Gregor7
(Grzegorz730)
28 Wrzesień 2007 18:49
#1
Witam.
Kaspersky wykrył trojana:Trojan-Dowoader JS.Psyme.hz
Blokuje go przy starcie,ale nie może go usunąć.
Proszę sprawdżcie loga.Z góry dzięki za pomoc.
ComboFix 07-09-21.2 - “Grzesiek” 2007-09-28 20:13:21.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.249 [GMT 2:00] * Created a new restore point . ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) . C:\Autorun.inf D:\Autorun.inf E:\Autorun.inf . ((((((((((((((((((((((((( Files Created from 2007-08-28 to 2007-09-28 ))))))))))))))))))))))))))))))) . 2007-09-28 20:06 51,200 --a------ C:\WINDOWS\NirCmd.exe 2007-09-27 19:28 2007-09-27 18:59 2007-09-27 18:41 327,168 --a------ C:\WINDOWS\IsUn0415.exe 2007-09-09 21:57 2007-09-09 21:57 2007-09-09 21:57 2007-09-09 21:55 2007-09-09 21:54 174,592 --a------ C:\WINDOWS\system32\framedyn.dll 2007-09-09 21:53 94,000 --a------ C:\WINDOWS\system32\drivers\ss_mdm.sys 2007-09-09 21:53 8,304 --a------ C:\WINDOWS\system32\drivers\ss_mdfl.sys 2007-09-09 21:53 6,144 --a------ C:\WINDOWS\system32\drivers\ss_cmnt.sys 2007-09-09 21:53 6,144 --a------ C:\WINDOWS\system32\drivers\ss_cm.sys 2007-09-09 21:53 58,320 --a------ C:\WINDOWS\system32\drivers\ss_bus.sys 2007-09-09 21:53 5,808 --a------ C:\WINDOWS\system32\drivers\ss_whnt.sys 2007-09-09 21:53 5,808 --a------ C:\WINDOWS\system32\drivers\ss_wh.sys 2007-09-09 21:53 5,632 --a------ C:\WINDOWS\system32\drivers\StarOpen.sys 2007-09-09 21:10 2007-09-09 21:03 2007-09-09 21:02 679,936 --a------ C:\WINDOWS\system32\fun_mp4_enc.dll 2007-09-09 21:02 61,440 --a------ C:\WINDOWS\system32\mp4_vcodec.dll 2007-09-09 21:02 2,067,140 -ra------ C:\WINDOWS\system32\avcodec.dll 2007-09-09 21:02 2007-09-09 21:02 2007-09-08 11:40 2007-09-06 12:13 . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2007-09-28 20:14 367904 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat 2007-09-28 20:14 13380896 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat 2007-09-28 17:12 49964 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx 2007-09-28 17:12 195416 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx 2007-09-28 12:12 --------- d-------- C:\DOCUME~1\Grzesiek\DANEAP~1\DMCache 2007-09-16 13:30 --------- d-------- C:\DOCUME~1\Grzesiek\DANEAP~1\IDM 2007-09-09 21:52 --------- d–h----- C:\Program Files\InstallShield Installation Information 2007-08-26 19:11 --------- d-------- C:\DOCUME~1\Grzesiek\DANEAP~1\SopCast 2007-08-23 21:34 --------- d-------- C:\Program Files\SopCast 2007-08-23 18:37 --------- d-------- C:\DOCUME~1\Grzesiek\DANEAP~1\Sports Interactive 2007-08-23 18:36 163644 --a------ C:\WINDOWS\system32\drivers\secdrv.sys 2007-08-23 18:28 --------- d-------- C:\Program Files\Sports Interactive 2007-08-23 18:27 --------- d-------- C:\Program Files\Common Files\InstallShield 2007-08-23 11:37 --------- d-------- C:\DOCUME~1\Grzesiek\DANEAP~1\AdobeUM 2007-08-22 13:32 --------- d-------- C:\Program Files\Techland 2007-08-21 21:17 --------- d-------- C:\Program Files\EA GAMES 2007-08-21 17:28 --------- d-------- C:\Program Files\MP3ext 2007-08-21 15:01 --------- d-------- C:\Program Files\Internet Download Manager 2007-08-21 14:51 --------- d-------- C:\Program Files\MarBit 2007-08-21 14:49 --------- d-------- C:\Program Files\Winamp 2007-08-21 14:21 --------- d-------- C:\DOCUME~1\Grzesiek\DANEAP~1\Lavasoft . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “kis”=“C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe” [2006-03-24 19:09] “SoundMan”=“SOUNDMAN.EXE” [2004-11-15 12:20 C:\WINDOWS\SOUNDMAN.EXE] “NvCplDaemon”=“C:\WINDOWS\system32\NvCpl.dll” [2006-10-22 12:22] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “DAEMON Tools”=“C:\Program Files\DAEMON Tools\daemon.exe” [2007-04-04 00:29] “AWMON”=“E:\TOOLS\Ad-Aware.SE.Professional.v1.06r1-DVT\Ad-Watch.exe” [2005-05-25 11:12] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] “{93994DE8-8239-4655-B1D1-5F4E91300429}”= C:\PROGRA~1\DVDREG~1\DVDShell.dll [2004-10-09 15:18 49152] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] “appinit_dlls”=C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll S3 ss_bus;SAMSUNG Mobile USB Device 1.0 driver (WDM);C:\WINDOWS\system32\DRIVERS\ss_bus.sys S3 ss_mdfl;SAMSUNG Mobile USB Modem 1.0 Filter;C:\WINDOWS\system32\DRIVERS\ss_mdfl.sys S3 ss_mdm;SAMSUNG Mobile USB Modem 1.0 Drivers;C:\WINDOWS\system32\DRIVERS\ss_mdm.sys S3 USBSTOR;Sterownik magazynu masowego USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS *Newly Created Service* - CATCHME . ************************************************************************** catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-09-28 20:14:57 Windows 5.1.2600 Dodatek Service Pack 2 NTFS scanning hidden processes … scanning hidden autostart entries … scanning hidden files … scan completed successfully hidden files: 0 ************************************************************************** . Completion time: 2007-09-28 20:15:36 C:\ComboFix-quarantined-files.txt … 2007-09-28 20:15 . — E O F — I jeszcze :HijackThis Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:41:52, on 2007-09-28 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\DAEMON Tools\daemon.exe E:\TOOLS\Ad-Aware.SE.Professional.v1.06r1-DVT\Ad-Watch.exe C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe C:\Program Files\Common Files\LightScribe\LSSrvc.exe C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\nvsvc32.exe C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\WINDOWS\system32\wscntfy.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\WINDOWS\Explorer.EXE C:\Documents and Settings\Grzesiek\Pulpit\hijackthis.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O1 - Hosts: 127.255.255.255 serial.alcohol-soft.com O1 - Hosts: 127.255.255.255 http://www.alcohol-soft.com O1 - Hosts: 127.255.255.255 images.alcohol-soft.com O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\TOOLS\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Tłumaczenie - {0D704FAD-66E9-4F0A-BFED-4F665770DDB3} - C:\Program Files\Techland\Common\InternetTranslator\InternetTranslator.dll O4 - HKLM…\Run: [kis] “C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe” O4 - HKLM…\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKCU…\Run: [DAEMON Tools] “C:\Program Files\DAEMON Tools\daemon.exe” -lang 1045 O4 - HKCU…\Run: [AWMON] “E:\TOOLS\Ad-Aware.SE.Professional.v1.06r1-DVT\Ad-Watch.exe” O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA LOKALNA’) O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’) O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’) O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’) O8 - Extra context menu item: Dodaj do Kaspersky Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\ie_banner_deny.htm O8 - Extra context menu item: Download All Links with IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm O8 - Extra context menu item: Download FLV video content with IDM - C:\Program Files\Internet Download Manager\IEGetVL.htm O8 - Extra context menu item: Download with IDM - C:\Program Files\Internet Download Manager\IEExt.htm O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Ochrona WWW - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {B46B0919-62BA-4D99-A5C4-916B57A6805C} - C:\Program Files\Techland\Common\InternetTranslator\InternetTranslator.dll O9 - Extra ‘Tools’ menuitem: @C :\Program Files\Techland\Common\InternetTranslator\InternetTranslator.dll,-103 - {B46B0919-62BA-4D99-A5C4-916B57A6805C} - C:\Program Files\Techland\Common\InternetTranslator\InternetTranslator.dll O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Program Files\Ares\chatServer.exe O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe – End of file - 4889 bytes
jessica
(jessica)
28 Wrzesień 2007 20:18
#2
Ja nie widzę żadnej infekcji w tych logach. (oprócz tego, co usunął ComboFix).
Podaj ścieżkę tego, co wykrył “Kasper”.
jessi
Gregor7
(Grzegorz730)
28 Wrzesień 2007 20:42
#3
Witam.
Podaję ścieżkę (chyba oto chodziło):
Niebezpieczny obiekt HTTP<http://www.mps-mechanik.pl/ >:wykryto Koń Trojański Trojan-Downloader.JS.Psyme.hz
Pozdrawiam
Stgmp
(Stgmp)
28 Wrzesień 2007 20:55
#4
Gregor7 Czy chodzi Ci o to,że po wejściu na stronę
http://www.mps-mechanik.pl/ wyskakuje alarm Kasperskiego? Jeśli tak to fałszywy alarm ,nic szkodliwego tam nie ma ,po kolejnej aktualizacji Kasperskiego błędne komunikaty powinny zniknąć.
Gregor7
(Grzegorz730)
28 Wrzesień 2007 21:46
#5
Witam
Tak po wejściu na http://www.mps-mechanik.pl/ wyskoczył alarm Koń Trojański Trojan-Downloader.JS.Psyme.hz więc go zablokowałem.
Teraz w opcji zagrożenia pokazuje się kółeczko z wykrzyknikiem na żółtym tle z informacją o trojanie.
Pozdrawiam.
Gregor7
(Grzegorz730)
28 Wrzesień 2007 22:37
#7
Witam
Jeszcze jedna sprawa,przeskanowałem Spybotem i wykrył:
MailSkinner.rtk Trojan
Indyfikator klasy
HKEY_LOCAL_MACHINE\Software\Classes\CLSID{C704648D-6030-47E9-ADBA-1E13B6A784AE}
Klasa Root
HKEY_LOCAL_MACHINE\Software\Classes\OutlookAddin.Addin.1
Klasa Root
HKEY_LOCAL_MACHINE\Software\Classes\OutlookAddin.Addin
Ustawienia
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Outlook\Adinns\OutlookAddin.Addin
Wywalam Go a po ponownym uruchomieniu kompa i skanowaniu Spybotem wyskakuje ten sam Trojan
Pozdro.
dawidek11
(Dawidex11)
28 Wrzesień 2007 22:40
#8
Gregor7:
Witam Jeszcze jedna sprawa,przeskanowałem Spybotem i wykrył: MailSkinner.rtk Trojan Indyfikator klasy HKEY_LOCAL_MACHINE\Software\Classes\CLSID{C704648D-6030-47E9-ADBA-1E13B6A784AE} Klasa Root HKEY_LOCAL_MACHINE\Software\Classes\OutlookAddin.Addin.1 Klasa Root HKEY_LOCAL_MACHINE\Software\Classes\OutlookAddin.Addin Ustawienia HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Outlook\Adinns\OutlookAddin.Addin Wywalam Go a po ponownym uruchomieniu kompa i skanowaniu Spybotem wyskakuje ten sam Trojan Pozdro.
http://forum.dobreprogramy.pl/viewtopic.php?t=189171