Podejrzenie wirusów lub robaków.Problem z antyvirusami

Witam.

Podejrzewam że na moim kompie gnieździ się jakiś wirus, robak albo inne jeszcze ustrojstwo. Problem zaczął się od tego, że bez przyczyny padła mi sieć wifi - a na routerze działa wszystko ok (sprawdzałem). Po wielu radach które nic nie dały stwierdziłem, że przeskanuje komputer antyvirusem. Ściągnąłem NOD32 wersje trial ze strony producenta i pojawił się problem przy rozpakowaniu. Ściągnąłem jeszcze raz to samo. Ściągnąłem 3 raz tym razem z dobreprogramy.pl i znów to samo. Ściągnąłem trial Kaspersky Antivir i też jakiś błąd przy instalacji. No to spróbowałem Avast! to samo.

Nie wierze aż w takie przypadki :wink: dlatego bardzo proszę o przejrzenie logu z Hijack This i o wskazówki co dalej.

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:28:45, on 2007-09-20

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\taskmgr.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe

C:\Program Files\DAP\DAP.EXE

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe


R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ad.zanox.com/ppc/?6521679C420598936

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe

O4 - HKLM\..\Run: [SoundMAX] C:\Program Files\Analog Devices\SoundMAX\Smax4.exe /tray

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"

O4 - HKLM\..\Run: [CleanRegPath] C:\PROGRA~1\ADSLUT~1\CleanReg.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Adobe Photoshop Lightroom 1.1\apdproxy.exe"

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [DownloadAccelerator] "C:\Program Files\DAP\DAP.EXE" /STARTUP

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKCU\..\Run: [Flircik] C:\Program Files\Onet\Flircik\Flircik.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: HaloNet Softphone.lnk = ?

O8 - Extra context menu item: &Clean Traces - C:\Program Files\DAP\Privacy Package\dapcleanerie.htm

O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm

O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.pl/resources/virusscanner/kavwebscan_unicode.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{A9E8C33C-092E-4170-B709-F846F7CD461D}: NameServer = 195.114.161.61,195.114.181.130

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe


--

End of file - 4961 bytes

Dziękuję i pozdrawiam.

abradab

Ważny komunikat dotyczący tytułowania tematów

Proszę zapoznać się ze wskazanym tematem i poprawić tytuł tematu na konkretny, mówiący o problemie.

W tym celu proszę użyć przycisku icon_edit.gif

Zignorowanie prośby będzie skutkowało usunięciem tematu do Kosza.

Log jest jednak czysty.

Możesz dać jeszcze log z ComboFix (na dole tej strony z linku) -

Log wklej na http://wklej.org/, a w poście daj tylko link.(czyli skopiuj adres z paska adresów).

jessi

Proszę bardzo

http://wklej.org/id/b20f96614d

Link do logu ComboFix.

Złączono Posta : 20.09.2007 (Czw) 20:03

Przeskanowałem kompa jeszcze AVG Anti-Rootkit. Są tam dla mnie dziwne rzeczy, które są w c:…\Dane aplikacji\m\shared

Załączam log:

http://wklej.org/id/fee418fc72

O! - a jednak, miałeś Rootkita " Bagle-hidires" ze szkodliwą usługą " srosa".

ComboFix go usunął, ale trzeba jeszcze posprzątać po nim.(dodałam też inne puste, bezplikowe klucze do usunięcia)

Wklej do Notatnika :

Registry::

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"mule_st_key"=-

[-HKEY_LOCAL_MACHINE\system\ControlSet001\Services\srosa]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Flircik"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CleanRegPath"=-

>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

(czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku –> Klik

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: ** Qoobox**.

Log daj na wklej.org. a tu link.

W międzyczasie zajmij się naprawą uszkodzonego przez Rootkita Reybu Awaryjnego:

Przeinstaluj też od nowa Antivirusa, bo Rootkit też go na pewno uszkodził.

jessi

Proszę oto log:

http://wklej.org/id/d8685f46b7

Złączono Posta : 20.09.2007 (Czw) 21:06

Dodam jeszcze log z SafeBootKeyRepair:

http://wklej.org/id/e512440227

Ja akurat nie znam się w ogóle na raportach “AVG Anti-Rootkit”, więc trudno mi to ocenić. W każdym razie u mnie w ogóle nie ma takiego folderu " m" i pewnie cały folder jest do usunięcia, ale ponieważ nie mam takiej pewności, więc nie ruszam tego.

Może spróbuj kilka plików z tego folderu sprawdzić na:–> http://virusscan.jotti.org/

Opis, jak korzystać z JOTTI --> http://otfans.pl/forums/showthread.php?tid=552

albo na http://www.virustotal.com/en/indexf.html.

(korzysta się podobnie jak z JOTTI).

Nie wszystko poszło dobrze z tym Scriptem ComboFixa, więc powtórzymy:

Wklej do Notatnika :

File::

C:\WINDOWS\system32\drivers\srosa.sys

C:\WINDOWS\System32\Drivers\aiubs8vu.SYS


Registry::

[-HKEY_LOCAL_MACHINE\system\ControlSet001\Services\srosa]

>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie,

jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

(czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku –> Klik

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: ** Qoobox**.

I znów log z ComboFixa.

Z logu “SafeBootKeyRepair” wynika, że Tryb Awaryjny został naprawiony - a czy próbowałeś, jak to jest w praktyce?

jessi

Log:

http://wklej.org/id/219f87d6fd

Dzięki że mi tak pomagasz :slight_smile:

Złączono Posta : 20.09.2007 (Czw) 22:09

zeskanowałem jeden plik z tego folderu “m” - wykazało Trojan Downloader Beagle.Ea

Niestety, widać, że ten Rootkit powrócił, bo ComboFix znów go usuwał .

Wklej do Notatnika :

File::

C:\Documents and Settings\Krzysiek\Dane aplikacji\m\flec006.exe

C:\WINDOWS\system32\drivers\srosa.sys


Folder::

C:\Documents and Settings\Krzysiek\Dane aplikacji\m


Registry::

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 

"mule_st_key"=-

[-HKEY_LOCAL_MACHINE\system\ControlSet001\Services\srosa]

>>Plik>>Zapisz jako… >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: ** Qoobox**.

I nowy log.

jessi

Teraz ComboFix usuwał te wszystkie zipy z folderu “m” zrestartował się system ale log się nie pojawił więc zrobiłem jeszcze raz i w załączniku ten drugi log:

http://wklej.org/id/7f98bf86cf

Pobierz program SDFix

Musiałem jeszcze raz użyć SafeBootKeyRepair żeby uruchomić tryb awaryjny. Po przeskanowaniu SDFix:

SDFix: Version 1.106


Run by Krzysiek on 2007-09-20 at 23:39


Microsoft Windows XP [Wersja 5.1.2600]


Running From: C:\SDFix


Safe Mode:

Checking Services: 



Restoring Windows Registry Values

Restoring Windows Default Hosts File


Rebooting...



Normal Mode:

Checking Files: 


No Trojan Files Found





Removing Temp Files...


ADS Check:


C:\WINDOWS

No streams found. 


C:\WINDOWS\system32

No streams found. 


C:\WINDOWS\system32\svchost.exe

No streams found.


C:\WINDOWS\system32\ntoskrnl.exe

No streams found.




                                 Final Check:


Remaining Services:

------------------





Authorized Application Key Export:


[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]


[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]


Remaining Files:

---------------



Files with Hidden Attributes:


C:\WINDOWS\system32\8E2FEC4948.sys

C:\WINDOWS\system32\KGyGaAvL.sys

C:\WINDOWS\system32\config\SAM.tmp.LOG

C:\WINDOWS\system32\config\SECURITY.tmp.LOG


Finished!

Złączono Posta : 20.09.2007 (Czw) 23:44

Aha i folder “m” się odnowił :frowning:

Ponieważ Rootkit znów powrócił, to:

Zrób dwa logi z GMER na ustawieniach:

  1. >>gmer>>Rootkit>>Szukaj>>Kopiuj>>CTRL+V do Notatnika (zapisz gdzieś)

  2. >>Rootkit>>zaznacz tylko “Usługi” i “Pokaż wszystko”>>Szukaj>>Kopiuj>>CTRL+V do Notatnika (zapisz gdzieś)

Ponieważ logi będą długie, więc wklej je na http://wklej.org/, a w poście daj tylko link.(czyli skopiuj adres z paska adresów).

SDFix nic nie wykrył, ale on nie wykrywa Rootkitów.

jessi

Jest tylko jeden problem. Pierwszy Log jest bardzo długi i jak wklejam go na wklej.org to zostaje obcięty. Tzn. w oknie do wklejania jest cały a po przetworzeniu nie ma części (a z zasadzie większości).

abradab w takim razie jak nie wchodzi na http://www.wklej.org to zapisz w notatniku i wrzuć na jakiś hosting.

np. http://www.sendspace.com

To podziel go na kilka części i każdą wklejaj oddzielnie na wklej.org. i dasz tu kilka linków.

Najbardziej mi chodzi, z tego pierwszego logu, o jego dolną część, w której powinny być widoczne pliki Rootkita.

Ale oczywiście lepiej obejrzeć wszystko.

jessi

http://www.sendspace.com/file/qj96eo - to jest pierwszy log

Drugi log normalnie zmieścił się http://wklej.org/id/0925b1acf5

Uruchom >>GMER>>>rozwiń do zakładki CMD >>zaznacz: REGEDIT >>w górne czarne pole wklej:

Windows Registry Editor Version 5.00


[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa]


[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\Legacy_srosa]


[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\Legacy_srosa]


[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa]


[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\Legacy_srosa]


[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa]


[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

"drvsyskit"=-


[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

"mule_st_key"=-


[HKEY_USERS\S-1-5-21-1229272821-1214440339-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Run]

"drvsyskit"=-


[HKEY_USERS\S-1-5-21-1229272821-1214440339-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Run]

"mule_st_key"=-

Kliknąć na “Uruchom” z prawej.

Potem Otwórz Notatnik i wklej do niego:

Plik >>> zapisz jako >>> zmień rozszerzenie z TXT na wszystkie typy plików >>> zapisz pod nazwą FIX.BAT

( np. na C:\ )

Uruchom Gmer, w >>>zakładce Procesy wybierz Gmer Awaryjny. Komputer się zresetuje i uruchomi się Gmer.

Wybierz znów >>>zakładkę Procesy i na dole w „Poleceniu” przez trzy kropki wskaż plik FIX.BAT , po czym go uruchom (dwuklik).

Potem znów nowe logi:

  1. z ComboFixa

  2. z GMERa na ustawieniu: >>gmer>>Rootkit>>usuń zaznaczenia przy: “Sekcje”, “Urządzenia”, “Moduły”, “Wątki”>>Szukaj>>Kopiuj>>CTRL+V do Notatnika (zapisz gdzieś)

  3. z GMERa na ustawieniu: >>Rootkit>>zaznacz tylko “Usługi” i “Pokaż wszystko”>>Szukaj>>Kopiuj>>CTRL+V do Notatnika (zapisz gdzieś)

jessi

Zrobiłem wszystko wg przepisu - niestety w czasie wykonywania pliku fix.bat pojawiły się błędy. Żaden z plików nie został usunięty. Logi:

  1. Log z ComboFix http://wklej.org/id/338fbe475c

  2. Pierwszy log z Gmera:

    GMER 1.0.13.12551 - http://www.gmer.net

    Rootkit scan 2007-09-21 18:00:45

    Windows 5.1.2600 Dodatek Service Pack 2

    ---- System - GMER 1.0.13 ----

    SSDT sptd.sys ZwCreateKey

    SSDT sptd.sys ZwEnumerateKey

    SSDT sptd.sys ZwEnumerateValueKey

    SSDT sptd.sys ZwOpenKey

    SSDT sptd.sys ZwQueryKey

    SSDT sptd.sys ZwQueryValueKey

    SSDT sptd.sys ZwSetValueKey

    ---- Kernel IAT/EAT - GMER 1.0.13 ----

    IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F739DAD4] sptd.sys

    IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F739DC1A] sptd.sys

    IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F739DB9C] sptd.sys

    IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F739E748] sptd.sys

    IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F739E61E] sptd.sys

    IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [F73B329A] sptd.sys

    ---- EOF - GMER 1.0.13 ----

Jakiś krótki w porównaniu do poprzedniego. Zrobiłem skanowanie 3 razy i zawsze tak samo wychodziło.

  1. Drugi log z Gmera:

http://wklej.org/id/840f09bd5e

Mimo wyświetlania komunikatów o błedach w logach nie widzę tego Rootkita.

Faktycznie, chyba lepiej by było, gdyby ten pierwszy log był na zwykłych ustawieniach, a nie na skróconych. Chciałam w ten sposób skrócić czas skanowania. Na tych ustawieniach, które podałam, powinny się pojawić inne dane - w efekcie nie wiem, czy to się wszystko usunęło.

Sprawdź, czy ten folder " m" zniknął, jeśli był on przedtem widoczny?

Jeśli nie zniknął, to zrób nowy log z GMERa na pełnym ustawieniu, czyli:

>>gmer>>Rootkit>>Szukaj>>Kopiuj>>CTRL+V do Notatnika.

Jeśli natomiast ten folder " m" znikł, to możesz co najwyżej dać jeszcze log z ComboFixa.

jessi