:\DOCUME~1\jesse74\DANEAP~1\PROGRA~1\Way jump.exe

C:\Documents and Settings\All Users\Dane aplikacji\two setup mode load\Copy slow.exe


Folder::

C:\Documents and Settings\All Users\Dane aplikacji\two setup mode load

C:\Documents and Settings\jesse74\Dane aplikacji\ProgramOkayDash


Registry::

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Liesglobal"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Mode Load Mpeg Less"=-

>>Plik>>Zapisz jako… >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

CFScriptB5b-4.gif

Ma się rozpocząć usuwanie. (i powstanie log). Daj ten log, który powstanie w trakcie usuwania.

Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C:** Qoobox**.

EDIT:

Sprawdź go na – http://virusscan.jotti.org/

albo na http://www.virustotal.com/en/indexf.html.

jessi

#6

Jessi

Robię po kolei co mi podpowiadasz…

oto log z ComboFix’a

http://www.wklejto.pl/8150

i w tym pliku znalazło trojana:

http://www.wklejto.pl/8151

#7

No to trochę komplikuje sytuację, bo podejrzana staje się cała ta grupa - powstała jednocześnie.

Znasz te programy:

“Conduit” to wiadomo, że jest podejrzany, ale rzadko bywa usuwany.

Wklej do Notatnika :

File::

C:\WINDOWS\system32\g38.exe


Folder::

C:\Program Files\ProgramOkayDash

>>Plik>>Zapisz jako… >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

CFScriptB5b-4.gif

Ma się rozpocząć usuwanie. (i powstanie log). Daj ten log, który powstanie w trakcie usuwania.

Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C:** Qoobox**.

jessi

#8

Obawiam się że wpakowały się do mojego kompa gdy ściągaem coś na torrencie…jak dla mnie do usunięcia…

#9

To spróbuj je odinstalować, jak każdy inny program.

Jeśli się nie uda, to:

Wklej do Notatnika :

Folder::

C:\Program Files\torrent_search

C:\Program Files\Conduit

C:\Program Files\BitTorrent Fastest Tool

I dalej jak zwykle ze Scriptem.

jessi

#10

zanim dodałaś ostatnią wiadomość dodałem te foldery do CFScript’a i oto log:

http://www.wklejto.pl/8152

wydaje mi się że je usunął…

#11

Na moje “oko” - log jest teraz czysty.

jessi

#12

dziękuję Ci serdecznie za pomoc imienniczko…pozdrawiam ciepło…