Prawdopodobnie trojan BackDoor i Botnetlog

lou0t · 29 Maj 2010 13:44

Oto log z Hijackthis :

Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:03:22, on 2010-05-29 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\userini.exe C:\Program Files\Ashampoo\Ashampoo FireWall\FireWall.exe C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\Lexmark 4800 Series\lxdemon.exe C:\WINDOWS\system32\ctfmon.exe C:\Documents and Settings\Gosia\Dane aplikacji\Microsoft\boolew.exe C:\WINDOWS\system32\wscntfy.exe C:\Documents and Settings\Dorota\Moje dokumenty\Pobieranie\b8955ela.exe C:\DOCUME~1\Gosia\USTAWI~1\Temp\RarSFX0\8sj9qv.exe C:\DOCUME~1\Gosia\USTAWI~1\Temp\RarSFX0\858m9XP.exe C:\WINDOWS\system32\taskmgr.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\DOCUME~1\Gosia\USTAWI~1\Temp\Katalog tymczasowy 1 dla HiJackThis.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - C:\Program Files\AskTBar\SrchAstt\3.bin\A5SRCHAS.DLL O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Ask Search Assistant BHO - {9CB65201-89C4-402c-BA80-02D8C59F9B1D} - C:\Program Files\AskTBar\SrchAstt\3.bin\A5SRCHAS.DLL O2 - BHO: IEPluginBHO - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Documents and Settings\All Users\Dane aplikacji\Gadu-Gadu 10_userdata\ggbho.2.dll O2 - BHO: Ask Toolbar BHO - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - C:\Program Files\AskTBar\bar\3.bin\ASKTBAR.DLL O3 - Toolbar: Ask Toolbar - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - C:\Program Files\AskTBar\bar\3.bin\ASKTBAR.DLL O4 - HKLM…\Run: [Ashampoo FireWall] “C:\Program Files\Ashampoo\Ashampoo FireWall\FireWall.exe” -TRAY O4 - HKLM…\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM…\Run: [lxdemon.exe] “C:\Program Files\Lexmark 4800 Series\lxdemon.exe” O4 - HKLM…\Run: [Adobe Reader Speed Launcher] “C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe” O4 - HKLM…\Run: [Adobe ARM] “C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe” O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU…\Run: [nouquedo] C:\Documents and Settings\Gosia\Dane aplikacji\Microsoft\boolew.exe O4 - HKLM…\Policies\Explorer\Run: [userini] C:\WINDOWS\system32\userini.exe O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’) O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’) O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O23 - Service: lxdeCATSCustConnectService - Lexmark International, Inc. - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\lxdeserv.exe O23 - Service: lxde_device - - C:\WINDOWS\system32\lxdecoms.exe O23 - Service: Blue Coat K9 Web Protection (yaieeoeea) - Four-F - C:\WINDOWS\system32\kezapooloul.exe – End of file - 3303 bytes

Drugi log, po próbach usunięcia plików : ctfmon.exe, userini.exe, boolew.exe log wygląda następująco :

Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:06:27, on 2010-05-29 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\Explorer.EXE C:\Program Files\Ashampoo\Ashampoo FireWall\FireWall.exe C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\Lexmark 4800 Series\lxdemon.exe C:\WINDOWS\system32\wscntfy.exe C:\Documents and Settings\Dorota\Moje dokumenty\Pobieranie\b8955ela.exe C:\DOCUME~1\Gosia\USTAWI~1\Temp\RarSFX0\8sj9qv.exe C:\DOCUME~1\Gosia\USTAWI~1\Temp\RarSFX0\858m9XP.exe C:\WINDOWS\system32\taskmgr.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\DOCUME~1\Gosia\USTAWI~1\Temp\Katalog tymczasowy 1 dla HiJackThis.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - C:\Program Files\AskTBar\SrchAstt\3.bin\A5SRCHAS.DLL O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Ask Search Assistant BHO - {9CB65201-89C4-402c-BA80-02D8C59F9B1D} - C:\Program Files\AskTBar\SrchAstt\3.bin\A5SRCHAS.DLL O2 - BHO: IEPluginBHO - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Documents and Settings\All Users\Dane aplikacji\Gadu-Gadu 10_userdata\ggbho.2.dll O2 - BHO: Ask Toolbar BHO - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - C:\Program Files\AskTBar\bar\3.bin\ASKTBAR.DLL O3 - Toolbar: Ask Toolbar - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - C:\Program Files\AskTBar\bar\3.bin\ASKTBAR.DLL O4 - HKLM…\Run: [Ashampoo FireWall] “C:\Program Files\Ashampoo\Ashampoo FireWall\FireWall.exe” -TRAY O4 - HKLM…\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM…\Run: [lxdemon.exe] “C:\Program Files\Lexmark 4800 Series\lxdemon.exe” O4 - HKLM…\Run: [Adobe Reader Speed Launcher] “C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe” O4 - HKLM…\Run: [Adobe ARM] “C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe” O4 - HKLM…\Policies\Explorer\Run: [userini] C:\WINDOWS\system32\userini.exe O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’) O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’) O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O23 - Service: lxdeCATSCustConnectService - Lexmark International, Inc. - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\lxdeserv.exe O23 - Service: lxde_device - - C:\WINDOWS\system32\lxdecoms.exe O23 - Service: Blue Coat K9 Web Protection (yaieeoeea) - Four-F - C:\WINDOWS\system32\kezapooloul.exe – End of file - 3008 bytes

Jeśli ktoś mógłby przejrzeć, czy jest w nim jeszcze coś podejrzanego, to byłabym bardzo wdzięczna. Mam podejrzenia co do pliku kezapooloul.exe,858m9XP.exe ( przy okazji ten plik zużywa procesor w 99% ;]) oraz wscntfy.exe, lecz nie wiem czy słuszne.

ahonen97 · 29 Maj 2010 14:04

Wklej logi z OTL i z Exstras instrukcja otl-gmer-rsit-dds-inne-instrukcje-t370405.html HijackThisa już się nie używa Na Windows vista i W7 OTL uruchamiamy jako administrator

deFco247 · 29 Maj 2010 14:13

Po pierwsze HijackThis nadaje się na śmietnik. Nie używa się go w ogóle do usuwania infekcji.

Po drugie logów nie wkleja się na forum, tylko na specjalizowane serwisy typu wklej.org lub wklej.to

Pokaż logi z narzędzi OTL + GMER.

Klikasz Run Scan.

Pokazujesz dwa wynikowe logi OTL.txt + Extras.txt

Przed uruchomieniem powyższych narzędzi odinstaluj (jeśli posiadasz) wszelkie programy tworzące wirtualne napędy (Daemon Tools, Alcohol itp.) oraz usuń instalowany przez nie sterownik SPTD narzędziem SPTDInst z opcji Uninstall (jeśli będzie zszarzałe, to OK).

lou0t · 29 Maj 2010 14:52

Oto próba zastosowania się do powyższych wymogów :

OTL : http://wklej.org/id/341943/

Ekstras : http://www.wklej.org/id/341945/

Gmer :

GMER 1.0.15.15281 - http://www.gmer.net

Rootkit quick scan 2010-05-29 16:50:51

Windows 5.1.2600 Dodatek Service Pack 2

Running: 3pximhbk.exe; Driver: C:\DOCUME~1\Komputer\USTAWI~1\Temp\uwqyrkod.sys



---- System - GMER 1.0.15 ----


SSDT \??\C:\DOCUME~1\Komputer\USTAWI~1\Temp\ASFWHide ZwQuerySystemInformation [0xFA0EF486]


---- EOF - GMER 1.0.15 ----

deFco247 · 29 Maj 2010 15:08

W GMER uruchamiałeś w ogóle skanowanie? Ten raport wygląda mi na ten z preskanu.

Poza tym infekcja zdaje się mieć źródło w pendrive oznaczonym literką G:

W białe dolne okno Custom Scans/Fixes w OTL wklej:

:OTL PRC - [2010-05-28 16:51:52 | 000,054,784 | ---- | M] () – C:\WINDOWS\system32\userini.exe SRV - [2010-05-28 16:52:52 | 000,337,408 | ---- | M] (Four-F) [Auto | Stopped] – C:\WINDOWS\system32\kezapooloul.exe – (yaieeoeea) IE - HKU\S-1-5-21-2052111302-2025429265-725345543-1003…\URLSearchHook: {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - C:\Program Files\AskTBar\SrchAstt\3.bin\A5SRCHAS.DLL (Ask.com) O2 - BHO: (Ask Search Assistant BHO) - {9CB65201-89C4-402c-BA80-02D8C59F9B1D} - C:\Program Files\AskTBar\SrchAstt\3.bin\A5SRCHAS.DLL (Ask.com) O2 - BHO: (Ask Toolbar BHO) - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - C:\Program Files\AskTBar\bar\3.bin\ASKTBAR.DLL (Ask.com) O3 - HKLM…\Toolbar: (Ask Toolbar) - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - C:\Program Files\AskTBar\bar\3.bin\ASKTBAR.DLL (Ask.com) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: userini = C:\WINDOWS\system32\userini.exe () O7 - HKU\S-1-5-21-2052111302-2025429265-725345543-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: userini = C:\WINDOWS\system32\userini.exe () O20 - HKLM Winlogon: TaskMan - (C:\RECYCLER\S-1-5-21-0788583123-5391554245-918336428-0431\yv8g67.exe) - C:\RECYCLER\S-1-5-21-0788583123-5391554245-918336428-0431\yv8g67.exe () O20 - HKU\S-1-5-21-2052111302-2025429265-725345543-1003 Winlogon: Shell - (C:\Documents and Settings\Komputer\ctfmon.exe) - C:\Documents and Settings\Komputer\ctfmon.exe File not found O20 - HKU\S-1-5-21-2052111302-2025429265-725345543-1003 Winlogon: Shell - (C:\Documents and Settings\Komputer\Dane aplikacji\vgdoqo.exe) - C:\Documents and Settings\Komputer\Dane aplikacji\vgdoqo.exe File not found O20 - HKU\S-1-5-21-2052111302-2025429265-725345543-1003 Winlogon: Shell - (C:\RECYCLER\S-1-5-21-0788583123-5391554245-918336428-0431\yv8g67.exe) - C:\RECYCLER\S-1-5-21-0788583123-5391554245-918336428-0431\yv8g67.exe () [2010-05-28 21:55:23 | 000,337,408 | ---- | C] (Four-F) – C:\WINDOWS\System32\boolew.exe [2010-05-12 16:38:18 | 000,000,000 | -HSD | C] – C:\FOUND.002 [2010-05-10 08:56:26 | 000,000,000 | -HSD | C] – C:\FOUND.001 [2010-05-01 19:45:50 | 000,000,000 | -HSD | C] – C:\FOUND.000 [2010-04-29 21:44:16 | 000,000,000 | —D | C] – C:\Program Files\AskTBar :Files C:\RECYCLER :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2] :Commands [emptytemp] [start explorer] [Reboot]

Run Fix. Restart, jeśli będzie potrzebny.

Potem log z usuwania (raport, który wyskoczy po usuwaniu OTL-em) oraz nowy log robiony opcją Run Scan.

lou0t · 29 Maj 2010 15:56

log z usuwania : http://www.wklej.org/id/341965/

Nowy log : OTL : http://www.wklej.org/id/341961/

Ekstras : http://www.wklej.org/id/341963/

Dziękuję za pomoc

Log ze skanowania ( przedtem faktycznie był z preskanu, mój błąd ;]) tu co prawda jest już po usunięciu plików przez OTL, więc nie wiem czy jeszcze się na coś przyda.

GMER 1.0.15.15281 - http://www.gmer.net

Rootkit scan 2010-05-29 17:51:32

Windows 5.1.2600 Dodatek Service Pack 2

Running: 3pximhbk.exe; Driver: C:\DOCUME~1\Komputer\USTAWI~1\Temp\uwqyrkod.sys



---- System - GMER 1.0.15 ----


SSDT \??\C:\DOCUME~1\Komputer\USTAWI~1\Temp\ASFWHide ZwQuerySystemInformation [0xFA0C5486]

SSDT \??\C:\DOCUME~1\Komputer\USTAWI~1\Temp\ASFWHide ZwTerminateProcess [0xFA0C56DA]


---- User code sections - GMER 1.0.15 ----


.text C:\Program Files\Mozilla Firefox\firefox.exe[2432] ntdll.dll!LdrLoadDll 7C9161CA 5 Bytes JMP 004013F0 C:\Program Files\Mozilla Firefox\firefox.exe (Firefox/Mozilla Corporation)


---- EOF - GMER 1.0.15 ----

deFco247 · 29 Maj 2010 16:31

W OTL wklej:

Run FIx , po tym klikasz CleanUp.

Wyłącz i włącz Przywracanie Systemu na wszystkich dyskach. Instrukcja XP/Vista/Windows 7.

Wykonaj pełny skan Malwarebytes’ Anti-Malware - znalezione obiekty usuń.

Gdy będą wirusy pokaż raport po usuwaniu.

Wyczyść rejestr i dysk CCleaner oraz wyłącz nim zbędniki z autostartu (Narzędzia -> Autostart).

Zabezpiecz się przed infekcjami z pendrive: Panda USB Vaccine.

Obowiązkowe aktualizacje:

XP Service Pack 3 + Internet Explorer 8 (nawet nieużywany wymaga aktualizacji, gdyż wpływa on na pewną część funkcji w systemie)

Adobe Reader update 9.3.2

Do usunięcia zbędny Ask Toolbar.

lou0t · 29 Maj 2010 17:17

Raport po usunięciu wirusów :

http://www.wklej.org/id/342008/

I przy okazji jeszcze ten nieszczęsny pendrive : http://www.wklej.org/id/342015/