Prawdopodobnie trojan BackDoor i Botnetlog


(Lou0t) #1

Oto log z Hijackthis :

Drugi log, po próbach usunięcia plików : ctfmon.exe, userini.exe, boolew.exe log wygląda następująco :

Jeśli ktoś mógłby przejrzeć, czy jest w nim jeszcze coś podejrzanego, to byłabym bardzo wdzięczna. Mam podejrzenia co do pliku kezapooloul.exe,858m9XP.exe ( przy okazji ten plik zużywa procesor w 99% ;]) oraz wscntfy.exe, lecz nie wiem czy słuszne.


(ahonen97) #2

Wklej logi z OTL i z Exstras instrukcja otl-gmer-rsit-dds-inne-instrukcje-t370405.html HijackThisa już się nie używa Na Windows vista i W7 OTL uruchamiamy jako administrator


(deFco247) #3

Po pierwsze HijackThis nadaje się na śmietnik. Nie używa się go w ogóle do usuwania infekcji.

Po drugie logów nie wkleja się na forum, tylko na specjalizowane serwisy typu wklej.org lub wklej.to

Pokaż logi z narzędzi OTL + GMER.

Klikasz Run Scan.

Pokazujesz dwa wynikowe logi OTL.txt + Extras.txt

Przed uruchomieniem powyższych narzędzi odinstaluj (jeśli posiadasz) wszelkie programy tworzące wirtualne napędy (Daemon Tools, Alcohol itp.) oraz usuń instalowany przez nie sterownik SPTD narzędziem SPTDInst z opcji Uninstall (jeśli będzie zszarzałe, to OK).


(Lou0t) #4

Oto próba zastosowania się do powyższych wymogów :

OTL : http://wklej.org/id/341943/

Ekstras : http://www.wklej.org/id/341945/

Gmer :

GMER 1.0.15.15281 - http://www.gmer.net

Rootkit quick scan 2010-05-29 16:50:51

Windows 5.1.2600 Dodatek Service Pack 2

Running: 3pximhbk.exe; Driver: C:\DOCUME~1\Komputer\USTAWI~1\Temp\uwqyrkod.sys



---- System - GMER 1.0.15 ----


SSDT \??\C:\DOCUME~1\Komputer\USTAWI~1\Temp\ASFWHide ZwQuerySystemInformation [0xFA0EF486]


---- EOF - GMER 1.0.15 ----

(deFco247) #5

W GMER uruchamiałeś w ogóle skanowanie? Ten raport wygląda mi na ten z preskanu.

Poza tym infekcja zdaje się mieć źródło w pendrive oznaczonym literką G:

W białe dolne okno Custom Scans/Fixes w OTL wklej:

Run Fix. Restart, jeśli będzie potrzebny.

Potem log z usuwania (raport, który wyskoczy po usuwaniu OTL-em) oraz nowy log robiony opcją Run Scan.


(Lou0t) #6

log z usuwania : http://www.wklej.org/id/341965/

Nowy log : OTL : http://www.wklej.org/id/341961/

Ekstras : http://www.wklej.org/id/341963/

Dziękuję za pomoc :slight_smile:

Log ze skanowania ( przedtem faktycznie był z preskanu, mój błąd ;]) tu co prawda jest już po usunięciu plików przez OTL, więc nie wiem czy jeszcze się na coś przyda.

GMER 1.0.15.15281 - http://www.gmer.net

Rootkit scan 2010-05-29 17:51:32

Windows 5.1.2600 Dodatek Service Pack 2

Running: 3pximhbk.exe; Driver: C:\DOCUME~1\Komputer\USTAWI~1\Temp\uwqyrkod.sys



---- System - GMER 1.0.15 ----


SSDT \??\C:\DOCUME~1\Komputer\USTAWI~1\Temp\ASFWHide ZwQuerySystemInformation [0xFA0C5486]

SSDT \??\C:\DOCUME~1\Komputer\USTAWI~1\Temp\ASFWHide ZwTerminateProcess [0xFA0C56DA]


---- User code sections - GMER 1.0.15 ----


.text C:\Program Files\Mozilla Firefox\firefox.exe[2432] ntdll.dll!LdrLoadDll 7C9161CA 5 Bytes JMP 004013F0 C:\Program Files\Mozilla Firefox\firefox.exe (Firefox/Mozilla Corporation)


---- EOF - GMER 1.0.15 ----

(deFco247) #7

W OTL wklej:

Run FIx , po tym klikasz CleanUp.

Wyłącz i włącz Przywracanie Systemu na wszystkich dyskach. Instrukcja XP/Vista/Windows 7.

Wykonaj pełny skan Malwarebytes' Anti-Malware - znalezione obiekty usuń.

Gdy będą wirusy pokaż raport po usuwaniu.

Wyczyść rejestr i dysk CCleaner oraz wyłącz nim zbędniki z autostartu (Narzędzia -> Autostart).

Zabezpiecz się przed infekcjami z pendrive: Panda USB Vaccine.

Obowiązkowe aktualizacje:

XP Service Pack 3 + Internet Explorer 8 (nawet nieużywany wymaga aktualizacji, gdyż wpływa on na pewną część funkcji w systemie)

Adobe Reader update 9.3.2

Do usunięcia zbędny Ask Toolbar.


(Lou0t) #8

Raport po usunięciu wirusów :

http://www.wklej.org/id/342008/

I przy okazji jeszcze ten nieszczęsny pendrive : http://www.wklej.org/id/342015/