Proszę o analizę loga

Dla specjalistów Bezpieczeństwo
#1

Przy włączonym necie co chwila wyskakuje komunikat o wykryciu wirusa Trojan.Rootkit.H (mks_vir) przeskanowałem komp nic nie wykrywa. Ostatnio zmieniła się strona startowa. Proszę o analizę loga:

Logfile of HijackThis v1.99.1

Scan saved at 21:52:23, on 2005-06-30

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\MKS\Bin\NetMonSV.exe

C:\WINDOWS\System32\dhcpclient.exe

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Program Files\MKS\Bin\mksmonsv.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\xpjava.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\autoclk.exe

C:\WINDOWS\System32\spoolvs.exe

C:\PROGRA~1\WANADOO\taskbaricon.exe

C:\Program Files\MKS\Bin\mks_menu.exe

C:\Program Files\Browser MOUSE\mouse32a.exe

C:\Program Files\D-Tools\daemon.exe

C:\WINDOWS\System32\RUNDLL32.EXE

C:\WINDOWS\System32\msprotect.exe

C:\WINDOWS\System32\spoolsvr.exe

C:\WINDOWS\TEMP\0013b131.exe

C:\Program Files\Common Files\Real\Update_OB\realsched.exe

C:\Program Files\Media Access\MediaAccK.exe

C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe

C:\WINDOWS\System32\wuamkop32.exe

C:\windows\temp\adware\fsg_4203.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\Program Files\Media Access\MediaAccess.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\Program Files\WinZip\WZQKPICK.EXE

C:\PROGRA~1\Webshots\webshots.scr

C:\Program Files\MKS\Bin\mks_scan.exe

C:\PROGRA~1\WANADOO\EspaceWanadoo.exe

C:\PROGRA~1\WANADOO\ComComp.exe

C:\PROGRA~1\WANADOO\Watch.exe

C:\Program Files\Common Files\Real\Update_OB\RealOneMessageCenter.exe

C:\WINDOWS\System32\paytime.exe

C:\WINDOWS\System32\Hkhlhk32.exe

C:\WINDOWS\System32\ap9h4qmo.exe

C:\Documents and Settings\Puczyńska\Pulpit\HijackThis.exe

C:\WINDOWS\System32\newdial1.exe

C:\WINDOWS\nmmst.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.95.218.172/index.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://szukaj.wp.pl

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.95.218.172/index.php

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.95.218.172/index.php

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.95.218.172/index.php

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.95.218.172/index.php

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.95.218.172/index.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada Plus wita Cie w Internecie

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

F2 - REG:system.ini: UserInit=userinit.exe,xpjava.exe

O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINDOWS\EliteToolBar\EliteToolBar version 60.dll

O4 - HKLM…\Run: [internat.exe] internat.exe

O4 - HKLM…\Run: [systemTray] SysTray.Exe

O4 - HKLM…\Run: [autoclk] autoclk.exe

O4 - HKLM…\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe

O4 - HKLM…\Run: [start extracting] spoolvs.exe

O4 - HKLM…\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\taskbaricon.exe

O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM…\Run: [nwiz] nwiz.exe /install

O4 - HKLM…\Run: [MKS_MENU] C:\Program Files\MKS\Bin\mks_menu.exe

O4 - HKLM…\Run: [ABREGMON] C:\Program Files\MKS\Bin\ABregmon.exe

O4 - HKLM…\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe

O4 - HKLM…\Run: [FLMOFFICE4DMOUSE] C:\Program Files\Browser MOUSE\mouse32a.exe

O4 - HKLM…\Run: [Microsoft Windows W32 Services] mssw32.exe

O4 - HKLM…\Run: [Fen Startups] fensvc32.exe

O4 - HKLM…\Run: [DAEMON Tools-1033] “C:\Program Files\D-Tools\daemon.exe” -lang 1033

O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM…\Run: [Microsoft Virus Protection] msprotect.exe

O4 - HKLM…\Run: [Vital Load Process] spoolsvr.exe

O4 - HKLM…\Run: [Device] C:\WINDOWS\TEMP\0013b131.exe

O4 - HKLM…\Run: [TkBellExe] “C:\Program Files\Common Files\Real\Update_OB\realsched.exe” -osboot

O4 - HKLM…\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe

O4 - HKLM…\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe

O4 - HKLM…\Run: [Microsoft Update] wuamkop32.exe

O4 - HKLM…\Run: [checkrun] C:\windows\system32\elitevxy32.exe

O4 - HKLM…\Run: [Trickler] “c:\windows\temp\adware\fsg_4203.exe”

O4 - HKLM…\Run: [PayTime] C:\WINDOWS\System32\paytime.exe

O4 - HKLM…\Run: [ap9h4qmo] C:\WINDOWS\System32\ap9h4qmo.exe

O4 - HKLM…\RunServices: [start extracting] spoolvs.exe

O4 - HKLM…\RunServices: [Microsoft Virus Protection] msprotect.exe

O4 - HKLM…\RunServices: [Vital Load Process] spoolsvr.exe

O4 - HKLM…\RunServices: [Microsoft Update] wuamkop32.exe

O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background

O4 - HKCU…\Run: [start extracting] spoolvs.exe

O4 - HKCU…\Run: [skype] “C:\Program Files\Skype\Phone\Skype.exe” /nosplash /minimized

O4 - HKCU…\Run: [Gadu-Gadu] “C:\Program Files\Gadu-Gadu\gg.exe” /tray

O4 - HKCU…\Run: [PayTime] C:\WINDOWS\System32\paytime.exe

O4 - HKCU…\Run: [sNInstall] C:\WINDOWS\tool2.exe

O4 - HKCU…\RunServices: [start extracting] spoolvs.exe

O4 - Startup: Webshots.lnk = C:\Program Files\Webshots\Launcher.exe

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE

O4 - Global Startup: Action Manager 32.lnk = C:\Program Files\ScannerU\AM32.exe

O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Translate into English - res://c:\program files\google\GoogleToolbar1.dll/cmtrans.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra ‘Tools’ menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O16 - DPF: Win32 Classes -

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - ms-its:mhtml:file://c:\nosuxxx.mht! http://www.kazaalite.pl/stats/xaw.chm::/bridge-c18.cab

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/62479 … dge-c5.cab

O16 - DPF: {54823A9D-6BAE-11D5-B519-0050BA2413EB} (ChkDVDCtl Class) - http://www.gocyberlink.com/winxp/CheckDVD.cab

O16 - DPF: {63DF43C2-469A-41F3-B119-17B1ACE8BB34} (Sony SNC-RZ30 Image Viewer) - http://www.cam.nett.pl/home/SonySncRz30View.cab

O17 - HKLM\System\CCS\Services\Tcpip…{070EBAF5-6111-4975-B798-EDB5FC17B80E}: NameServer = 194.204.152.34 217.98.63.164

O17 - HKLM\System\CS1\Services\Tcpip…{070EBAF5-6111-4975-B798-EDB5FC17B80E}: NameServer = 194.204.152.34 217.98.63.164

O21 - SSODL: Web Event Logger - {7CFBACFF-EE01-1231-ABDD-416592E5D639} - C:\WINDOWS\System32\Lmpdkgck.dll

O23 - Service: ArcaBit NetMonitor (ABNetMon) - ArcaBit sp. z o.o. - C:\Program Files\MKS\Bin\NetMonSV.exe

O23 - Service: Handling the DHCP requests (DHCP Client) - Unknown owner - C:\WINDOWS\System32\dhcpclient.exe

O23 - Service: MkSUpdateInt - MkS Sp. z o. o. - C:\Program Files\MKS\bin\MkSUpdateInt.exe

O23 - Service: MkS_Vir Monitor (MksVirMonSvc) - Unknown owner - C:\Program Files\MKS\Bin\mksmonsv.exe

O23 - Service: MkS_Scan - Unknown owner - C:\Program Files\MKS\Bin\mks_scan.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Windows 32-bit PnP Driver (winpnp32) - Unknown owner - C:\WINDOWS\System32\winpnp32.exe

#2

w logu jest kupa szitów. Proponuje skan:

Ad-aware SE Personal

http://dobreprogramy.pl/index.php?dz=2&id=107&t=55

Spybot Search & Destroy 1.4

http://dobreprogramy.pl/index.php?dz=2&id=188&t=55

CWShredder

http://www.dobreprogramy.pl/index.php?dz=2&id=657&t=55

PestPatrol

http://download.zonelabs.com/bin/free/p … olHome.exe

oraz skanery:

http://skaner.mks.com.pl/

http://kaspersky.pl/services.html?s=online_vir_chk

http://www.pandasoftware.com/activescan … ncipal.htm

usuń cały sył i wklej ponownie loga

#3

Wszystkie czynności wykonujesz w trybie awaryjnym [F8] w czasie bootowania komputera z wyłączonym przywracaniem systemu.

Użyj WWDC by zamknąć drogi robaków. Po zastosowaniu narzędzia już restart kompa do awaryjnego, najlepiej bez netu z przywracaniem na OFF.

Najlepiej używaj do usuwania plików KillBoxa.

Info:

Jeśli będą problemy, używasz KillBox.

http://www.bleepingcomputer.com/files/k … php&e=9777

Odpalasz Killboxa, zaznacz opcję Delete on Reboot następnie w polu Full Path of File to Delete wklej ścieżkę, np:

C:\Program Files\xxx\xxx.exe

następnie program będzie pytał o restart (oczywiście zgadzasz się).

:arrow: Kasacja ręczna plików:

C:\WINDOWS\System32\ spoolvs.exe

C:\WINDOWS\System32\ xpjava.exe

C:\WINDOWS\System32\ msprotect.exe

C:\WINDOWS\System32\ spoolsvr.exe

C:\WINDOWS\TEMP\ 0013b131.exe

C:\windows\temp\ adware\fsg_4203.exe + Opróżnij cały folder TEMP,

C:\Program Files\ Media Access \MediaAccK.exe - Tu kasacja całego folderu z zawartymi plikami,

C:\WINDOWS\System32\ wuamkop32.exe

C:\WINDOWS\System32\ paytime.exe

C:\WINDOWS\System32\ Hkhlhk32.exe

C:\WINDOWS\System32\ ap9h4qmo.exe

C:\WINDOWS\System32\ newdial1.exe

C:\WINDOWS\ nmmst.exe

C:\WINDOWS\ EliteToolBar\EliteToolBar version 60.dll - Uprzednio poszukaj, czy ten program jest w Dodaj/Usuń,

C:\WINDOWS\System32\ Lmpdkgck.dll

C:\WINDOWS\System32\ winpnp32.exe

Wyszukujesz na dysku plik mssw32.exe i także kasujesz,

fensvc32.exe - ten także,

msprotect.exe - jak wyżej,

tool2.exe.

O

Kasacja wpisów z Hijacka:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.95.218.172/index.php

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.95.218.172/index.php

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.95.218.172/index.php

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.95.218.172/index.php

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.95.218.172/index.php

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.95.218.172/index.php

Kasacja:

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

   	O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

Kasacja kontrolek ActiveX:

O16 - DPF: Win32 Classes -

   	O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - ms-its:mhtml:file://c:\nosuxxx.mht!http://www.kazaalite.pl/stats/xaw.chm::/bridg e-c18.cab

   	O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/6247971CanadaInc/ie/bridge-c5.cab

   	O16 - DPF: {54823A9D-6BAE-11D5-B519-0050BA2413EB} (ChkDVDCtl Class) - http://www.gocyberlink.com/winxp/CheckDVD.cab

Syfu co niemiara.

Główne powody? Brak SP2, łatek, firewalla, rozwagi + używanie IE (bez SP i rozwagi) do tego.

Po czynnościach bezwzględny skan programami anty i skanerami online.

Linki znajdziesz TU oraz TU.

I wtedy nowy log.