Problem z :worm win32 netsky detected

Dla specjalistów Bezpieczeństwo
#1

Wyskakuje mi taka chmurka “worm win32 netsky detected[…]” z traya, z jakiejś ikonki (krzyżyk w czerwonym kółku).

Pisze mi żebym zabezpieczył komputer.

Ściągnęly i się same zainstalowały jakieś programy:

Error Cleaner, Privacy Protector, Spyware&Malware Protection, SysCleaner.

Domyślam sie że te programy to reszta wirusa.

Mam eset smart security i nic nie wykrył.

oto logi z hijackthisa:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 02:49:28, on 2007-12-29

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

D:\nod32\ESET NOD32 Antivirus\ekrn.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

D:\nod32\ESET NOD32 Antivirus\egui.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Mozilla Firefox\firefox.exe

D:\HijackThis\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = IE

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: BDEX System - {986F4076-F780-4FD2-93C7-6A8C9DAFD7B0} - C:\WINDOWS\domnftwqkt.dll

O2 - BHO: gFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - D:\FlashGet\getflash.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\FlashGet\fgiebar.dll

O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL

O4 - HKLM\..\Run: [egui] "D:\nod32\ESET NOD32 Antivirus\egui.exe" /hide /waitservice

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKCU\..\Run: [Gadu-Gadu] "D:\Gadu-Gadu\gg.exe" /tray

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: Download all links using BitComet - res://D:\BitComet\BitComet.exe/AddAllLink.htm

O8 - Extra context menu item: Download link using &BitComet - res://D:\BitComet\BitComet.exe/AddLink.htm

O8 - Extra context menu item: Download with Rapget - C:\Documents and Settings\Łukasz\Pulpit\rapget126\rapget.htm

O8 - Extra context menu item: Ściągnij przy pomocy FlashGet'a - D:\FlashGet\jc_link.htm

O8 - Extra context menu item: Ściągnij wszystko przy pomocy FlashGet'a - D:\FlashGet\jc_all.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Absolute Poker - {13C1DBF6-7535-495c-91F6-8C13714ED485} - C:\Documents and Settings\Łukasz\Menu Start\Programy\Absolute Poker\Absolute Poker.lnk

O9 - Extra 'Tools' menuitem: Absolute Poker - {13C1DBF6-7535-495c-91F6-8C13714ED485} - C:\Documents and Settings\Łukasz\Menu Start\Programy\Absolute Poker\Absolute Poker.lnk

O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - D:\Titan Poker\casino.exe

O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - D:\Titan Poker\casino.exe

O9 - Extra button: PalTalk - {4EAFEF58-EEFA-4116-983D-03B49BCBFFFE} - d:\Paltalk Messenger\Paltalk.exe

O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - d:\Partypoker\PartyPoker\RunApp.exe

O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - d:\Partypoker\PartyPoker\RunApp.exe

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\FlashGet\flashget.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O15 - Trusted Zone: http://mks.com.pl

O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C5} (GameDesire Snooker) - http://67.15.101.3/g_bin/pl/snooker_2_0_0_28.cab

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O21 - SSODL: alxvdvm - {33FDBAF5-BD87-45E6-93E9-041A61ADC607} - C:\WINDOWS\alxvdvm.dll

O21 - SSODL: bvtqfvx - {EE00A818-8208-4ECB-A4C9-2148A2A4D4A7} - C:\WINDOWS\bvtqfvx.dll

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)

O23 - Service: Eset HTTP Server (EhttpSrv) - Unknown owner - D:\nod32\ESET NOD32 Antivirus\EHttpSrv.exe

O23 - Service: Eset Service (ekrn) - ESET - D:\nod32\ESET NOD32 Antivirus\ekrn.exe

O23 - Service: NBService - Nero AG - D:\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe


--

End of file - 6235 bytes
#2 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2

O2 - BHO: BDEX System - {986F4076-F780-4FD2-93C7-6A8C9DAFD7B0} - C:\WINDOWS\domnftwqkt.dll

O21 - SSODL: alxvdvm - {33FDBAF5-BD87-45E6-93E9-041A61ADC607} - C:\WINDOWS\alxvdvm.dll			

O21 - SSODL: bvtqfvx - {EE00A818-8208-4ECB-A4C9-2148A2A4D4A7} - C:\WINDOWS\bvtqfvx.dll

usuń wpisy HJT

Użyj SmitFraudFix wybierz opcji nr 2 , oczywiście w trybie awaryjnym i po tym - Daj log z ComboFix

#3

Usunąłem podane wpisy za pomocą HJ.

Użyłem smitfraudfix w trybie awaryjnym.

Combofixa chciałem użyć w awaryjnym ale coś nie mógł zresetować kompa a było to wymagane, więc combofixa włączyłem w normalnym trybie.

Zauważyłem że smitfraudfi usunął mi 3 programy , lecz jeden został (lub powrócił): SysCleaner.

Oto log z combofixa:

#4

Zapomniałem o logu ze smita.

Widzę już że on nie usunął tego 4 programu syscleaner.

Oto kod z smitfraudfix:

SmitFraudFix v2.274


Scan done at 18:55:19.06, 2007-12-29

Run from D:\SmitfraudFix

OS: Microsoft Windows XP [Wersja 5.1.2600] - Windows_NT

The filesystem type is NTFS

Fix run in safe mode


»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!Attention, following keys are not inevitably infected!


SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Killing process



»»»»»»»»»»»»»»»»»»»»»»»» hosts



»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix


S!Ri's WS2Fix: LSP not Found.



»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix


GenericRenosFix by S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


C:\WINDOWS\.protected Deleted

C:\DOCUME~1\UKASZ~1\Pulpit\Error Cleaner.url Deleted

C:\DOCUME~1\UKASZ~1\Pulpit\Privacy Protector.url Deleted

C:\DOCUME~1\UKASZ~1\Pulpit\Spyware?Malware Protection.url Deleted

C:\DOCUME~1\UKASZ~1\Ulubione\Error Cleaner.url Deleted

C:\DOCUME~1\UKASZ~1\Ulubione\Privacy Protector.url Deleted

C:\DOCUME~1\UKASZ~1\Ulubione\Spyware?Malware Protection.url Deleted


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix


IEDFix.exe by S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» DNS


HKLM\SYSTEM\CCS\Services\Tcpip\..\{0F8B0AA8-3817-487A-9B76-369F43B0F39F}: DhcpNameServer=217.172.224.92 89.228.7.226

HKLM\SYSTEM\CS1\Services\Tcpip\..\{0F8B0AA8-3817-487A-9B76-369F43B0F39F}: DhcpNameServer=217.172.224.92 89.228.7.226

HKLM\SYSTEM\CS2\Services\Tcpip\..\{0F8B0AA8-3817-487A-9B76-369F43B0F39F}: DhcpNameServer=217.172.224.92 89.228.7.226

HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=217.172.224.92 89.228.7.226

HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=217.172.224.92 89.228.7.226

HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=217.172.224.92 89.228.7.226



»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files



»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!Attention, following keys are not inevitably infected!


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""



»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning


Registry Cleaning done. 


»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!Attention, following keys are not inevitably infected!


SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll



»»»»»»»»»»»»»»»»»»»»»»»» End


[/code]
#5

Usuwa to co jest podejrzane.

Wklej do Notatnika:

File::

C:\WINDOWS\alxvdvm.dll

C:\WINDOWS\bvtqfvx.dll

C:\WINDOWS\emlkdvo.dll

C:\WINDOWS\fvkwdrt.exe


Folder::

C:\Program Files\MediaSupplyCodec


Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku –>88953CFScript-createdbyMiekiemoes.gif

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: ** Qoobox**.

Po tym nowy log z Combo

#6

zrobione.

#7

Wklej do Notatnika:

Folder::

C:\Program Files\SysCleaner

>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku –>88953CFScript-createdbyMiekiemoes.gif

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: ** Qoobox**.

#8

Straciłem neta na laptopie.

Ten zawirusowany komputer to pc.

DO niego szedł internet jedną sieciówką a wychodził druga do routera i bezprzewodowo do laptopa.

Wszystko śmigało ok, nawet jak był ten wir.

Po usunięciu wirusa nie może się laptop połączyć, patrzyłem niby wszystko jest skonfigurowane jak było ale nie działa.

Wykrywa na laptopie sieć ale jest napisane “Ustawienia dla sieci zapisane na tym komputerze nie są zgodne z wymaganiami sieci.”

#9

Użyj na tym kompie WinSockFix 1.1.0.13 - http://www.softpedia.com/get/Tweak/Netw … kFix.shtml

#10

zrobione i nic