Problem - Win32/TrojanDownloader.Zlob trojan

zeed · 1 Październik 2007 20:49

proszę o sprawdzenie loga . Nod 32 to wykrywa ale nic z tym nie może zrobić…Jestem zupełnym nowicjuszem i nie mam pojęcia co z tym zrobić. Bardzo proszę o pomoc

Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22:48:18, on 2007-10-01 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Eset\nod32krn.exe C:\WINDOWS\System32\PAStiSvc.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Eset\nod32kui.exe C:\Program Files\HP\HP Software Update\HPWuSchd2.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe C:\Program Files\Eset\nod32.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\Outlook Express\msimn.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.pl/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll O4 - HKLM…\Run: [nod32kui] “C:\Program Files\Eset\nod32kui.exe” /WAITSERVICE O4 - HKLM…\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM…\RunOnce: [spybotDeletingA756] command /c del “C:\WINDOWS\SchedLgU.Txt_tobedeleted” O4 - HKLM…\RunOnce: [spybotDeletingC6447] cmd /c del “C:\WINDOWS\SchedLgU.Txt_tobedeleted” O4 - HKCU…\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU…\RunOnce: [spybotDeletingB3046] command /c del “C:\WINDOWS\SchedLgU.Txt_tobedeleted” O4 - HKCU…\RunOnce: [spybotDeletingD1706] cmd /c del “C:\WINDOWS\SchedLgU.Txt_tobedeleted” O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA LOKALNA’) O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’) O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’) O4 - HKUS\S-1-5-18…\RunOnce: [FFTI] C:\Documents and Settings\pierwszy\Dane aplikacji\Mozilla\Firefox\Profiles\x23ij4lz.default\extensions{B13721C7-F507-4982-B2E5-502A71474FED}\unins000.exe /VERYSILENT /SUPPRESSMSGBOXES /NORESTART (User ‘SYSTEM’) O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’) O4 - HKUS.DEFAULT…\RunOnce: [FFTI] C:\Documents and Settings\pierwszy\Dane aplikacji\Mozilla\Firefox\Profiles\x23ij4lz.default\extensions{B13721C7-F507-4982-B2E5-502A71474FED}\unins000.exe /VERYSILENT /SUPPRESSMSGBOXES /NORESTART (User ‘Default user’) O4 - Startup: Picture Motion Browser Media Check Tool.lnk = C:\Program Files\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll O17 - HKLM\System\CCS\Services\Tcpip…{A665DDCA-7907-4826-B6B1-E1BC59E13F7B}: NameServer = 10.10.1.1,194.204.159.1 O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe – End of file - 4756 bytes

Gutek · 1 Październik 2007 22:50

Skan AVG Anti-Spyware 7.5 po update

Daj log z ComboFix

zeed · 2 Październik 2007 17:39

dzięki za szybką odpowiedź

przeskanowałem AVG Anti-Spyware, znalazł kilka TrackingCookie i Trojan.Small. Ale nic nie było na temat Win32/TrojanDownloader.Zlob trojan. Ale może to jest to samo, nie wiem. Proszę o info w tym temacie.

Niżej log z ComboFix

ComboFix 07-10-02.2 - pierwszy 2007-10-02 19:21:56.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.259 [GMT 2:00] Running from: C:\Documents and Settings\pierwszy\Pulpit\ComboFix.exe * Created a new restore point . ((((((((((((((((((((((((( Files Created from 2007-09-02 to 2007-10-02 ))))))))))))))))))))))))))))))) . 2007-10-02 19:20 51,200 --a------ C:\WINDOWS\NirCmd.exe 2007-10-02 18:36 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys 2007-10-01 21:58 2007-09-23 11:35 2007-09-21 20:46 2007-09-21 20:25 2007-09-21 20:24 2007-09-21 20:21 2007-09-21 20:17 2007-09-21 20:16 2007-09-21 20:15 77,824 -ra------ C:\WINDOWS\system32\HPZIDS01.dll 2007-09-21 20:15 49,664 -ra------ C:\WINDOWS\system32\drivers\HPZid412.sys 2007-09-21 20:15 38,400 --a------ C:\WINDOWS\system32\hpz3l054.dll 2007-09-21 20:15 16,496 -ra------ C:\WINDOWS\system32\drivers\HPZipr12.sys 2007-09-21 20:11 94,208 --a------ C:\WINDOWS\system32\HPZipt12.dll 2007-09-21 20:11 69,632 --a------ C:\WINDOWS\system32\HPZipm12.exe 2007-09-21 20:11 65,536 --a------ C:\WINDOWS\system32\HPZinw12.exe 2007-09-21 20:11 57,344 --a------ C:\WINDOWS\system32\HPZisn12.dll 2007-09-21 20:11 306,688 --a------ C:\WINDOWS\IsUninst.exe 2007-09-21 20:11 282,680 --a------ C:\WINDOWS\system32\HPZidr12.dll 2007-09-21 20:11 204,800 --a------ C:\WINDOWS\system32\HPZipr12.dll 2007-09-21 20:09 2007-09-21 20:08 31,616 --a–c— C:\WINDOWS\system32\dllcache\usbccgp.sys 2007-09-21 20:08 31,616 --a------ C:\WINDOWS\system32\drivers\usbccgp.sys 2007-09-21 20:05 119,741 --a------ C:\WINDOWS\hpoins11.dat 2007-09-20 23:13 2007-09-20 23:11 6,097 --a------ C:\WINDOWS\system32\drivers\sonyhcb.sys 2007-09-20 23:11 53,248 --a------ C:\WINDOWS\system32\SONYHCY.DLL 2007-09-20 23:11 38,739 --a------ C:\WINDOWS\system32\drivers\sonyhcc.sys 2007-09-20 23:11 3,654 --a------ C:\WINDOWS\system32\drivers\Sonyhcp.dll 2007-09-20 23:11 299,923 --a------ C:\WINDOWS\system32\drivers\sonyhcs.sys 2007-09-20 23:11 102,220 --a------ C:\WINDOWS\system32\drivers\sonypvs1.sys 2007-09-20 23:11 2007-09-20 23:10 115,960 --a------ C:\WINDOWS\system32\PxCpyI64.exe 2007-09-20 23:08 2007-09-16 22:53 2007-09-09 23:12 2007-09-07 16:40 2007-09-05 21:16 512,096 --a------ C:\WINDOWS\system32\drivers\amon.sys 2007-09-05 21:16 298,104 --a------ C:\WINDOWS\system32\imon.dll 2007-09-05 21:16 15,424 --a------ C:\WINDOWS\system32\drivers\nod32drv.sys . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2007-10-01 19:04 --------- d-------- C:\Documents and Settings\pierwszy\Dane aplikacji\Skype 2007-09-20 23:11 --------- d–h----- C:\Program Files\InstallShield Installation Information 2007-09-16 09:49 --------- d-------- C:\Program Files\Mozilla Thunderbird 2007-08-26 21:04 --------- d-------- C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy 2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\cdm.dll 2007-07-30 19:19 549720 --a------ C:\WINDOWS\system32\wuapi.dll 2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\wuauclt.exe 2007-07-30 19:19 43352 --a------ C:\WINDOWS\system32\wups2.dll 2007-07-30 19:19 325976 --a------ C:\WINDOWS\system32\wucltui.dll 2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\wuweb.dll 2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\wuaueng.dll 2007-07-30 19:18 33624 --a------ C:\WINDOWS\system32\wups.dll . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “nod32kui”=“C:\Program Files\Eset\nod32kui.exe” [2007-09-05 21:14] “HP Software Update”=“C:\Program Files\HP\HP Software Update\HPWuSchd2.exe” [2006-02-19 02:41] “!AVG Anti-Spyware”=“C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe” [2007-06-11 11:25] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “ctfmon.exe”=“C:\WINDOWS\system32\ctfmon.exe” [2004-08-04 00:44] [HKEY_USERS.default\software\microsoft\windows\currentversion\runonce] “FFTI”=C:\Documents and Settings\pierwszy\Dane aplikacji\Mozilla\Firefox\Profiles\x23ij4lz.default\extensions{B13721C7-F507-4982-B2E5-502A71474FED}\unins000.exe /VERYSILENT /SUPPRESSMSGBOXES /NORESTART C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\ HP Digital Imaging Monitor.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe [2006-02-19 04:21:22] C:\Documents and Settings\pierwszy\Menu Start\Programy\Autostart\ Picture Motion Browser Media Check Tool.lnk - C:\Program Files\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe [2007-09-20 23:09:12] C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\ HP Digital Imaging Monitor.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe [2006-02-19 04:21:22] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system] “DisableRegistryTools”=0 (0x0) [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe R3 PAC207;Trust WB-1400T Webcam;C:\WINDOWS\system32\DRIVERS\pfc027.sys S3 rtl8180;PLANET WL-8303 Wireless PCI Adapter NT Driver;C:\WINDOWS\system32\DRIVERS\RTL8180.SYS [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{976d8642-a237-11db-9ab9-806d6172696f}] AutoRun\command- E:\franklin.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{bd1e00ac-16b0-11dc-b589-000c6ece9f3a}] Auto\command- F:\RavMonE.exe e AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RavMonE.exe e [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{bd1e00ad-16b0-11dc-b589-000c6ece9f3a}] Auto\command- F:\RavMonE.exe e AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RavMonE.exe e *Newly Created Service* - AVGASCLN . ************************************************************************** catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-10-02 19:25:37 Windows 5.1.2600 Dodatek Service Pack 2 NTFS scanning hidden processes … scanning hidden autostart entries … scanning hidden files … scan completed successfully hidden files: 0 ************************************************************************** . Completion time: 2007-10-02 19:27:49 - machine was rebooted C:\ComboFix-quarantined-files.txt … 2007-10-02 19:27 . — E O F —

Gutek · 2 Październik 2007 17:51

Otwórz Notatnik i wklej w nim to:

Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG >>> kliknij dwa razy na utworzony plik FIX.REG i potwierdź dodanie do rejestru >>> restart.

zeed · 2 Październik 2007 18:27

OK. zrobione. Wcześniej przeskanowałem Nodem kompa- czyściutko

Czy to już jest tak jak ma być i jak tam moje logi czy wyglądają ok , czy jest jeszcze coś co może niepokoić???

pozdrawiam i dzięki

Gutek · 2 Październik 2007 22:08

Już powinno być Ok