Problem z WINFILE.exe

xotor · 9 Marzec 2010 09:40

Witam,

Ostatnio mój brat cioteczny przyniósł mi mp3 abym nagrał mu jakąś muzykę, a ja z przyzwyczajenia przejrzalem co tam ma. I nagle moim oczom ukazał się jakiś ‘folder’ to bez zastanowienia otworzyłem go. Okazało się jednak, że to był plik ‘.exe’ z ikonką folderu. Od razu chciałem wyłączyć proces tego pliku przez ctrl+alt+del, ale cóż to? ‘Menadżer zadan został wyłączony przez administratora’. Czy ktoś wie jak się tego pozbyć?

Skan z Hijackthis:

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Ahead\InCD\InCDsrv.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\KMaestro\KMaestro.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\A4Tech\Mouse\Amoumain.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Program Files\LogMeIn Hamachi\hamachi-2.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\WINDOWS\system32\PnkBstrA.exe

C:\WINDOWS\system32\PnkBstrB.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Opera\opera.exe

C:\DOCUME~1\ppp\USTAWI~1\Temp\wintylt.exe

C:\DOCUME~1\ppp\USTAWI~1\Temp\winsycfqo.exe

C:\DOCUME~1\ppp\USTAWI~1\Temp\vbkxq.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe


R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 231.231.221.33:11123

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: SnagIt Toolbar Loader - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Program Files\TechSmith\SnagIt 9\SnagItBHO.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll

O2 - BHO: Expressivo - {85F685C3-20D9-4943-95E4-EB4224056C3F} - C:\Program Files\ivo\Expressivoewa\integr\ih-iexplorer\IH_iexplorer.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.5.4723.1820\swg.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O2 - BHO: IEPluginBHO - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - (no file)

O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Program Files\TechSmith\SnagIt 9\SnagItIEAddin.dll

O3 - Toolbar: Expressivo - {85F685C3-20D9-4943-95E4-EB4224056C3F} - C:\Program Files\ivo\Expressivoewa\integr\ih-iexplorer\IH_iexplorer.dll

O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll

O4 - HKLM\..\Run: [BtcMaestro] "C:\Program Files\KMaestro\KMaestro.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: Skrót do Amoumain.lnk = C:\Program Files\A4Tech\Mouse\Amoumain.exe

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.srtest.com/srl_bin/sysreqlab_srl.cab

O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262F} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/3.0.0.4/srl_bin/sysreqlab_nvd.cab

O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.systemrequirementslab.com/sysreqlab2.cab

O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe

O23 - Service: Urządzenie mobilne Apple (Apple Mobile Device) - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: dlgx1 - Unknown owner - C:\WINDOWS\system32\dlg.exe (file missing)

O23 - Service: Usługa Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: LogMeIn Hamachi 2.0 Tunneling Engine (Hamachi2Svc) - LogMeIn Inc. - C:\Program Files\LogMeIn Hamachi\hamachi-2.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe

O23 - Service: ServiceLayer - Nokia - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe


--

End of file - 6969 bytes

Domyślam się, że chodzi głównie o 3 pliki dokładnie to te:

C:\DOCUME~1\ppp\USTAWI~1\Temp\wintylt.exe

C:\DOCUME~1\ppp\USTAWI~1\Temp\winsycfqo.exe

C:\DOCUME~1\ppp\USTAWI~1\Temp\vbkxq.exe

Próbowałem je usuwać, ale nic z tego… ciągle wracają.

Użyłem również ComboFixa moge dać scan jesli potrzeba.

jessica · 9 Marzec 2010 10:53

Masz wirusa zarażającego wszystkie pliki .exe!

Prawdopodobnie SALITY/SECTOR (ewentualnie VIRUT).

Użyj >http://www.dobreprogramy.pl/DrWEB-CureIt,Program,Windows,12976.html

Napisz, co wykrył.

Linki zapasowe (już ze zmienioną nazwą), jeśli oficjalna strona będzie zablokowana przez wirusa >http://www.load.to/NgQs8AtlkG/launch.com

>http://www.zshare.net/download/7343719520109dad/

>http://www.sendspace.pl/file/423882c759f3af5052baabe

>http://www.turboupload.com/5vxbyx3nwqky/launch.com.html

Zapoznaj się z tym tematem: http://forum.dobreprogramy.pl/usuwanie-znanych-wirusow-sality-jeefo-parite-virut-itp-t370365.html

jessi

xotor · 9 Marzec 2010 19:49

Raczej loga nie dam bo waży +55mb, ale nie mylileś/aś się co do tego, że jest to ‘Sality’

Niby pousuwało. Sciągnąłem jeszcze te ‘szczepionki’ na to i zaraz dam znać jak zadziałało

jessica · 9 Marzec 2010 20:27

Dlatego nawet nie prosiłam o raport z “Dr.Web” - bo wiem, jak jest ogromny.

EDIT:

Skanowania “Dr.Web”, “rmsality” i “skanera online” powtarzaj dotąd, aż nic nie będzie wykrywane.

Jeśli zostanie choćby jeden zarażony obiekt, to infekcja błyskawicznie się odrodzi.

Potem, dla spokoju sumienia, daj tu log z ComboFixa

jessi

xotor · 9 Marzec 2010 20:30

Ok, Zrobiłem wszystko co miałem zrobić. Niby pousuwało, ale nadal przy ctrl + alt + del jest błąd “Menadżer zadan został zablokowany przez administratora”.

Chyba bezcelowa zabawa… Format chyba najlepsze rozwiązanie

Ciagłe pojawiają się nowe pliki o nowych, róznych nazwach w C:\DOCUME~1\ppp\USTAWI~1\Temp\ zakwalifikowane przez Security Task Manager za niebezpieczne ;/

jessica · 9 Marzec 2010 20:34

Skanowania trzeba powtarzać dotąd, aż nic nie będzie wykrywane (patrz mój poprzedni post)

Ale jeśli wybierzesz sformatowanie, to będzie Twój wybór.

Ja sama nie wiem, co bym wybrała, będąc w Twojej sytuacji.

jessi