Problem z icwsetup.exe

Dla specjalistów Bezpieczeństwo
#1

Witam mam problem z tym plikiem icwsetup.exe wykrywa mi w nim rootkita. Nie wiem już jak go usunąć ;/ Proszę o pomoc.

C:\Documents and Settings\All Users\Application Data\Microsoft\Shortcuts\icwsetup.exe - to gdzie ten plik sie znajduje.

Patrzyłem bo był temat podobny, ale tamto zbytnio nic mi nie pomogło.

Log z Hijack’a

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:09:11, on 09-07-06

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

D:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\Winamp\winampa.exe

C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe

C:\PROGRA~1\NEOSTR~1\CnxMon.exe

C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe

D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\system32\Fmctrl.EXE

D:\Gadu-Gadu\gg.exe

D:\Program Files\DAEMON Tools Lite\daemon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\Neostrada TP\NeostradaTP.exe

C:\Program Files\Neostrada TP\ComComp.exe

C:\Program Files\Neostrada TP\Watch.exe

D:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\svchost.exe

D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

D:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\cmd.exe

D:\Sciagnięcia z neta\HiJackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neostrada.pl

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL

O2 - BHO: bignetdaddy - {f5082f62-b394-440e-cb2a-d6549a2033b5} - C:\WINDOWS\system32\nsl4B.dll

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\NEOSTR~1\CnxMon.exe

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe

O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [FmctrlTray] Fmctrl.EXE

O4 - HKLM\..\Run: [Internet Connection Wizard Setup Tool] C:\Program Files\Internet Explorer\Connection Wizard\icwsetup.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [Gadu-Gadu] "D:\Gadu-Gadu\gg.exe" /tray

O4 - HKCU\..\Run: [DAEMON Tools Lite] "D:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun

O4 - Startup: rncsys32.exe

O4 - Global Startup: icwsetup.exe

O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{53E2BF5D-3C63-4BEE-BB7F-71B9417B195B}: NameServer = 194.204.159.1 217.98.63.164

O17 - HKLM\System\CS1\Services\Tcpip\..\{53E2BF5D-3C63-4BEE-BB7F-71B9417B195B}: NameServer = 194.204.159.1 217.98.63.164

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Usługa inteligentnego transferu w tle (BITS) - Unknown owner - C:\WINDOWS\

O23 - Service: Aktualizacje automatyczne (wuauserv) - Unknown owner - C:\WINDOWS\


--

End of file - 4370 bytes

A drugim problemem jest plik w system32\drivers\4a575d0f.sys też zbytnio nie wiem jak go usunąć ;<

Prosze o dobrą pomoc :stuck_out_tongue:

edit# log z combofixa

http://www.wklej.org/id/117122/

#2

Ten pierwszy to robak zwykły, do rootkita bardziej pasuje ten numerkowy plik.

Pobierz i uruchom ComboFix, wklej log

viewtopic.php?p=1170959#p1170959

Podczas pobierania i skanu nim wyłącz antywirusa i zapory.

Log wklej na http://www.wklej.org a tutaj link, nie przez code.

Edit.

No już starszego próchna to wyciągnąć nie mogłeś? Miałeś pobrać ComboFix od nowa, i masz to zrobić bo nie wiem jak ComboFix z zredukowanej formie obsłuży skrypt.

Przeskanuj na http://www.virustotal.com/pl/ ten plik i pokaż raport

Wklej do notatnika

Zapisz jako CFScript.txt. Przeciągasz na ikonę ComboFix’a. Wklejasz powstały log.

Nie edytuj postów tylko pisz kolejne, bo nie wiadomo czy zaglądać do tematu.

#3

Log przed usuwaniem z combofixa:

http://www.wklej.org/id/117326/

I po usuwaniu:

http://www.wklej.org/id/117328/

A co do tego pliku co miałem go przeskanować na virtualtotal to jak próbowałem go wkleić to pisało, że nie ma takiego pliku bo wczoraj też to robiłem i był tylko nie zapisałem tego, ale był czysty raczej bo nic nie wykazało.

#4

Tak czy owak ComboFix usunął ten plik.

Nic tutaj już nie widać.

Start => Uruchom => wpisz Combofix /u lub ręcznie usuń folder C:\Qoobox i instalkę Combofix z dysku.

Wyłącz na chwilę przywracanie systemu.

http://support.microsoft.com/kb/310405/pll

Wykonaj pełny skan Dr.WEB CureIt, jeśli coś znajdzie - lecz/usuń i wklej log.

http://dobreprogramy.pl/index.php?dz=2& … WEB+CureIt!

Przeczyść dysk i rejestr CCleaner’em

http://dobreprogramy.pl/index.php?dz=2&id=1125&CCleaner