Problem z paskudztwem o nazwie: moneyisunlimited

Dla specjalistów Bezpieczeństwo
#1

mam problem z czymś o nazwie “moneyisunlimited” … przydała by się pomoc …

Objawy:

-adress strony startowej w explorerze zmienił się na moneyisunlimited.com … przy czym sama strona startowa nie zmieniła się (więc ne odrazu to zauwarzyłem) … w opcjach internetowych przyciski zmiany stronny startowej są nieaktywne

-nie mam dostępu do menadżera zadań ani wiersza poleceń.

-na dysku C: znalazłem New Folder (rozmiar 105kb, typ : Aplikacja?) … nie można go otworzyć a po usunięciu … po pewnym czasie pojawia się znowu. Pojawił się też na innych partycjach.

-najbardziej uciążliwym objawem jak do tej pory jest samouruchamianie się strony startowej … im dłużej system pracuje tym częściej wyskakuje strona startowa (jednocześnie uruchamia sie kilka do kilkunastu kopi tej strony) … co dość skutecznie utrudnia pracę

Co do tej pory zrobiłem :

-skan i oczyszcznie programem antywirusowym avast! Antivirus (uaktualniony)

-skan i oczyszcznie programami :Spybot - Search & Destroy, AVG Anti-Spyware, Ad-Aware SE Professional (wszystkie uaktualnione wersje)

  • CCleaner (z braku lepszych pomysłów)

-problem pozostał … przeskanowałem system Trend Micro HijackThis v2.0.2 .

Zamieszczam log :

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 22:16:34, on 2007-09-21

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Boot mode: Normal


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\WINDOWS\explorer.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\System32\RunDll32.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\svchost.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\VIA\RAID\raid_tool.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\WINDOWS\System32\tcpsvcs.exe

C:\WINDOWS\lsass.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://moneyisunlimited.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://moneyisunlimited.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://moneyisunlimited.com

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://moneyisunlimited.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\system\lsass.exe

F2 - REG:system.ini: UserInit=userinit.exe,C:\WINDOWS\system\lsass.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\SPYBOT~1\SDHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [Task Manager] C:\WINDOWS\svhost32.exe

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [SVCHOST] C:\WINDOWS\svchost.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: VIA RAID TOOL.lnk = C:\Program Files\VIA\RAID\raid_tool.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by106fd.bay106.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {59131903-4A33-40D5-80C2-5242DD365AB3} - http://www.swissquake.ch/chumbalum-soft/files/MS3DViewerOCX.cab

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe


--

End of file - 3776 bytes

… jeśli problem można rozwiązać przy urzyciu jakiegoś programu, prosił bym o nazwę i ewentułalnie link

… jeśli problemu nie sposob rozwiązać programem i trzeba samemu zmieniać lub usuwać jakieś pliki … prosił bym o jasen i bardzo szczegułowe instrukcje … bo kompletnie się na tym nieznam

… byłbym również wdzięczny za informacje dotyczące tego paskudztwa: w jaki sposób się dostaje do systemu? czy może powodować jakieś powarzniejsze uszkodzenia w systemie poza opisanymi objawami ? czy zainfekowany czymś takim komputer może łaczyć się bezpiecznie z internetem ? dlaczego moje programy nie wykryły i nie usuneły problemu automatycznie ?

#2

Po prostu masz zaśmieconego kompa. Dużo szpiegów i ad-aware “avast” to pseudo antywirus wiec sie nie dziw zmień to jak najszybciej. A to że zmieniło Ci strone starową nie znaczy że nazwa wirusa jest taka sama jak strony.

#3

W trybie awaryjnym (F8 podczas startu komputera) usuń nastepujące wpisy:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://moneyisunlimited.com 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://moneyisunlimited.com 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://moneyisunlimited.com 

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://moneyisunlimited.com

C:\WINDOWS\svchost.exe

C:\WINDOWS\lsass.exe

F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\system\lsass.exe

O4 - HKLM\..\Run: [SVCHOST] C:\WINDOWS\svchost.exe

O4 - HKLM\..\Run: [Task Manager] C:\WINDOWS\svhost32.exe

O7 -HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

Jak to zrobisz to odrazu log z HT to zobacze co dalej…

#4

Daj log z ComboFix

Pobierz program SDFix

#5

hmm… być może masz rację … znalazłem opis podobnego przypadku(tyle że bez wyskakujących

stron) na innym forum http://forum.idg.pl/lofiversion/index.php/t104810.htm … koleś też urzywał avasta … z tą różnicą że ja obydwa te (ad-ware i avasta) programy

zainstalowałem po fakcie. Szczerze mówiąc to najpowarzniejsza infekcja z jaką miałem do czynienia od ponad

2 lat, wcześniej urzywałem Internet Security (ale zgubiłem) potem Nortona … ale był tak wkurzający że jeszcze tego samego dnia go wyinstalowałem. Chętnie skorzystam z twojej rady i zmienie te “pseudo antywirusy” na coś innego … jakieś sugestje ?

Report SDFix po usnięciu.

SDFix: Version 1.106


Run by mute on 2007-09-22 at 02:39


Microsoft Windows XP [Wersja 5.1.2600]


Running From: C:\SDFix


Safe Mode:

Checking Services: 



Restoring Windows Registry Values

Restoring Windows Default Hosts File


Rebooting...



Normal Mode:

Checking Files: 


Trojan Files Found:


C:\WINDOWS\system\lsass.exe - Deleted




Removing Temp Files...


ADS Check:


C:\WINDOWS

No streams found. 


C:\WINDOWS\system32

No streams found. 


C:\WINDOWS\system32\svchost.exe

No streams found.


C:\WINDOWS\system32\ntoskrnl.exe

No streams found.




                                 Final Check:


Remaining Services:

------------------





Authorized Application Key Export:


[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]


[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]


Remaining Files:

---------------


File Backups: - C:\SDFix\backups\backups.zip


Files with Hidden Attributes:


C:\WINDOWS\system32\config\SAM.tmp.LOG

C:\WINDOWS\system32\config\SECURITY.tmp.LOG


Finished!

Wygląda na to że wszystko wróciło do normy … Fix usuną resztę:

C:\new folder.exe

C:\WINDOWS\lsass.exe

C:\WINDOWS\svchost.exe

C:\WINDOWS\system\svchost.exe

… z logu ComboFixa wynika że od momentu zainstalowania się tego Trojan do momentu kiedy się zorjętowałem że go mam (zainstalowałem antywiusa) … mineły 3 dni …

:palacz: taaa … grunt to być czujnym …

wielkie dzięki za pomoc

#6

A przede wszystkim: gdzie log z ComboFix, o który prosił @Gutek2222?

jessi

#7

daruj sobie z COMBO potrzebny jest log