Rootkit.H trojan

Dla specjalistów Bezpieczeństwo
#1

Witam

Nod32 wyswietla mi komunikat o wykryciu wirusa:

C:\Document and Settings\Iza|directxclks.sys

Nazwa Wirusa: Win32/Rootkit.H trojan

Nod przenosi go do kwarantanny i na tym sie konczy. Po ponownym uruchomieniu komputera pojawia sie dokladnie ten sam komunikat o wykryciu wirusa.

Log z Hijack prosze napisac co mam usunac.

Z gory dzieki i pozdrawiam

Logfile of HijackThis v1.99.1

Scan saved at 10:32:35, on 2007-03-01

Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Eset\nod32krn.exe

C:\Program Files\Norton Utilities\NPROTECT.EXE

C:\Program Files\Speed Disk\nopdb.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\NEOSTR~1\CnxMon.exe

C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe

C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\Eset\nod32kui.exe

C:\WINDOWS\System32\svcchost.exe

C:\WINDOWS\System32\mysvcc.exe

C:\WINDOWS\System32\directxnew.exe

C:\WINDOWS\System32\NeUpgrade.exe

C:\Program Files\Winamp\winampa.exe

C:\WINDOWS\System32\directxpushup.exe

C:\WINDOWS\regedit.exe

C:\Documents and Settings\Iza\Pulpit\HijackThis.exe


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://szukaj.wp.pl

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neostrada.pl

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada TP

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = w3cache.tpnet.pl:8080

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL

O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\NEOSTR~1\CnxMon.exe

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe

O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [msvcc25] svcchost.exe

O4 - HKLM\..\Run: [mysvcig38] mysvcc.exe

O4 - HKLM\..\Run: [Microsoft Directx push] directxpushup.exe

O4 - HKLM\..\Run: [Microsoft Directxspnew] directxnew.exe

O4 - HKLM\..\Run: [Microsoft Directx clicks] directxclickers.exe

O4 - HKLM\..\Run: [Windows Media Upgrade] NeUpgrade.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\RunServices: [msvcc25] svcchost.exe

O4 - HKLM\..\RunServices: [mysvcig38] mysvcc.exe

O4 - HKLM\..\RunServices: [Microsoft Directx push] directxpushup.exe

O4 - HKLM\..\RunServices: [Microsoft Directxspnew] directxnew.exe

O4 - HKLM\..\RunServices: [Microsoft Directx clicks] directxclickers.exe

O4 - HKLM\..\RunServices: [Windows Media Upgrade] NeUpgrade.exe

O4 - HKCU\..\Run: [sysms] C:\WINDOWS\system32\sysem.exe

O4 - HKCU\..\Run: [Microsoft Directxspnew] directxnew.exe

O4 - HKCU\..\Run: [Microsoft Directx clicks] directxclickers.exe

O4 - HKCU\..\Run: [Windows Media Upgrade] NeUpgrade.exe

O4 - HKCU\..\Run: [Microsoft Directx push] directxpushup.exe

O4 - HKCU\..\RunServices: [Microsoft Directx push] directxpushup.exe

O4 - HKCU\..\RunServices: [Microsoft Directxspnew] directxnew.exe

O4 - HKCU\..\RunServices: [Microsoft Directx clicks] directxclickers.exe

O8 - Extra context menu item: Download All by FlashGet - C:\Program Files\FlashGet\jc_all.htm

O8 - Extra context menu item: Download using FlashGet - C:\Program Files\FlashGet\jc_link.htm

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{92BE1DEE-B216-4E2C-91F4-E630BB73A235}: NameServer = 85.255.116.171,85.255.112.103

O17 - HKLM\System\CCS\Services\Tcpip\..\{B9D936DC-A28F-4ACC-8F4C-76A7A712BFF5}: NameServer = 85.255.116.171,85.255.112.103

O23 - Service: ArcaBit NetMonitor (ABNetMon) - Unknown owner - C:\Program Files\MKS\Bin\NetMonSV.exe (file missing)

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton Utilities\NPROTECT.EXE

O23 - Service: Performance True Type Font (PerfFont) - Unknown owner - C:\WINDOWS\System32\perfont.exe (file missing)

O23 - Service: Windows Service Manager (ServiceMgr) - Unknown owner - C:\WINDOWS\services\svchost.exe (file missing)

O23 - Service: Speed Disk service - Symantec Corporation - C:\Program Files\Speed Disk\nopdb.exe

O23 - Service: Windows MS Update 32 (Win32) - Unknown owner - C:\WINDOWS\System32\fhm.exe" -netsvcs (file missing)

O23 - Service: Win32 Kernel Update (Win32Kernel) - Unknown owner - C:\WINDOWS\win32host.exe (file missing)
#2

Cóż, w tym logu nie widać całego syfu który masz bo jest jeszcze rootkit sterownikowy ale na początek spróbuj usunąć to, co teraz widać, a potem zajmiemy się resztą.

Użyj Windows Worms Doors Cleanera zmień znaczki z disable na enable (wszystkie znaczki maja być na zielono, jeżeli któryś z nich będzie na żółto to go zostaw). Po użyciu narzędzia wymagany jest restart.

Start => Uruchom => wpisz services.msc => zatrzymaj i wyłącz usługi Performance True Type Font, Windows Service Manager, Windows MS Update oraz Win32 Kernel Update.

W trybie awaryjnym z wyłączonym przywracaniem systemu usuń:

Pliki zaznaczone kasujesz ręcznie z dysku natomiast wpisy w HijackThis.

Użyj narzędzia FixWareOut.

Po wykonaniu wklej komplet nowych logów: