Pasożyt WIN32:Rootkit-gen [RTK]

pablo_26 · 28 Luty 2009 23:01

POMOCY

Dr.Cyc · 28 Luty 2009 23:35

Nie zakładaj dwóch takich samych tematów.

Przeskanuj ten plik:

C:\DOCUME~1\JULITA\USTAWI~1\Temp\UXTVYXLN.exe

Tym lub tym skanerem. Uruchom HijackThis Do a system scan only zaznacz kratki przy podanych niżej wpisach Naciśnij “Fix checked”:

O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe

Pobierz Combofix, ale nie uruchamiaj go. Otwórz notatnik i wklej

File::

C:\WINDOWS\system32\olhrwef.exe

Plik>Zapisz jako…> CFScript.txt

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

To uruchomi combofixa, wygenerowany log dajesz na http://www.wklej.eu/, http://www.wklej.org/ lub http://www.wklejto.pl/, a w poście tylko link.

Agaton · 1 Marzec 2009 08:46

pablo_26 ,

Proszę zapoznać się z tematem Ważny komunikat dotyczący tytułowania tematów i poprawić tytuł na konkretny, mówiący o problemie. W celu dokonania zaleconej korekty - proszę użyć przycisku Edytuj przy poście otwierającym ten temat.

Zignorowanie zalecenia będzie skutkowało usunięciem tematu do Kosza.

W związku ze zmianą, jaka obowiązuje przy wklejaniu logów na forum - przeczytaj i zastosuj się do Tematu

pablo_26 · 1 Marzec 2009 10:21

Dziękuję za odpowiedź, ale problem jest większy gdyż folder ustawienia lokalne znikł z chwilą pojawienia się szkodnika, co zrobić w takim przypadku?

Dr.Cyc · 1 Marzec 2009 10:45

Wykonać to co zaleciłem

pablo_26 · 1 Marzec 2009 11:11

Dziekuję za pomoc, szkodnik usunięty wszystko działa jak powinno, folder temp znów jest widoczny.

Dr.Cyc · 1 Marzec 2009 11:50

Daj log z usuwania combofixem, oraz log ze skanowania pliku, który podałem

pablo_26 · 2 Marzec 2009 19:27

LOG Z KOMBOFIXu

ComboFix 09-02-28.01 - JULITA 2009-03-01 11:46:39.1 - NTFSx86

Microsoft Windows XP Home Edition 5.1.2600.2.1250.1.1045.18.494.184 [GMT 1:00]

Uruchomiony z: c:\documents and settings\JULITA\Pulpit\ComboFix.exe

U¬yto nastŕpuj¦cych komend :: c:\documents and settings\JULITA\Pulpit\CFScript.txt

AV: avast! antivirus 4.8.1335 [VPS 090228-0] *On-access scanning disabled* (Updated)

* Utworzono nowy punkt przywracania

FILE ::

c:\windows\system32\olhrwef.exe

.

((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\Autorun.inf

c:\windows\system32\nmdfgds0.dll

c:\windows\system32\nmdfgds1.dll

c:\windows\system32\olhrwef.exe

.

((((((((((((((((((((((((( Pliki utworzone od 2009-02-01 do 2009-03-01 )))))))))))))))))))))))))))))))

.

2009-03-01 11:35 . 2009-03-01 11:42

2009-02-28 23:51 . 2009-02-28 23:51

2009-02-28 17:44 . 2009-02-28 17:44

2009-02-28 17:24 . 2007-01-18 13:00 3,968 --a------ c:\windows\system32\drivers\AvgArCln.sys

2009-02-28 16:40 . 2009-02-28 16:41 250 --a------ c:\windows\gmer.ini

2009-02-28 11:49 . 2009-02-26 08:47 103,663 -r-hs---- C:\wx8o0bt1.com

2009-02-18 16:22 . 2009-02-18 16:22

2009-02-14 20:55 . 2009-02-14 20:55

.

(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-02-28 18:40 --------- d-----w c:\documents and settings\All Users\Dane aplikacji\Microsoft Help

2009-02-21 11:14 --------- d-----w c:\documents and settings\JULITA\Dane aplikacji\Skype

2009-02-21 11:12 --------- d-----w c:\documents and settings\JULITA\Dane aplikacji\skypePM

2009-01-26 21:44 --------- d-----w c:\program files\Google

2009-01-03 19:25 --------- d-----w c:\documents and settings\JULITA\Dane aplikacji\Reallusion

2009-01-03 19:14 --------- d–h--w c:\program files\InstallShield Installation Information

2009-01-03 19:14 --------- d-----w c:\program files\Reallusion

2009-01-03 19:09 --------- d-----w c:\program files\Brother

2009-01-03 18:40 --------- d-----w c:\documents and settings\JULITA\Dane aplikacji\InstallShield

2009-01-03 18:39 --------- d-----w c:\program files\Nuance

2009-01-03 18:38 --------- d-----w c:\documents and settings\All Users\Dane aplikacji\ScanSoft

2009-01-03 18:37 --------- d-----w c:\program files\Common Files\ScanSoft Shared

2009-01-03 18:36 --------- d-----w c:\program files\ScanSoft

2009-01-03 18:35 --------- d-----w c:\documents and settings\All Users\Dane aplikacji\Brother

2009-01-01 12:45 --------- d-----w c:\program files\7-Zip

2008-08-13 19:53 92,064 ----a-w c:\documents and settings\JULITA\mqdmmdm.sys

2008-08-13 19:53 9,232 ----a-w c:\documents and settings\JULITA\mqdmmdfl.sys

2008-08-13 19:53 79,328 ----a-w c:\documents and settings\JULITA\mqdmserd.sys

2008-08-13 19:53 66,656 ----a-w c:\documents and settings\JULITA\mqdmbus.sys

2008-08-13 19:53 6,208 ----a-w c:\documents and settings\JULITA\mqdmcmnt.sys

2008-08-13 19:53 5,936 ----a-w c:\documents and settings\JULITA\mqdmwhnt.sys

2008-08-13 19:53 4,048 ----a-w c:\documents and settings\JULITA\mqdmcr.sys

2008-08-13 19:53 25,600 ----a-w c:\documents and settings\JULITA\usbsermptxp.sys

2008-08-13 19:52 22,768 ----a-w c:\documents and settings\JULITA\usbsermpt.sys

.

((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))

.

*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]

“{57BCA5FA-5DBB-45a2-B558-1755C3F6253B}”= “c:\program files\Winamp Toolbar\winamptb.dll” [2008-07-16 1266992]

[HKEY_CLASSES_ROOT\clsid{57bca5fa-5dbb-45a2-b558-1755c3f6253b}]

[HKEY_CLASSES_ROOT\WINAMPTB.AOLTBSearch.1]

[HKEY_CLASSES_ROOT\TypeLib{538CD77C-BFDD-49b0-9562-77419CAB89D1}]

[HKEY_CLASSES_ROOT\WINAMPTB.AOLTBSearch]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“CTFMON.EXE”=“c:\windows\system32\ctfmon.exe” [2004-08-04 15360]

“TOSCDSPD”=“c:\program files\TOSHIBA\TOSCDSPD\toscdspd.exe” [2003-09-15 65536]

“MSMSGS”=“c:\program files\Messenger\msmsgs.exe” [2004-08-04 1667584]

“swg”=“c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe” [2008-09-29 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“IgfxTray”=“c:\windows\system32\igfxtray.exe” [2004-10-08 155648]

“HotKeysCmds”=“c:\windows\system32\hkcmd.exe” [2004-10-08 126976]

“Toshiba Hotkey Utility”=“c:\program files\Toshiba\Windows Utilities\Hotkey.exe” [2004-12-01 1089536]

“SynTPLpr”=“c:\program files\Synaptics\SynTP\SynTPLpr.exe” [2004-10-08 98394]

“SynTPEnh”=“c:\program files\Synaptics\SynTP\SynTPEnh.exe” [2004-10-08 688218]

“PadTouch”=“c:\program files\TOSHIBA\Touch and Launch\PadExe.exe” [2004-11-17 1077327]

“SmoothView”=“c:\program files\TOSHIBA\Program narzędziowy TOSHIBA Zooming Utility\SmoothView.exe” [2004-11-26 118784]

“dla”=“c:\windows\system32\dla\tfswctrl.exe” [2004-09-28 127035]

“GrooveMonitor”=“c:\program files\Microsoft Office\Office12\GrooveMonitor.exe” [2006-10-26 31016]

“Sony Ericsson PC Suite”=“c:\program files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe” [2006-11-24 487424]

“Adobe Photo Downloader”=“c:\program files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe” [2005-06-06 57344]

“QuickTime Task”=“c:\program files\QuickTime\qttask.exe” [2008-08-07 155648]

“iPlusManager”=“c:\program files\iPlus\iPlusChecker.exe” [2008-05-30 409600]

“avast!”=“c:\progra~1\ALWILS~1\Avast4\ashDisp.exe” [2009-02-05 81000]

“ISUSPM Startup”=“c:\progra~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe” [2004-06-16 221184]

“ISUSScheduler”=“c:\program files\Common Files\InstallShield\UpdateService\issch.exe” [2005-02-16 81920]

“WinampAgent”=“c:\program files\Winamp\winampa.exe” [2008-09-12 36352]

“TkBellExe”=“c:\program files\Common Files\Real\Update_OB\realsched.exe” [2008-12-09 185872]

“SSBkgdUpdate”=“c:\program files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe” [2006-10-25 210472]

“PaperPort PTD”=“c:\program files\ScanSoft\PaperPort\pptd40nt.exe” [2007-10-11 29984]

“IndexSearch”=“c:\program files\ScanSoft\PaperPort\IndexSearch.exe” [2007-10-11 46368]

“PPort11reminder”=“c:\program files\ScanSoft\PaperPort\Ereg\Ereg.exe” [2007-08-31 328992]

“BrMfcWnd”=“c:\program files\Brother\Brmfcmon\BrMfcWnd.exe” [2008-02-19 1089536]

“ControlCenter3”=“c:\program files\Brother\ControlCenter3\brctrcen.exe” [2007-12-21 86016]

“NDSTray.exe”=“NDSTray.exe” [bU]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

“CTFMON.EXE”=“c:\windows\system32\CTFMON.EXE” [2004-08-04 15360]

c:\documents and settings\JULITA\Menu Start\Programy\Autostart\

Cyber-shot Viewer Media Check Tool.lnk - c:\program files\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe [2008-08-07 155648]

c:\documents and settings\All Users\Menu Start\Programy\Autostart\

RAMASST.lnk - c:\windows\system32\RAMASST.exe [2008-08-07 155648]

[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

“%windir%\system32\sessmgr.exe”=

“c:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE”=

“c:\Program Files\Microsoft Office\Office12\GROOVE.EXE”=

“c:\Program Files\Microsoft Office\Office12\ONENOTE.EXE”=

“%windir%\Network Diagnostic\xpnetdiag.exe”=

“c:\Program Files\Microsoft Office\Office12\WINWORD.EXE”=

“c:\Program Files\Microsoft Office\Office12\EXCEL.EXE”=

“c:\Program Files\Real\RealPlayer\realplay.exe”=

“c:\Program Files\Skype\Phone\Skype.exe”=

[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

“8461:TCP”= 8461:TCP:GoD High Port

“8462:TCP”= 8462:TCP:GoD Low Port

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-08-11 114768]

R1 SMBHC;Sterownik kontrolera hosta magistrali zarządzania systemem firmy Microsoft;c:\windows\system32\drivers\smbhc.sys [2004-11-29 6784]

R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2008-08-11 20560]

R2 GtDetectSc;GtDetectSc Service;c:\program files\iPlus\Drivers\Driver2k\GTMax\GtDetectSc.exe [2008-08-11 204800]

R2 GtFlashSwitch;GtFlashSwitch Service;c:\program files\iPlus\Drivers\Driver2k\GTMax\GtFlashSwitch.exe [2008-08-11 204800]

R3 SMBBATT;Sterownik baterii inteligentnej Microsoft;c:\windows\system32\drivers\smbbatt.sys [2004-11-29 16128]

S3 IPN2220;INPROCOMM IPN2220 Wireless LAN Card Driver;c:\windows\system32\drivers\i2220ntx.sys [2004-12-03 155392]

S3 MEMSWEEP2;MEMSWEEP2;??\c:\windows\system32\24.tmp --> c:\windows\system32\24.tmp [?]

S3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [2005-08-02 32512]

S3 UUY;UUY;c:\docume~1\JULITA\USTAWI~1\Temp\UUY.exe --> c:\docume~1\JULITA\USTAWI~1\Temp\UUY.exe [?]

S3 UXTVYXLN;UXTVYXLN;c:\docume~1\JULITA\USTAWI~1\Temp\UXTVYXLN.exe --> c:\docume~1\JULITA\USTAWI~1\Temp\UXTVYXLN.exe [?]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C]

\Shell\AutoRun\command - C:\wx8o0bt1.com

\Shell\open\Command - C:\wx8o0bt1.com

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{239529f1-0585-11de-bef4-00c09f6e9760}]

\Shell\AutoRun\command - E:\wx8o0bt1.com

\Shell\open\Command - E:\wx8o0bt1.com

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{f2d2c590-64d0-11dd-bcee-00c09f6e9760}]

\Shell\AutoRun\command - E:\nideiect.com

\Shell\explore\Command - E:\nideiect.com

\Shell\open\Command - E:\nideiect.com

.

------- Skan uzupełniający -------

.

IE: &Winamp Search - c:\documents and settings\All Users\Dane aplikacji\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html

IE: E&ksportuj do programu Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

Trusted Zone: mks.com.pl

TCP: {C6B82640-1B47-489C-B9AA-F7347BA502FD} = 212.2.96.51 212.2.96.52

DPF: {68282C51-9459-467B-95BF-3C0E89627E55} - hxxp://www.mks.com.pl/skaner/SkanerOnline.cab

.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-03-01 11:51:08

Windows 5.1.2600 Dodatek Service Pack 2 NTFS

skanowanie ukrytych procesów …

skanowanie ukrytych wpisów autostartu …

skanowanie ukrytych plików …

skanowanie pomyślnie ukończone

ukryte pliki: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MEMSWEEP2]

“ImagePath”="??\c:\windows\system32\24.tmp"

.

------------------------ Pozostałe uruchomione procesy ------------------------

.

c:\program files\Alwil Software\Avast4\aswUpdSv.exe

c:\program files\Alwil Software\Avast4\ashServ.exe

c:\program files\Toshiba\ConfigFree\CFSvcs.exe

c:\windows\system32\DVDRAMSV.exe

c:\windows\system32\wdfmgr.exe

c:\windows\system32\wscntfy.exe

c:\program files\Toshiba\Program narzc:\program files\Toshiba\ConfigFree\NDSTray.exe

c:\windows\system32\igfxext.exe

c:\program files\iPlus\iPlusManager.exe

c:\program files\Brother\ControlCenter3\BrccMCtl.exe

c:\program files\Brother\Brmfcmon\BrMfcMon.exe

c:\program files\Common Files\Teleca Shared\Generic.exe

.

**************************************************************************

.

Czas ukończenia: 2009-03-01 11:53:50 - komputer został uruchomiony ponownie

ComboFix-quarantined-files.txt 2009-03-01 10:53:47

Przed: 26 143 584 256 bajtów wolnych

Po: 26,151,944,192 bajtów wolnych

WindowsXP-KB310994-SP2-Home-BootDisk-PLK.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT=“Microsoft Windows Recovery Console” /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS=“Microsoft Windows XP Home Edition” /noexecute=optin /fastdetect

187 — E O F — 2008-08-14 08:08:43

– Dodane 02.03.2009 (Pn) 20:38 –

link o loga z www.wklej.eu chyba coś namieszałem bo tam żadnej odpowiedzi już nie dostałem

http://www.wklej.eu/index.php?id=2b579d5e14

Tak przy okazji może masz jakiś pomysł na mój problem z wordem?

gdy piszę w Wordzie tekst to po pewnym czasie cały tekst zostaje automatycznie zaznaczony na niebiesko i nie można już nic więcej napisać?

Dzieje się to wówczas, gdy komputer chodzi min ok godziny. W pozostałych programach wszystko jest ok.

Dr.Cyc · 2 Marzec 2009 20:38

Do usunięcia infekcji z pendrive użyj tych programów

Otwórz notatnik i wklej

File::

C:\wx8o0bt1.com 


Folder::

C:\32788R22FWJFW 


Registry::

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C]{705E9481-27B1-7C41-28BD-8E93811F4081}]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{239529f1-0585-11de-bef4-00c09f6e9760}]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f2d2c590-64d0-11dd-bcee-00c09f6e9760}]

Plik>Zapisz jako…> CFScript.txt

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

To uruchomi combofixa, wygenerowany log dajesz na http://www.wklej.eu/, http://www.wklej.org/ lub http://www.wklejto.pl/, a w poście tylko link.

pablo_26 · 2 Marzec 2009 22:30

log z combofifa

ComboFix 09-02-28.01 - JULITA 2009-03-02 23:15:16.2 - NTFSx86

Microsoft Windows XP Home Edition 5.1.2600.2.1250.1.1045.18.494.173 [GMT 1:00]

Uruchomiony z: c:\documents and settings\JULITA\Pulpit\ComboFix.exe

Użyto następujących komend :: c:\documents and settings\JULITA\Pulpit\CFScript.txt

AV: avast! antivirus 4.8.1335 [VPS 090302-0] *On-access scanning disabled* (Updated)

* Utworzono nowy punkt przywracania

FILE ::

C:\wx8o0bt1.com

.

((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\32788R22FWJFW

C:\wx8o0bt1.com

.

((((((((((((((((((((((((( Pliki utworzone od 2009-02-02 do 2009-03-02 )))))))))))))))))))))))))))))))