Problem z Rootkit.H Co tu mam wyeliminować?Proszę o pomoc!

marcell · 20 Wrzesień 2006 10:54

Logfile of HijackThis v1.99.1 Scan saved at 12:35:05, on 2006-09-20 Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\ArcaVIR\ArcaVir\Bin\NetMonSv.exe C:\ArcaVIR\ArcaVir\Bin\avmonsv.exe C:\WINDOWS\System32\nvsvc32.exe C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\internal.exe C:\WINDOWS\system32\ntvdm.exe C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe C:\ArcaVIR\ArcaVir\Bin\arcascan.exe C:\ArcaVIR\ArcaVir\Bin\ABmenu.exe C:\PROGRA~1\Wanadoo\TaskbarIcon.exe C:\PROGRA~1\SPYCLE~1\SpyWatcher.exe C:\Program Files\Gadu-Gadu\gg.exe C:\Program Files\Skype\Phone\Skype.exe C:\WINDOWS\System32\directxclick.exe C:\Program Files\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe C:\Program Files\PC-TV\WinManager\WinManager.exe C:\Program Files\Wanadoo\EspaceWanadoo.exe C:\Program Files\Wanadoo\ComComp.exe C:\Program Files\Wanadoo\Watch.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\WINDOWS\System32\mysvcc.exe C:\DOCUME~1\Marcin\USTAWI~1\Temp\Rar$EX00.266\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.interia.pl R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada Plus wita Cie w Internecie R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza F3 - REG:win.ini: load=C:\YDPDict\watch.exe F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,msejavaupdt32.exe O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM…\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM…\Run: [nwiz] nwiz.exe /install O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM…\Run: [RemoteControl] “C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe” O4 - HKLM…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM…\Run: [MSN Messenger] msnimsgr.exe O4 - HKLM…\Run: [Windows ASN3 Services] ratz.exe O4 - HKLM…\Run: [sysctl32] sysctl.exe O4 - HKLM…\Run: [i downloaded pirated Software from P2P] C:\WINDOWS\System32\0106.exe O4 - HKLM…\Run: [012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678912345678] C:\Program Files\user32.exe O4 - HKLM…\Run: [msconfig38] mssvcc.exe O4 - HKLM…\Run: [secures23] mssecure.exe O4 - HKLM…\Run: [winsystems25] winsystems.exe O4 - HKLM…\Run: [Microsoft explorer Update] internal.exe O4 - HKLM…\Run: [ABmenu] C:\ArcaVIR\ArcaVir\Bin\ABmenu.exe O4 - HKLM…\Run: [msvcc25] svcchost.exe O4 - HKLM…\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe O4 - HKLM…\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe O4 - HKLM…\Run: [sunServer] C:\Program Files\Sunbelt Software\CounterSpy\Consumer\sunserver.exe O4 - HKLM…\Run: [spy Watcher] “C:\PROGRA~1\SPYCLE~1\SpyWatcher.exe” -S O4 - HKLM…\Run: [Microsoft Directx click] directxclick.exe O4 - HKLM…\RunServices: [MSN Messenger] msnimsgr.exe O4 - HKLM…\RunServices: [Windows ASN3 Services] ratz.exe O4 - HKLM…\RunServices: [sysctl32] sysctl.exe O4 - HKLM…\RunServices: [Windows ASN Services] qhv.exe O4 - HKLM…\RunServices: [msconfig38] mssvcc.exe O4 - HKLM…\RunServices: [secures23] mssecure.exe O4 - HKLM…\RunServices: [winsystems25] winsystems.exe O4 - HKLM…\RunServices: [Microsoft explorer Update] internal.exe O4 - HKLM…\RunServices: [msvcc25] svcchost.exe O4 - HKLM…\RunServices: [Microsoft Directx click] directxclick.exe O4 - HKLM…\RunServices: [Microsoft Service] cjdvbcbot.exe O4 - HKLM…\RunServices: [mysvcig38] mysvcc.exe O4 - HKLM…\RunOnce: [Microsoft explorer Update] internal.exe O4 - HKCU…\Run: [MSN Messenger] msnimsgr.exe O4 - HKCU…\Run: [NBJ] “C:\Program Files\Ahead\Nero BackItUp\NBJ.exe” O4 - HKCU…\Run: [MSKAGENTEXE] C:\PROGRA~1\McAfee\SPAMKI~1\MSKAgent.exe O4 - HKCU…\Run: [Gadu-Gadu] “C:\Program Files\Gadu-Gadu\gg.exe” /tray O4 - HKCU…\Run: [Windows Configuration GUI] systemconfig32.exe O4 - HKCU…\Run: [] mozilla.exe O4 - HKCU…\Run: [WinMedia] C:\Documents2560.exe O4 - HKCU…\Run: [ls4ss] C:\WINDOWS\system32\ls4ss.exe O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background O4 - HKCU…\Run: [skype] “C:\Program Files\Skype\Phone\Skype.exe” /nosplash /minimized O4 - HKCU…\Run: [Microsoft explorer Update] internal.exe O4 - HKCU…\Run: [Ms Java Update For Windows NT/XP] msejavaupdt32.exe O4 - HKCU…\Run: [Microsoft Directx click] directxclick.exe O4 - HKCU…\RunServices: [Windows Configuration GUI] systemconfig32.exe O4 - HKCU…\RunServices: [] mozilla.exe O4 - HKCU…\RunServices: [Microsoft Directx click] directxclick.exe O4 - HKCU…\RunOnce: [Microsoft explorer Update] internal.exe O4 - Startup: PowerReg Scheduler.exe O4 - Global Startup: Picture Package VCD Maker.lnk = ? O4 - Global Startup: WinManager.lnk = C:\Program Files\PC-TV\WinManager\WinManager.exe O8 - Extra context menu item: Download All by FlashGet - C:\Program Files\FlashGet\jc_all.htm O8 - Extra context menu item: Download using FlashGet - C:\Program Files\FlashGet\jc_link.htm O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra ‘Tools’ menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/share … insctl.cab O16 - DPF: {FE5B9F54-7764-4C01-89F0-4862601EE954} (DigWebHelper Class) - http://photos.msn.com/resources/neutral … 10,0,910,0 O17 - HKLM\System\CCS\Services\Tcpip…{92179E11-369E-4A1F-827C-9C2A0C0D4FED}: NameServer = 194.204.152.34 217.98.63.164 O23 - Service: ArcaBit NetMonitor (ABNetMon) - ArcaBit sp. z o.o. - C:\ArcaVIR\ArcaVir\Bin\NetMonSv.exe O23 - Service: ArcaVir Monitor (ArcaMonSvc) - ArcaBit - C:\ArcaVIR\ArcaVir\Bin\avmonsv.exe O23 - Service: ArcaScan - ArcaBit - C:\ArcaVIR\ArcaVir\Bin\arcascan.exe O23 - Service: arcaserv - ArcaBit Sp. z o. o. - C:\ArcaVIR\ArcaVir\bin\arcaserv.exe O23 - Service: Windows Genuine Advantage Registration Service (net32a) - Unknown owner - C:\WINDOWS\System32\net32a.exe (file missing) O23 - Service: netconf32 - Unknown owner - C:\WINDOWS\netconf32.exe (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe O23 - Service: Windows Services Configuration - Unknown owner - C:\WINDOWS\system32\lsvss.exe (file missing) O23 - Service: Microsoft Windows Update (Windows Update) - Unknown owner - C:\WINDOWS\winupdate32.exe (file missing)

adam9870 · 20 Wrzesień 2006 13:54

Jest bardzo dużo syfu.

Użyj Windows Worms Doors Cleanera zmień znaczki z disable na enable (wszystkie znaczki maja być na zielono, jezeli któryś z nich bedzie na żółto to go zostaw).

Na początek proszę użyć narzędzia SmitFraudFix (w awaryjnym w opcji 2)

Pobierz program Ewido zrób update i przeskanuj.

Myślę, że te programy usunął chociaż część syfu. Po wszystkim zajesz nowy log z HijackThis oraz SilentRunners.

Gdzie jest wykrywany ten Rootkit.H (dokładna ścieżka!). Jeżeli to jakiś plik z rozszeżeniem .sys to daj także dwa logi z Gmera z takimi ustawieniami:

1. Zakładka Rootkit -> Zaznacz wszystko oprócz Pokaż wszystko -> Kliknij Szukaj -> Po skończeniu Kopiuj i wklej do notatnika i zapisz (plik>>>zapisz jako)

2. Zakładka Rootkit -> Zaznacz tylko Pokaż wszystko oraz Usługi -> Kliknij Szukaj -> Po skończeniu Kopiuj i wklej do notatnika i zapisz (plik>>>zapisz jako)

Pliki .txt z logami z Gmera umieść na np. http://rapidshare.de/