Rookit, wirusy Proxy.Small, Proxy.Delf.an, Downloader.CWS.am

grejs · 24 Lipiec 2007 15:44

Witajcie,

i znowu cos się zagnieździło

Dziś próbowała logować się na pocztę i do banku i ciągle pojawiały sie jakieś błędy, i prośby o ponowne logowanie, za którymś razem torchę się przestraszyłam i zeskanowałam go (chociaż robiłam to wczoraj). Wklejam raport z Ewido: zaraz dodam HJ i Silent. Sprawdźcie proszę i pomóżcie… Dzięki

__________________________________________________ ewido anti-spyware online scanner http://www.ewido.net __________________________________________________ Name: TrackingCookie.Tradedoubler Path: D:\Documents and Settings\Kasia\Cookies\kasia@tradedoubler[1].txt Risk: Medium Name: TrackingCookie.Doubleclick Path: D:\Documents and Settings\Kasia\Cookies\kasia@doubleclick[1].txt Risk: Medium Name: TrackingCookie.Ivwbox Path: D:\Documents and Settings\Kasia\Cookies\kasia@ivwbox[2].txt Risk: Medium Name: TrackingCookie.Netflame Path: D:\Documents and Settings\Kasia\Cookies\kasia@ssl-hints.netflame[2].txt Risk: Medium Name: Proxy.Small Path: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WinOpts Risk: High Name: Proxy.Delf.an Path: [692] D:\WINDOWS\TEMP\x17.tmp Risk: High Name: Proxy.Delf.an Path: [704] D:\WINDOWS\system32\mswsock.dll Risk: High Name: Proxy.Delf.an Path: [896] D:\WINDOWS\System32\mswsock.dll Risk: High Name: Proxy.Delf.an Path: [988] D:\WINDOWS\system32\mswsock.dll Risk: High Name: Proxy.Delf.an Path: [1036] D:\WINDOWS\system32\mswsock.dll Risk: High Name: Proxy.Delf.an Path: [1064] D:\WINDOWS\system32\mswsock.dll Risk: High Name: Proxy.Delf.an Path: [1168] D:\WINDOWS\System32\mswsock.dll Risk: High Name: Downloader.CWS.am Path: [592] D:\WINDOWS\ServicePackFiles\winlogon.exe Risk: High Name: Downloader.CWS.am Path: [596] D:\WINDOWS\ServicePackFiles\winlogon.exe Risk: High Name: Downloader.CWS.am Path: [616] D:\WINDOWS\ServicePackFiles\winlogon.exe Risk: High Name: Proxy.Delf.an Path: [1796] D:\WINDOWS\system32\mswsock.dll Risk: High Name: Proxy.Delf.an Path: [1920] D:\WINDOWS\system32\mswsock.dll Risk: High Name: Proxy.Delf.an Path: [10964] D:\DOCUME~1\Kasia\USTAWI~1\Temp\x16.tmp Risk: High Name: Proxy.Delf.an Path: [7364] D:\WINDOWS\System32\mswsock.dll Risk: High

Złączono Posta : 24.07.2007 (Wto) 19:01

Logfile of HijackThis v1.99.1 Scan saved at 18:55:28, on 2007-07-24 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\csrss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\system32\spoolsv.exe D:\WINDOWS\System32\alg.exe D:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE D:\Program Files\Spyware Doctor wer2.0\sdhelp.exe D:\Program Files\SiteAdvisor\6066\SAService.exe D:\Program Files\Analog Devices\SoundMAX\SMAgent.exe D:\WINDOWS\System32\wbem\wmiprvse.exe D:\WINDOWS\System32\dllhost.exe D:\WINDOWS\System32\msdtc.exe D:\WINDOWS\Explorer.EXE D:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe D:\Program Files\Corel\Graphics9\Register\Remind32.exe D:\Program Files\Internet Explorer\iexplore.exe D:\Program Files\SiteAdvisor\6066\SiteAdv.exe D:\Documents and Settings\Kasia\Ustawienia lokalne\Temp\Katalog tymczasowy 1 dla hijackthis.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza F3 - REG:win.ini: run=D:\WINDOWS\ServicePackFiles\winlogon.exe O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - D:\Program Files\SiteAdvisor\6066\SiteAdv.dll O2 - BHO: bho3 Class - {58FB2CBB-C874-45FC-A1C9-B62CC9E3BED9} - D:\WINDOWS\system32\72395615.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.6.0_01\bin\ssv.dll O2 - BHO: H - {83E915D4-DDDB-4450-B957-7A3240E9CE66} - zoox1.dll (file missing) O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - D:\Program Files\SiteAdvisor\6066\SiteAdv.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx O4 - Startup: Rejestrowanie produktów Corela.lnk = D:\Program Files\Corel\Graphics9\Register\Remind32.exe O4 - Global Startup: DSLMON.lnk = ? O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm O9 - Extra ‘Tools’ menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm O10 - Unknown file in Winsock LSP: d:\windows\system32\ydgoh.dll O10 - Unknown file in Winsock LSP: d:\windows\system32\ydgoh.dll O10 - Unknown file in Winsock LSP: d:\windows\system32\ydgoh.dll O10 - Unknown file in Winsock LSP: d:\windows\system32\ydgoh.dll O10 - Unknown file in Winsock LSP: d:\windows\system32\ydgoh.dll O10 - Unknown file in Winsock LSP: d:\windows\system32\ydgoh.dll O10 - Unknown file in Winsock LSP: d:\windows\system32\ydgoh.dll O10 - Unknown file in Winsock LSP: d:\windows\system32\ydgoh.dll O10 - Unknown file in Winsock LSP: d:\windows\system32\ydgoh.dll O10 - Unknown file in Winsock LSP: d:\windows\system32\ydgoh.dll O10 - Unknown file in Winsock LSP: d:\windows\system32\ydgoh.dll O10 - Unknown file in Winsock LSP: d:\windows\system32\ydgoh.dll O10 - Unknown file in Winsock LSP: d:\windows\system32\ydgoh.dll O10 - Unknown file in Winsock LSP: d:\windows\system32\ydgoh.dll O10 - Unknown file in Winsock LSP: d:\windows\system32\ydgoh.dll O10 - Unknown file in Winsock LSP: d:\windows\system32\ydgoh.dll O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup … 6571394826 O17 - HKLM\System\CCS\Services\Tcpip…{8AD810F0-1959-4D43-97F2-EE50546B97BC}: NameServer = 194.204.159.1 217.98.63.164 O18 - Protocol: siteadvisor - {3A5DC592-7723-4EAA-9EE6-AF4222BCF879} - D:\Program Files\SiteAdvisor\6066\SiteAdv.dll O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - D:\Program Files\Spyware Doctor wer2.0\sdhelp.exe O23 - Service: SiteAdvisor Service - McAfee, Inc. - D:\Program Files\SiteAdvisor\6066\SAService.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - D:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

Złączono Posta : 24.07.2007 (Wto) 19:06

występują błędy, chyba usunęłam jakis plik sys z wirusami…pomóżcie

Złączono Posta : 24.07.2007 (Wto) 19:07

pojawił się niebieski ekran komp zgasł i mówił o poważnym błedzie, teraz stałe jest bł IE, który mi się wyłacza

Złączono Posta : 24.07.2007 (Wto) 19:07

w ogóle wszystko dziwnie działa… pomocy…

Złączono Posta : 24.07.2007 (Wto) 19:21

ComboFix 07-05.27.BV - Running from: “D:\Documents and Settings\Kasia\Pulpit\waľne narz©dzia” Rootkit driver pe386 is present. A rootkit scan is required (((((((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) “D:\WINDOWS\system32\3_exception.nls” “D:\WINDOWS\system32\gmc.exe.exe” “D:\WINDOWS\system32\72395615.dll” “D:\WINDOWS\system32\arcac.exe” “D:\WINDOWS\system32\drivers\etc\hosts.tim” “D:\WINDOWS\system32\mm.ini” “D:\WINDOWS\system32\svcp.csv” “D:\WINDOWS\system32\winsub.xml” “D:\WINDOWS\winvip.exe” “D:\WINDOWS\system32\drivers\runtime2.sys” “D:\WINDOWS\system32\lzx32.sys” “D:\WINDOWS\system32\cookie.dat” “D:\WINDOWS\system32\ydgoh.dll” ((((((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) -------\LEGACY_RUNTIME -------\LEGACY_RUNTIME2 -------\runtime ((((((((((((((((((((((((((((((( Files Created from 2007-06-24 to 2007-07-24 )))))))))))))))))))))))))))))))))) 2007-07-24 18:54 2007-07-24 18:50 2007-07-24 18:39 95,744 --a------ D:\WINDOWS\system32\wuaueng.dll 2007-07-24 18:39 113,664 --a------ D:\WINDOWS\system32\wuauclt.exe 2007-07-24 18:39 2007-07-24 18:25 24,661 --a------ D:\WINDOWS\system32\spxcoins.dll 2007-07-24 18:25 13,312 --a------ D:\WINDOWS\system32\irclass.dll 2007-07-24 17:48 2007-07-23 11:58 1 --a------ D:\WINDOWS\system32\ps.dat 2007-07-23 11:52 53,760 --a------ D:\WINDOWS\system32\fci.exe 2007-07-23 11:52 50,688 --a------ D:\WINDOWS\system32\zoox1.dll 2007-07-23 11:51 67,936 --a------ D:\WINDOWS\system32\drivers\asc3550u.sys 2007-07-13 21:03 1,060,864 --a------ D:\WINDOWS\system32\MFC71.dll 2007-07-13 21:03 2007-07-11 21:38 (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-07-24 16:54:42 50,748 ----a-w D:\WINDOWS\system32\perfc015.dat 2007-07-24 16:54:42 358,702 ----a-w D:\WINDOWS\system32\perfh015.dat 2007-07-24 16:40:56 23,044 ----a-w D:\WINDOWS\system32\emptyregdb.dat 2007-06-12 05:37:38 0 ----a-w D:\WINDOWS\nsreg.dat 2007-06-09 19:35:38 -------- d-----w D:\DOCUME~1\Kasia\DANEAP~1\Corel 2007-06-09 15:04:56 0 ----a-w D:\backup.reg 2007-06-05 09:52:26 -------- d-----w D:\Program Files\SAGEM 2007-05-26 07:56:54 -------- d-----w D:\Program Files\Alpha-Net 2007-05-05 08:02:00 25,992 ----a-w D:\WINDOWS\system32\pgdfgsvc.exe (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects] {089FD14D-132B-48FC-8861-0048AE113215}=D:\Program Files\SiteAdvisor\6066\SiteAdv.dll [2007-03-30 17:41] {58FB2CBB-C874-45FC-A1C9-B62CC9E3BED9}=D:\WINDOWS\system32\72395615.dll [] {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=D:\Program Files\Java\jre1.6.0_01\bin\ssv.dll [2007-03-14 03:43] {83E915D4-DDDB-4450-B957-7A3240E9CE66}=zoox1.dll [] [HKEY_USERS.default\software\microsoft\windows\currentversion\run] “Spyware Doctor”=“D:\Program Files\Spyware Doctor wer2.0\swdoctor.exe” /Q [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\D:^Documents and Settings^All Users^Menu Start^Programy^Autostart^DSLMON.lnk] path=c:\Documents and Settings\All Users\Menu Start\Programy\Autostart\DSLMON.lnk backup=D:\WINDOWS\pss\DSLMON.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\D:^Documents and Settings^All Users^Menu Start^Programy^Autostart^VIA RAID TOOL.lnk] backup=D:\WINDOWS\pss\VIA RAID TOOL.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\D:^Documents and Settings^Kasia^Menu Start^Programy^Autostart^Trend Micro Anti-Spyware.lnk] backup=D:\WINDOWS\pss\Trend Micro Anti-Spyware.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS] “D:\Program Files\Messenger\msmsgs.exe” /background [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Spyware Doctor] “D:\Program Files\Spyware Doctor wer2.0\swdoctor.exe” /Q HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost *netsvcs* ******************************************************************** catchme 0.3.692 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net Rootkit scan 2007-07-24 19:19:34 Windows 5.1.2600 FAT NTAPI scanning hidden processes … scanning hidden services … scanning hidden autostart entries … scanning hidden files … scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 ******************************************************************** Completion time: 2007-07-24 19:19:54 - machine was rebooted D:\ComboFix-quarantined-files.txt … 2007-07-24 19:19 D:\ComboFix3.txt … 2007-06-08 11:29 D:\ComboFix2.txt … 2007-07-21 18:19 — E O F —

jessica · 24 Lipiec 2007 18:17

Musimy spróbować uporządkować to wszystko, - bo widzę, że logi nawzajem sobie zaprzeczają - nie wiadomo, co usunięte, co jest i co było.

Te w/w wpisy sfiksuj w Hijacku:

>>Hijack>>scan(Do a system scan only)>>zaznacz je >> Fix checked.

Następnie sprawdź ten plik: D:\WINDOWS\ServicePackFiles\winlogon.exe

Najedź myszką na jego ikonkę i zobacz, co tam pisze.

Być może plik jest ukryty, a więc najpierw usuń atrybuty ochronne:

>>Start>>Panel Sterowania>>Opcje Folderów>>Widok>>usuń zaznaczenie przy “Ukryj chronione pliki systemowe”>>zaznacz przy “Pokaż ukryte pliki”>>Zastosuj>>OK.

I dopiero teraz wyszukaj wg ścieżki ten plik (tylko nie pomyl ścieżki!).

Następnie:

Wklej do Notatnika :

File::

D:\WINDOWS\system32\fci.exe 

D:\WINDOWS\system32\zoox1.dll 

D:\WINDOWS\system32\drivers\asc3550u.sys

>>Plik>>Zapisz jako… >>> ComboFix-Do (najwygodniej będzie,

jeśli zapiszesz w takiej lokalizacji, by ikonka ComboFix-Do znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik ComboFix-Do.txt na plik ComboFix.exe

(czyli ikonkę ComboFix-Do.txt na ikonkę ComboFix.exe )

– tak jak na tym obrazku -->http://i12.tinypic.com/4l761r5.gif

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER)

Po restarcie usuń ręcznie folder C: ** Qoobox**.

Miałaś m.in. aż cztery Rootkity - jeden usunięty całkowicie, z drugiego usunięta tylko usługa, a pliku niewidać, z trzeciego tak samo, a z czwartego widać tylko plik.

Nie wiem, dlaczego tak u Ciebie jest.

Chciałbym zobaczyć dwa logi z GMER na ustawieniach:

>>gmer>>Rootkit>>Szukaj>>Kopiuj>>CTRL+V do Notatnika (zapisz gdzieś)
>>Rootkit>>zaznacz tylko “Usługi” i “Pokaż wszystko”>>Szukaj>>Kopiuj>>CTRL+V do Notatnika (zapisz gdzieś)

Trochę potrwa ich zrobienie.

Potem daj tu nowe logi: lub wklej na http://wklej.org/, a tu daj tylko link.:

z Hijacka
z ComboFixa
dwa z GMERa

Wtedy zobaczymy, co jest, a czego już nie ma.

.

grejs · 24 Lipiec 2007 20:38

zrobiłam combofix,ale sam sie nie zrestartował nie wiem czemu, zrobiłam to po wyswietleniu raportu, zaraz wklejam logi…

Złączono Posta : 24.07.2007 (Wto) 22:47

dzieje się coś dziwnego obraz na monitorze nie przesuwa się płynnie, tylko tak jakby strony nachodziły na siebie, przeskakuje jakby klatkowo? Co sie dzieje,co z tym zrobić?

jessica · 24 Lipiec 2007 20:51

Albo Monitor “wysiadł”, albo karta graficzna “wysiadła”.

.

grejs · 24 Lipiec 2007 20:52

http://www.wklej.org/id/44b5cc3b4b

http://www.wklej.org/id/53886afbfe

http://www.wklej.org/id/badabd6f54

http://www.wklej.org/id/22141dc28d

Złączono Posta : 24.07.2007 (Wto) 23:20

z monitorem już ok, wyłączyłam przyspieszanie sprzętowe…chociaż nie wiem,czy to dobre rozwiązanie…

Gutek · 25 Lipiec 2007 00:52

Start >>> Uruchom >>> services.msc >>> zatrzymaj i wyłącz FCI

Dokończyć skanerami online - Skanery do wyboru

grejs · 25 Lipiec 2007 09:00

FCI było wyłączone, więc nic nie zmieniałam…zeskanowałam ArcaMicroSkan i wklejam log,bo znowu cos znalał…wyskasowałam i teraz się martwię, czy wszystko będzie działać…

ArcaMicroScan - Raport ze skanowania [2007.07.25 08:54:47] Data bazy wirusów : 2007.07.24 17:23:17 [skanowanie : D:] D:\System Volume Information_restore{2CF5BA7F-8F7C-4D24-B020-D498D1145EBE}\RP1\A0000021.dll <- Trojan.Clicker.Agent.Hz : Kasowanie D:\System Volume Information_restore{2CF5BA7F-8F7C-4D24-B020-D498D1145EBE}\RP1\A0000025.sys <- Trojan.Rootkit.Agent.Ey : Kasowanie D:\System Volume Information_restore{2CF5BA7F-8F7C-4D24-B020-D498D1145EBE}\RP1\A0000026.sys <- Trojan.Clicker.Costrat.E : Kasowanie D:\System Volume Information_restore{2CF5BA7F-8F7C-4D24-B020-D498D1145EBE}\RP1\A0000027.dll <- Trojan.Agent.Afg : Kasowanie D:\System Volume Information_restore{2CF5BA7F-8F7C-4D24-B020-D498D1145EBE}\RP1\A0000317.DLL <- Trojan.Spy.Banker.Cji : Kasowanie D:\Documents and Settings\Kasia\Dane aplikacji\Sun\Java\Deployment\cache\6.0\61\452fb93d-74654c48:BlackBox.class <- Trojan.Exploit.Java.Byteverify : Kasowanie D:\Documents and Settings\Kasia\Dane aplikacji\Sun\Java\Deployment\cache\6.0\61\452fb93d-74654c48:VerifierBug.class <- Trojan.Exploit.Java.Byteverify : Kasowanie D:\Documents and Settings\Kasia\Dane aplikacji\Sun\Java\Deployment\cache\6.0\61\452fb93d-74654c48:Beyond.class <- Trojan.Downloader.Java.Openconnection.Aa : Kasowanie Przeskanowanych obiektów : 143013 Zainfekowanych obiektów : 8

Gutek · 25 Lipiec 2007 19:00

Wyłącz włącz przywracanie systemu