[log] Poważna infekcja - wiele objawów


(Kpc21) #1

Wczoraj mój komputer został zainfekowany jakimś świństwem. Na początku Avast zaczął wykrywać różne wirusy, trojany i adware. Windows zaczął mulić. Na pasku zadań w zasobniku pojawiła się ikona "i" w czerwonym kółku z informacją po angielsku, że mój komp został zainfekowany. Nie można dostać się do menedżera zadań (Ctrl+Alt+Delete ani Ctrl+Shift+Escape nie działają, a po wciśnięciu PPM na pasku zadań pozycja ta jest nieaktywna), system muli tak, że nie można wejść do neta, przy uruchamianiu Windowsa pokazuje się, że pamięć nie może być "writteln" (albo podobne słowo) i że nie może znaleźć programu, żeby uruchmić plik B.tmp, a przed chwilą przy restartowaniu kompa BIOS pokazał jakiś błąd pamięci. Gdy próbuję wejść do trybu awaryjnego, komp się samoczynnie resetuje.

Spróbuję zrobić log z HiJacka, jednak nie wiem, czy uda mi się uruchomić na Windowsie plik z partycji ext3 (na szczęście mam Total Commandera Power Pack, ale nie wiem, czy się uruchomi). Na razie pracuję na Ubuntu.

Złączono Posta : 15.02.2007 (Czw) 16:15

Dodaję logi.

HiJack:

Logfile of HijackThis v1.99.1

Scan saved at 16:09:49, on 2007-02-15

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0011)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\TEMP\46D.tmp

C:\WINDOWS\System32\HPZipm12.exe

C:\WINDOWS\System32\svchost.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe

C:\WINDOWS\inet20002\socks.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\inet20002\free.exe

C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Messenger\MSMSGS.EXE

C:\Program Files\Skype\Phone\Skype.exe

C:\WINDOWS\system32\taskdir.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\STK017\STK017M.exe

C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe

C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe

C:\Documents and Settings\(moja nazwa)\Pulpit\HijackThis.exe

C:\Program Files\Opera\Opera.exe


R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

F3 - REG:win.ini: run=C:\WINDOWS\TEMP\B.tmp

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"

O4 - HKLM\..\Run: [CTDrive] rundll32.exe C:\WINDOWS\system32\drvtet.dll,startup

O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\TEMP\B.tmp

O4 - HKLM\..\Run: [System] C:\WINDOWS\system32\kernels1118.exe

O4 - HKLM\..\Run: [Microsoft standard protector] C:\WINDOWS\inet20002\socks.exe 

O4 - HKLM\..\Run: [Microsoft WWW] C:\WINDOWS\inet20002\free.exe 

O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\system32\cmd32.exe internat.dll,LoadKeyboardProfile

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background

O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\TEMP\B.tmp

O4 - HKCU\..\Run: [taskdir] C:\WINDOWS\system32\taskdir.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: HP Image Zone - szybkie uruchamianie.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe

O4 - Global Startup: STK017 PNP Monitor.lnk = ?

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra button: Tłumacz z polskiego na angielski - {7BFE183A-7A50-420C-84EE-6EFD2DA47994} - C:\Program Files\TransAng3\tren3ie_tlumacz2.htm

O9 - Extra 'Tools' menuitem: Tłumacz z polskiego na angielski - {7BFE183A-7A50-420C-84EE-6EFD2DA47994} - C:\Program Files\TransAng3\tren3ie_tlumacz2.htm

O9 - Extra button: Tłumacz z angielskiego na polski - {7DE19680-4CF2-418B-BB5F-6374EDB40116} - C:\Program Files\TransAng3\tren3ie_tlumacz.htm

O9 - Extra 'Tools' menuitem: Tłumacz z angielskiego na polski - {7DE19680-4CF2-418B-BB5F-6374EDB40116} - C:\Program Files\TransAng3\tren3ie_tlumacz.htm

O9 - Extra button: Opcje tłumaczenia (angielsko-polski) - {7F27B609-F13A-42FC-8D66-3AE87E5E01D8} - C:\Program Files\TransAng3\tren3ie_opcje.htm

O9 - Extra 'Tools' menuitem: Opcje tłumaczenia (angielsko-polski) - {7F27B609-F13A-42FC-8D66-3AE87E5E01D8} - C:\Program Files\TransAng3\tren3ie_opcje.htm

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O17 - HKLM\System\CCS\Services\Tcpip\..\{1099AFC3-F0E2-4D5E-8323-4FDE84CDE73E}: NameServer = 194.204.159.1,194.204.152.34

O17 - HKLM\System\CCS\Services\Tcpip\..\{23212944-3872-474B-8E87-5E7C081EA20C}: NameServer = 194.204.159.1,194.204.152.34

O20 - AppInit_DLLs: C:\WINDOWS\system32\svchu4.dll

O21 - SSODL: wmbxTCl - {913F00A2-3B95-AA08-349B-C8E492358323} - C:\WINDOWS\system32\isxf.dll (file missing)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Macromedia Updater (mmupdate) - Unknown owner - C:\WINDOWS\TEMP\46D.tmp".exe (file missing)

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

Z Silenta dam za chwilę.


(adam9870) #2

W logu:

Usuwanie:

  1. Użyj Windows Worms Doors Cleanera zmień znaczki z disable na enable (wszystkie znaczki maja być na zielono, jeżeli któryś z nich będzie na żółto to go zostaw). Po użyciu narzędzia wymagany jest restart.

  2. Start => uruchom => wpisz cmd i kliknij OK => w konsoli, która się otworzy wpisz:

  1. Pliki i folder zaznaczony usuń ręcznie z dysku będąc w trybie awaryjnym natomiast wpisy w HijackThis.

  2. Użyj narzędzia SmitFraudFix z opcji numer 2 w trybie awaryjnym.

  3. Użyj progrmu ATF Cleaner i przeczyść TEMP'y.

  4. Przeskanuj plik:

na stronie http://www.virustotal.com/, a jeśli okaże się szkodliwy - również usuń.

Po wykonaniu pokaż nowy log z HijackThis, SilentRunners oraz zawartość pliku c:\rapport.txt


(Kpc21) #3

Windows ciągle jest stosunkowo wolny i parę razy wyskoczył komunikat o wirusie, ale to chyba wystarczy przeskanować go avastem i zdefragmentować. Efektem ubocznym było też wyłączenie się tapety, ale ją już ustawiłem. Daję log z HiJacka i raport z programu, który go wygenerował. Silent jeszcze generuje swojego loga.


(Gutek) #4

Czyszczenie rejestru:

RegCleaner - http://www.dobreprogramy.pl/index.php?dz=2&t=29&id=177 możesz rejestr przelecieć albo jv16 PowerTools - http://www.dobreprogramy.pl/index.php?dz=2&t=29&id=509

usuń wpisy HJT

Użyj Pocket Killbox. Zaznaczasz opcję Delete on Reboot oraz All Files i w polu Full Path of File to Delete wklejasz ścieżki

C:\WINDOWS\System32\svchu4.dll

C:\WINDOWS\System32\isxf.dll i naciskasz X czerwony. Program poprosi o reset kompa ... czyli resetujesz.


(Kpc21) #5

HiJack wywalił mi:

____________________________________________________

A narzędzie SmitFraudFix nie czyściło już rejestru?

Złączono Posta : 16.02.2007 (Pią) 16:26

Zrobiłem to:

Przy logowaniu wyskoczył błąd pliku winlogon.exe z zapytaniem, czy wyłączyć plik, czy go debugować (co to znaczy?). Wybrałem to drugie. Wtedy komp się zresetował, a przy ponownym uruchamianiu znów wyłączył się firewall.

Złączono Posta : 16.02.2007 (Pią) 16:31

I jeszcze jedno: (tylko nie śmiejcie się z ilości pamięci w moim kompie, nie stać mnie na więcej) po ataku wirusa przestała działać jedna kość RAM-u. Teraz BIOS wykrywa tylko 128 MB. Gdzie mogły podziać się te 64 MB?? We właściwościach systemu w polu komputer też jest tylko 128 MB. Czy mógł to spowodować wirus?


(adam9870) #6

Kiedy pokazał Ci się ten błąd?

Użyj narzędzia VundoFix ponieważ pliki widoczne w logu z Silenta bardzo przypominają pliki trojana Vundo.

Po wykonaniu pokaż nowy log z hjt, SilentRunners + log numer 1 z L2Mfix.


(Kpc21) #7

Kiedy usuwałem wpisy podane przez Gutka.

Logi z Silenta robią mi się przez około pół godziny, podzczas gdy w instrukci napisane jest, że trwa to 5 minut. Co może być tego przyczyną?

Spróbuję użyć tego wundofiksa.

Złączono Posta : 16.02.2007 (Pią) 17:34

Użyłem wundofiksa - zadziałał. Wróciły te 64 megabajty. Jednak teraz avast co chwilę wszczyna alarm i przy uruchomieniu pokazują się różne błędy. Ich wspólną cechą jest to, że ich "głównym bohaterem" jest plik winlogon.exe i gdy cokolwiek kliknę, następuje restart systemu.


(Gutek) #8

Brak lub uszkodzenie pliku winlogon.exe. Konsola odzyskiwania i podmiana - opis - http://www.searchengines.pl/phpbb203/in ... opic=14270

expand X:\i386\winlogon.ex_ C:\Windows\sytem32\winlogon.exe


(Kpc21) #9

spróbuję

Złączono Posta : 17.02.2007 (Sob) 14:49

A można ten plik ściągnąć z neta?

Złączono Posta : 18.02.2007 (Nie) 14:11

I jeszcze zostały oprócz tego winlogona następujące objawy:

(ale gdy kliknę na ikonę zabezpieczeń systemu Windows w zasobniku, zapora się z powrotem włącza)


(adam9870) #10

A po co chcesz ściągnąć go z neta? Znajduje się on na płycie instalacyjnej Windows i z niej uruchamiasz Konsolę odzyskiwania.

Te rzeczy może powodować trojan Vundo dlatego koniecznie zastosuj narzędzia przeciwko Vundo i pokaż komplet logów (hijack, silent, log numer 1 z l2mfix) oraz raport z vundofix -> c:\vundofix.txt.


(Kpc21) #11

Wundofiksa już użyłem, logi zaraz zrobię (zupełnie o nich zapomniałem). Czasem automatycznie wyświetlają mi się strony różnych programów "przeciwsyfowych". Rozumiem, że należy użyć AdAware albo czegoś w tym rodzaju. Dobrze pomyślałem?

Złączono Posta : 18.02.2007 (Nie) 21:28

Dodaję logi.

Z Silenta dam albo jeszcze dzisiaj mn.w. za pół godziny, albo jutro po południu.

Złączono Posta : 19.02.2007 (Pon) 16:23

Złączono Posta : 19.02.2007 (Pon) 18:56

Znowu pokazał się błąd pamięci (nie pamiętam, czy read, czy writteln). Gdy klinąłem OK, pokazał się objaw taki, jakby zadziałał wirus Blaster. Po restarcie system uruchamia się tylko w trybie awaryjnym.

Złączono Posta : 19.02.2007 (Pon) 20:46

Do winlogona dołączył teraz svchost, hpqthb.exe i fmcsicyn.dll. Powyższy objaw dotyczy pliku svchost.exe. Z svchostem już sobie poradziłem, przywracając ostatnią dobrą konfigurację. Rozumiem, że inne pliki należy podmienić w podobny sposób, jak winlogon (to samo polecenie tylko inna nazwa pliku). Tak?

Złączono Posta : 20.02.2007 (Wto) 14:27

W Tlenie nie działają emotikony tak, jakbym w IE miał wyłączone obrazki.

Złączono Posta : 23.02.2007 (Pią) 16:46

Wykonałem czynność opisaną w mojej stopce. Już jest OK.

Złączono Posta : 23.02.2007 (Pią) 16:47

Dziękuję wszystkim za chęć pomocy.