Proszę o sprawdzenie loga i pomoc. To chyba MALWARE

StanleyP · 13 Listopad 2007 10:59

Od kilku miesięcy pracuję na Operze, ale mam zainstalowanego IE7. Jednak przykleił mi się nie wiem skąd jakiś syf. To chyba “malware”. Identyfikuje się jako “Security Toolbar 7.1” i wywala dymki z zagrożeniem o wirusach, trojanach i szpiegach. Łączy się też automatycznie za pomocą IE z jakąś stroną i chce ściągać jakiegoś bescellera ([nie]skutecznie odmawiam - komunikaty się powtarzają).

Namierzyłem ścieżkę 03 z:

O3 - Toolbar: Security Toolbar - {11A69AE4-FBED-4832-A2BF-45AF82825583} - C:\WINDOWS\system32\mounwebp.dll

, ale nie wiem czy usunięcie go załatwi sprawę.

Poniżej zamieszczam log:

Logfile of HijackThis v1.99.1

Scan saved at 11:11, on 2007-11-13

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16544)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe

C:\Program Files\Common Files\Symantec Shared\ccProxy.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\ABBYY FineReader 9.0\NetworkLicenseServer.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\Program Files\Common Files\Symantec Shared\ccApp.exe

C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

C:\Program Files\DAEMON Tools\daemon.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\Program Files\Opera\Opera.exe

C:\WINDOWS\system32\svchost.exe

E:\INSTALKI\rejestr\hijackthis\HijackThis.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE


R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O3 - Toolbar: Show Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.5\UIBHO.dll

O3 - Toolbar: Security Toolbar - {11A69AE4-FBED-4832-A2BF-45AF82825583} - C:\WINDOWS\system32\mounwebp.dll

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Nero\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [dc911d82] rundll32.exe "C:\WINDOWS\system32\lghqwovd.dll",b

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"

O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll

O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Usługa licencjonowania programu ABBYY FineReader 9.0 (ABBYY.Licensing.FineReader.Professional.9.0) - Unknown owner - C:\Program Files\ABBYY FineReader 9.0\NetworkLicenseServer.exe" -service (file missing)

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Program Files\Ares\chatServer.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccProxy.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\VAScanner\comHost.exe

O23 - Service: DomainService - Unknown owner - C:\WINDOWS\system32\uexvkosb.exe (file missing)

O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: LiveUpdate Notice Service - Unknown owner - C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /m "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifEng.dll (file missing)

O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe

Złączono Posta : 13.11.2007 (Wto) 15:28

Już wiem mniej więcej co to jest: Trojan.Vundo :shock: ale nadal nie mogę sobie poradzić z jego wywaleniem. :-x

Po sprawdzeniu AV symanteca i szczepionką FixVundo wywaliło mi kilka miejsc, w których występuje i te zostały załatwione AV, ale problem pozostał - nic się nie zmieniło…

Nie wiem, gdzie jest problem i jak go rozwiązać, a już mnie te dymki i stale uruchamiający się IE denerwują :evil:

Gutek · 13 Listopad 2007 19:32

Start >>> Uruchom >>> services.msc >>> zatrzymaj i wyłącz DomainService , a wpisy usuń HJT

Użyj VundoFix + Trojan.Vundo Removal Tool + VirtumundoBeGone.

Daj log z ComboFix

StanleyP · 13 Listopad 2007 21:28

Dzięki za pomoc.

Ale niestety nie wszystko wyszło jak trzeba. Wykonałem następujące czynności:

Namierzyłem HJT-em punkty z cytatu (O3, O4, O23) - usunąłem wszystkie 3
Wyłączyłem DomainService
Powtórnie przeskanowałem HJT-em - pojawiły się wpisy O3 i O4
Odpaliłem skanowanie VundoFix (znalazł 3 pliki - usunąłem zgodnie z procedurą)
Po restarcie systemu (wymuszonym przez VundoFix) syf powrócił w nizmienionej formie (nadal O3 i O4 zostały, DomainService nadal wyłączony)
Odpaliłem ComboFix’a - log zamieszczam poniżej, dziwią mnie trochę niektóre ośmioliterowe pliki *.dll (pogrubione):

ComboFix 07-11-08.1 - Stanislaw 2007-11-13 21:22:18.1 - NTFSx86

Gutek · 13 Listopad 2007 22:32

Wklej do Notatnika:

File:: C:\WINDOWS\system32\litrchyp.dll C:\WINDOWS\system32\obeunper.dll C:\WINDOWS\system32\wiekpemd.dll C:\WINDOWS\system32\rvjfbiwr.dll C:\WINDOWS\system32\qcqhcpha.dll C:\WINDOWS\system32\wyetsjrc.dll C:\WINDOWS\system32\gadtylqi.dll C:\WINDOWS\system32\iiotauuy.dll C:\WINDOWS\system32\bpetjaqq.dll C:\WINDOWS\system32\lghqwovd.dll C:\WINDOWS\system32\gjsjyhes.dll C:\WINDOWS\system32\jqashsou.dll C:\WINDOWS\system32\mdmtsdfu.dll C:\WINDOWS\system32\ojvoghxv.dll C:\WINDOWS\system32\rkwambvx.dll C:\WINDOWS\system32\lxvkbmyw.dll C:\WINDOWS\system32\kvhbqils.dll C:\WINDOWS\system32\vkghjadd.dll C:\WINDOWS\system32\iuranoua.dll C:\WINDOWS\system32\efknmkxi.dll C:\WINDOWS\system32\henvjpnu.dll C:\WINDOWS\system32\cwmmxuwg.dll C:\WINDOWS\system32\mfynylmt.dll C:\WINDOWS\system32\dtkkoddc.dll C:\WINDOWS\system32\asgmxsll.dll C:\WINDOWS\system32\pkndavqn.dll C:\WINDOWS\system32\vtstu.dll Registry:: [-HKEY_LOCAL_MACHINE~\Browser Helper Objects{72e7c049-df89-4f2b-9cdf-1454a1193fa5}] [-HKEY_LOCAL_MACHINE~\Browser Helper Objects{A95B2816-1D7E-4561-A202-68C0DE02353A}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] “{11A69AE4-FBED-4832-A2BF-45AF82825583}”=- [-HKEY_CLASSES_ROOT\CLSID{11A69AE4-FBED-4832-A2BF-45AF82825583}] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\wiekpemd]

>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku –>

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: ** Qoobox**.

Po tym nowy log z Combo, ale zanim dasz nowy log, po instrukcji:

Wklej do Notatnika:

Windows Registry Editor Version 5.00


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]

"Authentication Packages"=-

"Authentication Packages"=hex(7):6d,00,73,00,76,00,31,00,5f,00,30,00,00,00,00,\

  00

Z menu Notatnika Plik Zapisz jako Ustaw rozszerzenie na “Wszystkie pliki” Zapisz jako FIX.REG uruchom ten plik (dwuklik).

StanleyP · 13 Listopad 2007 22:32

Poprawka do ostatniego postu:

Kluczem do rozwiązania problemu stało się wykorzystanie VirtumundoBeGone i kilku uruchomień kompa w trybie awaryjnym.

Na razie nic się nie dzieje, ale nadal zastanawiają mnie te ośmioliterowe pliki o zbliżonych (czasem takich samych) wielkościach i czasach utworzenia. Czytałem, że właśnie taką formę przybiera Vundo. Czy można je usunąć jeżeli stanowią zagrożenie?

Poniżej podaję ostatni log z ComboFix’a:

ComboFix 07-11-08.1 - Stanislaw 2007-11-13 23:04:35.2 - NTFSx86

Gutek · 13 Listopad 2007 22:39

Gutek2222:

Wklej do Notatnika: >>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe) Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe) – podobnie jak na tym obrazku --> (jeśli pojawi się pytanie “1 or 2” - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log) Po restarcie usuń ręcznie folder C: \Qoobox. Po tym nowy log z Combo, ale zanim dasz nowy log, po instrukcji: Wklej do Notatnika: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa] “Authentication Packages”=- “Authentication Packages”=hex(7):6d,00,73,00,76,00,31,00,5f,00,30,00,00,00,00,\ 00 Z menu Notatnika Plik Zapisz jako Ustaw rozszerzenie na “Wszystkie pliki” Zapisz jako FIX.REG uruchom ten plik (dwuklik). prosiłem abyś to zrobił?

StanleyP · 13 Listopad 2007 23:00

Nie zdarza się często, aby dwa posty w tym samym temacie znalazły się jednocześnie - a jednak. Twój - z drugą instrukcją i mój - z kolejnym zapytaniem doszły równo o 23.32. Próbowałem swój usunąć, ale dałeś już odpowiedź z “powtórką”.

Zadanie wykonane. Mam nadzieję, że jest wszystko o.k. i nie potrzeba dalszych przeróbek.

Jeszcze raz stokrotne dzięki

A jeszcze w południe myślałem o formatowaniu

A oto log:

ComboFix 07-11-08.1 - Stanislaw 2007-11-13 23:49:56.4 - NTFSx86

Gutek · 13 Listopad 2007 23:14

Powinno być już Ok