lou0t
(Lou0t)
29 Maj 2010 13:44
#1
Oto log z Hijackthis :
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:03:22, on 2010-05-29 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\userini.exe C:\Program Files\Ashampoo\Ashampoo FireWall\FireWall.exe C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\Lexmark 4800 Series\lxdemon.exe C:\WINDOWS\system32\ctfmon.exe C:\Documents and Settings\Gosia\Dane aplikacji\Microsoft\boolew.exe C:\WINDOWS\system32\wscntfy.exe C:\Documents and Settings\Dorota\Moje dokumenty\Pobieranie\b8955ela.exe C:\DOCUME~1\Gosia\USTAWI~1\Temp\RarSFX0\8sj9qv.exe C:\DOCUME~1\Gosia\USTAWI~1\Temp\RarSFX0\858m9XP.exe C:\WINDOWS\system32\taskmgr.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\DOCUME~1\Gosia\USTAWI~1\Temp\Katalog tymczasowy 1 dla HiJackThis.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - C:\Program Files\AskTBar\SrchAstt\3.bin\A5SRCHAS.DLL O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Ask Search Assistant BHO - {9CB65201-89C4-402c-BA80-02D8C59F9B1D} - C:\Program Files\AskTBar\SrchAstt\3.bin\A5SRCHAS.DLL O2 - BHO: IEPluginBHO - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Documents and Settings\All Users\Dane aplikacji\Gadu-Gadu 10_userdata\ggbho.2.dll O2 - BHO: Ask Toolbar BHO - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - C:\Program Files\AskTBar\bar\3.bin\ASKTBAR.DLL O3 - Toolbar: Ask Toolbar - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - C:\Program Files\AskTBar\bar\3.bin\ASKTBAR.DLL O4 - HKLM…\Run: [Ashampoo FireWall] “C:\Program Files\Ashampoo\Ashampoo FireWall\FireWall.exe” -TRAY O4 - HKLM…\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM…\Run: [lxdemon.exe] “C:\Program Files\Lexmark 4800 Series\lxdemon.exe” O4 - HKLM…\Run: [Adobe Reader Speed Launcher] “C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe” O4 - HKLM…\Run: [Adobe ARM] “C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe” O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU…\Run: [nouquedo] C:\Documents and Settings\Gosia\Dane aplikacji\Microsoft\boolew.exe O4 - HKLM…\Policies\Explorer\Run: [userini] C:\WINDOWS\system32\userini.exe O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’) O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’) O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O23 - Service: lxdeCATSCustConnectService - Lexmark International, Inc. - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\lxdeserv.exe O23 - Service: lxde_device - - C:\WINDOWS\system32\lxdecoms.exe O23 - Service: Blue Coat K9 Web Protection (yaieeoeea) - Four-F - C:\WINDOWS\system32\kezapooloul.exe – End of file - 3303 bytes
Drugi log, po próbach usunięcia plików : ctfmon.exe, userini.exe, boolew.exe log wygląda następująco :
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:06:27, on 2010-05-29 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\Explorer.EXE C:\Program Files\Ashampoo\Ashampoo FireWall\FireWall.exe C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\Lexmark 4800 Series\lxdemon.exe C:\WINDOWS\system32\wscntfy.exe C:\Documents and Settings\Dorota\Moje dokumenty\Pobieranie\b8955ela.exe C:\DOCUME~1\Gosia\USTAWI~1\Temp\RarSFX0\8sj9qv.exe C:\DOCUME~1\Gosia\USTAWI~1\Temp\RarSFX0\858m9XP.exe C:\WINDOWS\system32\taskmgr.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\DOCUME~1\Gosia\USTAWI~1\Temp\Katalog tymczasowy 1 dla HiJackThis.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - C:\Program Files\AskTBar\SrchAstt\3.bin\A5SRCHAS.DLL O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Ask Search Assistant BHO - {9CB65201-89C4-402c-BA80-02D8C59F9B1D} - C:\Program Files\AskTBar\SrchAstt\3.bin\A5SRCHAS.DLL O2 - BHO: IEPluginBHO - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Documents and Settings\All Users\Dane aplikacji\Gadu-Gadu 10_userdata\ggbho.2.dll O2 - BHO: Ask Toolbar BHO - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - C:\Program Files\AskTBar\bar\3.bin\ASKTBAR.DLL O3 - Toolbar: Ask Toolbar - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - C:\Program Files\AskTBar\bar\3.bin\ASKTBAR.DLL O4 - HKLM…\Run: [Ashampoo FireWall] “C:\Program Files\Ashampoo\Ashampoo FireWall\FireWall.exe” -TRAY O4 - HKLM…\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM…\Run: [lxdemon.exe] “C:\Program Files\Lexmark 4800 Series\lxdemon.exe” O4 - HKLM…\Run: [Adobe Reader Speed Launcher] “C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe” O4 - HKLM…\Run: [Adobe ARM] “C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe” O4 - HKLM…\Policies\Explorer\Run: [userini] C:\WINDOWS\system32\userini.exe O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’) O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’) O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O23 - Service: lxdeCATSCustConnectService - Lexmark International, Inc. - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\lxdeserv.exe O23 - Service: lxde_device - - C:\WINDOWS\system32\lxdecoms.exe O23 - Service: Blue Coat K9 Web Protection (yaieeoeea) - Four-F - C:\WINDOWS\system32\kezapooloul.exe – End of file - 3008 bytes
Jeśli ktoś mógłby przejrzeć, czy jest w nim jeszcze coś podejrzanego, to byłabym bardzo wdzięczna. Mam podejrzenia co do pliku kezapooloul.exe,858m9XP.exe ( przy okazji ten plik zużywa procesor w 99% ;]) oraz wscntfy.exe, lecz nie wiem czy słuszne.
ahonen97
(ahonen97)
29 Maj 2010 14:04
#2
Wklej logi z OTL i z Exstras instrukcja otl-gmer-rsit-dds-inne-instrukcje-t370405.html HijackThisa już się nie używa Na Windows vista i W7 OTL uruchamiamy jako administrator
deFco247
(deFco247)
29 Maj 2010 14:13
#3
Po pierwsze HijackThis nadaje się na śmietnik. Nie używa się go w ogóle do usuwania infekcji.
Po drugie logów nie wkleja się na forum, tylko na specjalizowane serwisy typu wklej.org lub wklej.to
Pokaż logi z narzędzi OTL + GMER .
Klikasz Run Scan .
Pokazujesz dwa wynikowe logi OTL.txt + Extras.txt
Przed uruchomieniem powyższych narzędzi odinstaluj (jeśli posiadasz) wszelkie programy tworzące wirtualne napędy (Daemon Tools, Alcohol itp.) oraz usuń instalowany przez nie sterownik SPTD narzędziem SPTDInst z opcji Uninstall (jeśli będzie zszarzałe, to OK).
lou0t
(Lou0t)
29 Maj 2010 14:52
#4
Oto próba zastosowania się do powyższych wymogów :
OTL : http://wklej.org/id/341943/
Ekstras : http://www.wklej.org/id/341945/
Gmer :
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit quick scan 2010-05-29 16:50:51
Windows 5.1.2600 Dodatek Service Pack 2
Running: 3pximhbk.exe; Driver: C:\DOCUME~1\Komputer\USTAWI~1\Temp\uwqyrkod.sys
---- System - GMER 1.0.15 ----
SSDT \??\C:\DOCUME~1\Komputer\USTAWI~1\Temp\ASFWHide ZwQuerySystemInformation [0xFA0EF486]
---- EOF - GMER 1.0.15 ----
deFco247
(deFco247)
29 Maj 2010 15:08
#5
W GMER uruchamiałeś w ogóle skanowanie? Ten raport wygląda mi na ten z preskanu.
Poza tym infekcja zdaje się mieć źródło w pendrive oznaczonym literką G:
W białe dolne okno Custom Scans/Fixes w OTL wklej:
:OTL PRC - [2010-05-28 16:51:52 | 000,054,784 | ---- | M] () – C:\WINDOWS\system32\userini.exe SRV - [2010-05-28 16:52:52 | 000,337,408 | ---- | M] (Four-F) [Auto | Stopped] – C:\WINDOWS\system32\kezapooloul.exe – (yaieeoeea) IE - HKU\S-1-5-21-2052111302-2025429265-725345543-1003…\URLSearchHook: {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - C:\Program Files\AskTBar\SrchAstt\3.bin\A5SRCHAS.DLL (Ask.com ) O2 - BHO: (Ask Search Assistant BHO) - {9CB65201-89C4-402c-BA80-02D8C59F9B1D} - C:\Program Files\AskTBar\SrchAstt\3.bin\A5SRCHAS.DLL (Ask.com ) O2 - BHO: (Ask Toolbar BHO) - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - C:\Program Files\AskTBar\bar\3.bin\ASKTBAR.DLL (Ask.com ) O3 - HKLM…\Toolbar: (Ask Toolbar) - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - C:\Program Files\AskTBar\bar\3.bin\ASKTBAR.DLL (Ask.com ) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: userini = C:\WINDOWS\system32\userini.exe () O7 - HKU\S-1-5-21-2052111302-2025429265-725345543-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: userini = C:\WINDOWS\system32\userini.exe () O20 - HKLM Winlogon: TaskMan - (C:\RECYCLER\S-1-5-21-0788583123-5391554245-918336428-0431\yv8g67.exe) - C:\RECYCLER\S-1-5-21-0788583123-5391554245-918336428-0431\yv8g67.exe () O20 - HKU\S-1-5-21-2052111302-2025429265-725345543-1003 Winlogon: Shell - (C:\Documents and Settings\Komputer\ctfmon.exe) - C:\Documents and Settings\Komputer\ctfmon.exe File not found O20 - HKU\S-1-5-21-2052111302-2025429265-725345543-1003 Winlogon: Shell - (C:\Documents and Settings\Komputer\Dane aplikacji\vgdoqo.exe) - C:\Documents and Settings\Komputer\Dane aplikacji\vgdoqo.exe File not found O20 - HKU\S-1-5-21-2052111302-2025429265-725345543-1003 Winlogon: Shell - (C:\RECYCLER\S-1-5-21-0788583123-5391554245-918336428-0431\yv8g67.exe) - C:\RECYCLER\S-1-5-21-0788583123-5391554245-918336428-0431\yv8g67.exe () [2010-05-28 21:55:23 | 000,337,408 | ---- | C] (Four-F) – C:\WINDOWS\System32\boolew.exe [2010-05-12 16:38:18 | 000,000,000 | -HSD | C] – C:\FOUND.002 [2010-05-10 08:56:26 | 000,000,000 | -HSD | C] – C:\FOUND.001 [2010-05-01 19:45:50 | 000,000,000 | -HSD | C] – C:\FOUND.000 [2010-04-29 21:44:16 | 000,000,000 | —D | C] – C:\Program Files\AskTBar :Files C:\RECYCLER :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2] :Commands [emptytemp] [start explorer] [Reboot]
Run Fix . Restart, jeśli będzie potrzebny.
Potem log z usuwania (raport, który wyskoczy po usuwaniu OTL-em) oraz nowy log robiony opcją Run Scan .
lou0t
(Lou0t)
29 Maj 2010 15:56
#6
log z usuwania : http://www.wklej.org/id/341965/
Nowy log : OTL : http://www.wklej.org/id/341961/
Ekstras : http://www.wklej.org/id/341963/
Dziękuję za pomoc
Log ze skanowania ( przedtem faktycznie był z preskanu, mój błąd ;]) tu co prawda jest już po usunięciu plików przez OTL, więc nie wiem czy jeszcze się na coś przyda.
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-05-29 17:51:32
Windows 5.1.2600 Dodatek Service Pack 2
Running: 3pximhbk.exe; Driver: C:\DOCUME~1\Komputer\USTAWI~1\Temp\uwqyrkod.sys
---- System - GMER 1.0.15 ----
SSDT \??\C:\DOCUME~1\Komputer\USTAWI~1\Temp\ASFWHide ZwQuerySystemInformation [0xFA0C5486]
SSDT \??\C:\DOCUME~1\Komputer\USTAWI~1\Temp\ASFWHide ZwTerminateProcess [0xFA0C56DA]
---- User code sections - GMER 1.0.15 ----
.text C:\Program Files\Mozilla Firefox\firefox.exe[2432] ntdll.dll!LdrLoadDll 7C9161CA 5 Bytes JMP 004013F0 C:\Program Files\Mozilla Firefox\firefox.exe (Firefox/Mozilla Corporation)
---- EOF - GMER 1.0.15 ----
deFco247
(deFco247)
29 Maj 2010 16:31
#7
W OTL wklej:
Run FIx , po tym klikasz CleanUp .
Wyłącz i włącz Przywracanie Systemu na wszystkich dyskach. Instrukcja XP /Vista /Windows 7 .
Wykonaj pełny skan Malwarebytes’ Anti-Malware - znalezione obiekty usuń.
Gdy będą wirusy pokaż raport po usuwaniu.
Wyczyść rejestr i dysk CCleaner oraz wyłącz nim zbędniki z autostartu (Narzędzia -> Autostart).
Zabezpiecz się przed infekcjami z pendrive: Panda USB Vaccine .
Obowiązkowe aktualizacje:
XP Service Pack 3 + Internet Explorer 8 (nawet nieużywany wymaga aktualizacji, gdyż wpływa on na pewną część funkcji w systemie)
Adobe Reader update 9.3.2
Do usunięcia zbędny Ask Toolbar .
lou0t
(Lou0t)
29 Maj 2010 17:17
#8
Raport po usunięciu wirusów :
http://www.wklej.org/id/342008/
I przy okazji jeszcze ten nieszczęsny pendrive : http://www.wklej.org/id/342015/