Kelso1
(Kelso1)
14 Wrzesień 2007 22:02
#1
Jestem tu po raz pierwszy, więc witam Wszystkich serdecznie .
Zaznaczam od razu, że komputer/system/programy działają bez zarzutu. Coś mnie po prostu natchnęło i przeskanowałem dysk programami: Sophos Anti-Rootkit v.1.3 i v.1.3.1 RC (najnowsza, jeszcze nie stabilna wersja), które nie znalazły nic. Z kolei program AVG Anti-Rootkit Free v.1.1.0.42 za każdym skanem znajduje coś takiego: D:\Windows\System32\Drivers\ayhcv27i.SYS pisząc, że jest to “Hidden driver file” i klasyfikując go jako zagrożenie. Po każdym restarcie systemu, wykrywany jako rootkit plik zmienia (losowo - ośmio znakowa kombinacja liter i cyfr) nazwę. Kiedy zainstalowałem AVG Anti-Rootkit Free w drugim systemie jaki posiadam na komputerze (Win 2000), nic nie wykrył na partycji z Win XP. Jakiś czas temu (2-3 miesiące) skanowałem dysk tym programem i nie znajdował nic podejrzanego. Zrobiłem kopię partycji i kazałem programowi usunąć podejrzany plik. Po wymaganym restarcie program pogratulował mi usunięcia zagrożenia, ale przy ponownym skanowaniu znowu wykrył rootkita (oczwiście pod inną nazwą). Skanowanie Kaspersky 7.0.0.125 i Spy Sweeper 5.3.2.2361 nie wykrywa żadnych zagrożeń (one też ponoć szukają rootkitów). Użyłem też narzędzia System Virginity Verifier, który klasyfikuje stan systemu na “2-Yellow”, co oznacza brak zagrożeń. Aplikacja ta zachowuje się jednak dość dziwnie. Można ją uruchomic (z wiersza poleceń) tylko raz. Ponowne polecenie >check skutkuje komunikatem: ERROR : loading driver! Pomyślnie można ją dopiero uruchomić po restarcie systemu, ale znowu tylko raz !? Dodam, że w Windows 2000 aplikacja ta działa poprawnie mimo kilkukrotnego uruchamiania. Mam gorącą prośbę do Kolegów - jak to "coś" skutecznie usunąć ? Może to jednak fałszywy alarm i sprawę należy zbagatelizować ?
nowy10
(Nowy10)
14 Wrzesień 2007 22:28
#2
Dla pewności daj logi z Hijackthis i SilentRunners
http://forum.dobreprogramy.pl/viewtopic.php?t=36654
Kelso1
(Kelso1)
14 Wrzesień 2007 23:28
#3
Proszę bardzo: log z Hijackthis
Logfile of HijackThis v1.99.1 Scan saved at 01:20:12, on 2007-09-15 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5730.0011) Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\Explorer.EXE E:\Program Files\A4Tech\Mouse\Amoumain.exe E:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe E:\Program Files\Nod32\nod32kui.exe E:\program files\powerstrip\pstrip.exe E:\Program Files\cFosSpeed\cFosSpeed.exe E:\Program Files\cFosSpeed\spd.exe E:\Program Files\Logitech\Profiler\lwemon.exe E:\Program Files\SpeedFan\speedfan.exe E:\Program Files\Nod32\nod32krn.exe D:\WINDOWS\system32\svchost.exe E:\Program Files\Netropa\Onscreen Display\OSD.exe E:\Program Files\Totalcmd\totalcmd.exe E:\Program Files\Hijack 1.99.1\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - E:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - E:\PROGRAM FILES\FLASHGET\jccatch.dll O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - E:\PROGRA~1\SPYWAR~1\TOOLS\iesdsg.dll (file missing) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - (no file) O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - E:\PROGRAM FILES\FLASHGET\getflash.dll O3 - Toolbar: &Tłumaczenie - {0D704FAD-66E9-4F0A-BFED-4F665770DDB3} - E:\Program Files\Techland\Common\InternetTranslator\InternetTranslator.dll O4 - HKLM…\Run: [WheelMouse] “E:\Program Files\A4Tech\Mouse\Amoumain.exe” O4 - HKLM…\Run: [MULTIMEDIA KEYBOARD] “E:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe” O4 - HKLM…\Run: [nod32kui] “E:\Program Files\Nod32\nod32kui.exe” /WAITSERVICE O4 - HKLM…\Run: [PowerStrip] e:\program files\powerstrip\pstrip.exe O4 - HKLM…\Run: [cFosSpeed] E:\Program Files\cFosSpeed\cFosSpeed.exe O4 - HKCU…\Run: [start WingMan Profiler] “E:\Program Files\Logitech\Profiler\lwemon.exe” /noui O4 - HKCU…\Run: [speedfan.exe] “E:\Program Files\SpeedFan\speedfan.exe” O4 - Startup: Sagem Fast 800.lnk = ? O4 - Startup: Domyślne Karta.lnk = E:\Program Files\PowerStrip\PStrip.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: &Ściągnij przy pomocy FlashGet’a - E:\PROGRAM FILES\FLASHGET\jc_link.htm O8 - Extra context menu item: &Ściągnij wszystko przy pomocy FlashGet’a - E:\PROGRAM FILES\FLASHGET\jc_all.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra button: Statystyki dla ochrony WWW - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - E:\Program Files\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll O9 - Extra button: (no name) - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - D:\WINDOWS\system32\shdocvw.dll O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - E:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {B46B0919-62BA-4D99-A5C4-916B57A6805C} - E:\Program Files\Techland\Common\InternetTranslator\InternetTranslator.dll O9 - Extra ‘Tools’ menuitem: @E :\Program Files\Techland\Common\InternetTranslator\InternetTranslator.dll,-103 - {B46B0919-62BA-4D99-A5C4-916B57A6805C} - E:\Program Files\Techland\Common\InternetTranslator\InternetTranslator.dll O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\PROGRAM FILES\FLASHGET\FlashGet.exe O9 - Extra ‘Tools’ menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\PROGRAM FILES\FLASHGET\FlashGet.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe O11 - Options group: [iNTERNATIONAL] International* O17 - HKLM\System\CCS\Services\Tcpip…{C88BA479-34C8-4223-BE49-7DB5A5716D15}: NameServer = 194.204.159.1 217.98.63.164 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - E:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O20 - AppInit_DLLs: CLKERN.DLL O20 - Winlogon Notify: klogon - D:\WINDOWS\system32\klogon.dll O20 - Winlogon Notify: WRNotifier - D:\WINDOWS\SYSTEM32\WRLogonNTF.dll O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Unknown owner - E:\Program Files\Kaspersky Anti-Virus 7.0\avp.exe" -r (file missing) O23 - Service: cFosSpeed System Service (cFosSpeedS) - Unknown owner - E:\Program Files\cFosSpeed\spd.exe" -service (file missing) O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - E:\Program Files\Ewido anti-spyware 4.0\guard.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - E:\Program Files\Nod32\nod32krn.exe O23 - Service: O&O Defrag - O&O Software GmbH - D:\WINDOWS\system32\oodag.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - E:\Program Files\Spyware Doctor\svcntaux.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - E:\Program Files\Spyware Doctor\swdsvc.exe O23 - Service: Webroot Spy Sweeper Engine (WebrootSpySweeperService) - Webroot Software, Inc. - E:\Program Files\Spy Sweeper\SpySweeper.exe
oraz z Silent Runner
“Silent Runners.vbs”, revision 52, http://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by “{++}” Startup items buried in registry: --------------------------------- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++} “Start WingMan Profiler” = ““E:\Program Files\Logitech\Profiler\lwemon.exe” /noui” [“Logitech Inc.”] “speedfan.exe” = ““E:\Program Files\SpeedFan\speedfan.exe”” [“Almico Software (http://www.almico.com )”] HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++} “WheelMouse” = ““E:\Program Files\A4Tech\Mouse\Amoumain.exe”” [“A4Tech Co.,Ltd.”] “MULTIMEDIA KEYBOARD” = ““E:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe”” [“Netropa Corp.”] “nod32kui” = ““E:\Program Files\Nod32\nod32kui.exe” /WAITSERVICE” ["Eset "] “PowerStrip” = “e:\program files\powerstrip\pstrip.exe” [“EnTech Taiwan”] “cFosSpeed” = “E:\Program Files\cFosSpeed\cFosSpeed.exe” [“cFos Software GmbH”] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}(Default) = (no title provided) -> {HKLM…CLSID} = “AcroIEHlprObj Class” \InProcServer32(Default) = “E:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll” [“Adobe Systems Incorporated”] {22BF413B-C6D2-4d91-82A9-A0F997BA588C}(Default) = “Skype add-on (mastermind)” -> {HKLM…CLSID} = “Skype add-on (mastermind)” \InProcServer32(Default) = “E:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll” [“Skype Technologies S.A.”] {2F364306-AA45-47B5-9F9D-39A8B94E7EF7}(Default) = “flashget urlcatch” -> {HKLM…CLSID} = “FGCatchUrl” \InProcServer32(Default) = “E:\PROGRAM FILES\FLASHGET\jccatch.dll” [“www.flashget.com ”] {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB}(Default) = (no title provided) -> {HKLM…CLSID} = “PCTools Site Guard” \InProcServer32(Default) = “E:\PROGRA~1\SPYWAR~1\TOOLS\iesdsg.dll” [file not found] {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}(Default) = (no title provided) -> {HKLM…CLSID} = “SSVHelper Class” \InProcServer32(Default) = “E:\Program Files\Java\jre1.6.0_02\bin\ssv.dll” [“Sun Microsystems, Inc.”] {F156768E-81EF-470C-9057-481BA8380DBA}(Default) = (no title provided) -> {HKLM…CLSID} = “FlashGet GetFlash Class” \InProcServer32(Default) = “E:\PROGRAM FILES\FLASHGET\getflash.dll” [“www.flashget.com ”] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ “{88895560-9AA2-1069-930E-00AA0030EBC8}” = “Rozszerzenie ikony HyperTerminalu” -> {HKLM…CLSID} = “HyperTerminal Icon Ext” \InProcServer32(Default) = “D:\WINDOWS\system32\hticons.dll” [“Hilgraeve, Inc.”] “{EFA24E62-B078-11d0-89E4-00C04FC9E26E}” = “History Band” -> {HKLM…CLSID} = “History Band” \InProcServer32(Default) = “D:\WINDOWS\system32\shdocvw.dll” [MS] “{85E0B171-04FA-11D1-B7DA-00A0C90348D6}” = “Statystyki dla ochrony WWW” -> {HKLM…CLSID} = “Statystyki dla ochrony WWW” \InProcServer32(Default) = “E:\Program Files\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll” [“Kaspersky Lab”] “{cc86590a-b60a-48e6-996b-41d25ed39a1e}” = “Portable Media Devices Menu” -> {HKLM…CLSID} = “Portable Media Devices Menu” \InProcServer32(Default) = “D:\WINDOWS\system32\Audiodev.dll” [MS] “{DDE4BEEB-DDE6-48fd-8EB5-035C09923F83}” = “UnlockerShellExtension” -> {HKLM…CLSID} = “UnlockerShellExtension” \InProcServer32(Default) = “E:\Program Files\Unlocker\UnlockerCOM.dll” [null data] “{42042206-2D85-11D3-8CFF-005004838597}” = “Microsoft Office HTML Icon Handler” -> {HKLM…CLSID} = (no title provided) \InProcServer32(Default) = “E:\Program Files\Microsoft Office\OFFICE11\msohev.dll” [MS] “{AD392E40-428C-459F-961E-9B147782D099}” = “UltraISO” -> {HKLM…CLSID} = “UIContextMenu Class” \InProcServer32(Default) = “E:\Program Files\UltraISO\isoshell.dll” [“EZB Systems, Inc.”] “{A70C977A-BF00-412C-90B7-034C51DA2439}” = “NvCpl DesktopContext Class” -> {HKLM…CLSID} = “DesktopContext Class” \InProcServer32(Default) = “D:\WINDOWS\system32\nvcpl.dll” [“NVIDIA Corporation”] “{FFB699E0-306A-11d3-8BD1-00104B6F7516}” = “Play on my TV helper” -> {HKLM…CLSID} = “NVIDIA CPL Extension” \InProcServer32(Default) = “D:\WINDOWS\system32\nvcpl.dll” [“NVIDIA Corporation”] “{1CDB2949-8F65-4355-8456-263E7C208A5D}” = “Desktop Explorer” -> {HKLM…CLSID} = “Desktop Explorer” \InProcServer32(Default) = “D:\WINDOWS\system32\nvshell.dll” [“NVIDIA Corporation”] “{1E9B04FB-F9E5-4718-997B-B8DA88302A47}” = “Desktop Explorer Menu” -> {HKLM…CLSID} = (no title provided) \InProcServer32(Default) = “D:\WINDOWS\system32\nvshell.dll” [“NVIDIA Corporation”] “{1E9B04FB-F9E5-4718-997B-B8DA88302A48}” = “nView Desktop Context Menu” -> {HKLM…CLSID} = “nView Desktop Context Menu” \InProcServer32(Default) = “D:\WINDOWS\system32\nvshell.dll” [“NVIDIA Corporation”] “{32714800-2E5F-11d0-8B85-00AA0044F941}” = “&Do osób…” -> {HKLM…CLSID} = “&Do osób…” \InProcServer32(Default) = “D:\Program Files\Outlook Express\wabfind.dll” [file not found] “{453D1B6D-BD6A-4FA1-B876-9E4DD848D434}” = “AQQ File Transfer Shell Extension” -> {HKLM…CLSID} = “AQQ File Transfer Shell Extension” \InProcServer32(Default) = “F:\Kasia\Pingwin\AQQ\System\AQQShellExt.dll” [file not found] “{2206CDB2-19C1-11D1-89E0-00C04FD7A829}” = “Microsoft Data Link” -> {HKLM…CLSID} = “Microsoft OLE DB Service Component Data Links” \InProcServer32(Default) = “D:\Program Files\Common Files\System\Ole DB\oledb32.dll” [file not found] “{42071714-76d4-11d1-8b24-00a0c9068ff3}” = “Rozszerzenie CPL kadrowania wyświetlania” -> {HKLM…CLSID} = “Rozszerzenie CPL kadrowania wyświetlania” \InProcServer32(Default) = “deskpan.dll” [file not found] “{B089FE88-FB52-11D3-BDF1-0050DA34150D}” = “NOD32 Context Menu Shell Extension” -> {HKLM…CLSID} = “NOD32 Context Menu Shell Extension” \InProcServer32(Default) = “E:\Program Files\Nod32\nodshex.dll” [null data] “{7C9D5882-CB4A-4090-96C8-430BFE8B795B}” = “Webroot Spy Sweeper Context Menu Integration” -> {HKLM…CLSID} = “Webroot Spy Sweeper Context Menu Integration” \InProcServer32(Default) = “E:\PROGRA~1\SPYSWE~1\SSCtxMnu.dll” [“Webroot Software, Inc.”] “{377BF0A0-F755-4469-BA0C-BEB93AAB5454}” = “MuVo V100 Media Explorer” -> {HKLM…CLSID} = “MuVo V100 Media Explorer” \InProcServer32(Default) = “E:\Program Files\Creative\Creative MuVo V100\MuVo V100 Media Explorer\CTMvnsu.dll” [“Creative Technology Ltd”] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\ <> “{57B86673-276A-48B2-BAE7-C6DBB3020EB8}” = “ewido anti-spyware 4.0” -> {HKLM…CLSID} = “CShellExecuteHookImpl Object” \InProcServer32(Default) = “E:\Program Files\Ewido anti-spyware 4.0\shellexecutehook.dll” [“Anti-Malware Development a.s.”] HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\ <> “AppInit_DLLs” = “CLKERN.DLL” [“William Blum”] HKLM\System\CurrentControlSet\Control\Session Manager\ <> “BootExecute” = “autocheck autochk *”|“OODBS” [“O&O Software GmbH”] HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ <> klogon\DLLName = “D:\WINDOWS\system32\klogon.dll” [“Kaspersky Lab”] <> WRNotifier\DLLName = “WRLogonNTF.dll” [“Webroot Software, Inc.”] HKLM\Software\Classes\PROTOCOLS\Filter\ <> text/xml\CLSID = “{807553E5-5146-11D5-A672-00B0D022E945}” -> {HKLM…CLSID} = (no title provided) \InProcServer32(Default) = “E:\Program Files\Common Files\Microsoft Shared\OFFICE11\MSOXMLMF.DLL” [MS] HKLM\Software\Classes\Folder\shellex\ColumnHandlers\ {F9DB5320-233E-11D1-9F84-707F02C10627}(Default) = “PDF Column Info” -> {HKLM…CLSID} = “PDF Shell Extension” \InProcServer32(Default) = “E:\Program Files\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll” [“Adobe Systems, Inc.”] HKLM\Software\Classes*\shellex\ContextMenuHandlers\ AQQFileTransfer(Default) = “{453D1B6D-BD6A-4FA1-B876-9E4DD848D434}” -> {HKLM…CLSID} = “AQQ File Transfer Shell Extension” \InProcServer32(Default) = “F:\Kasia\Pingwin\AQQ\System\AQQShellExt.dll” [file not found] ewido anti-spyware(Default) = “{8934FCEF-F5B8-468f-951F-78A921CD3920}” -> {HKLM…CLSID} = “CContextScan Object” \InProcServer32(Default) = “E:\Program Files\Ewido anti-spyware 4.0\context.dll” [“Anti-Malware Development a.s.”] Kaspersky Anti-Virus(Default) = “{dd230880-495a-11d1-b064-008048ec2fc5}” -> {HKLM…CLSID} = (no title provided) \InProcServer32(Default) = “E:\Program Files\Kaspersky Anti-Virus 7.0\ShellEx.dll” [“Kaspersky Lab”] NOD32 Context Menu Shell Extension(Default) = “{B089FE88-FB52-11D3-BDF1-0050DA34150D}” -> {HKLM…CLSID} = “NOD32 Context Menu Shell Extension” \InProcServer32(Default) = “E:\Program Files\Nod32\nodshex.dll” [null data] PowerArchiver(Default) = “{d03d3e68-0c44-3d45-b15f-bcfd8a8b4c7e}” -> {HKLM…CLSID} = “PowerArchiver Shell Extensions” \InProcServer32(Default) = “E:\Program Files\PowerArchiver\PASHLEXT.DLL” [“ConeXware, Inc.”] WinMerge(Default) = “{4E716236-AA30-4C65-B225-D68BBA81E9C2}” -> {HKLM…CLSID} = “WinMergeShell Class” \InProcServer32(Default) = “E:\Program Files\WinMerge\ShellExtensionU.dll” [empty string] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ ewido anti-spyware(Default) = “{8934FCEF-F5B8-468f-951F-78A921CD3920}” -> {HKLM…CLSID} = “CContextScan Object” \InProcServer32(Default) = “E:\Program Files\Ewido anti-spyware 4.0\context.dll” [“Anti-Malware Development a.s.”] UltraISO(Default) = “{AD392E40-428C-459F-961E-9B147782D099}” -> {HKLM…CLSID} = “UIContextMenu Class” \InProcServer32(Default) = “E:\Program Files\UltraISO\isoshell.dll” [“EZB Systems, Inc.”] WinMerge(Default) = “{4E716236-AA30-4C65-B225-D68BBA81E9C2}” -> {HKLM…CLSID} = “WinMergeShell Class” \InProcServer32(Default) = “E:\Program Files\WinMerge\ShellExtensionU.dll” [empty string] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ Kaspersky Anti-Virus(Default) = “{dd230880-495a-11d1-b064-008048ec2fc5}” -> {HKLM…CLSID} = (no title provided) \InProcServer32(Default) = “E:\Program Files\Kaspersky Anti-Virus 7.0\ShellEx.dll” [“Kaspersky Lab”] NOD32 Context Menu Shell Extension(Default) = “{B089FE88-FB52-11D3-BDF1-0050DA34150D}” -> {HKLM…CLSID} = “NOD32 Context Menu Shell Extension” \InProcServer32(Default) = “E:\Program Files\Nod32\nodshex.dll” [null data] PowerArchiver(Default) = “{d03d3e68-0c44-3d45-b15f-bcfd8a8b4c7e}” -> {HKLM…CLSID} = “PowerArchiver Shell Extensions” \InProcServer32(Default) = “E:\Program Files\PowerArchiver\PASHLEXT.DLL” [“ConeXware, Inc.”] SpySweeper(Default) = “{7C9D5882-CB4A-4090-96C8-430BFE8B795B}” -> {HKLM…CLSID} = “Webroot Spy Sweeper Context Menu Integration” \InProcServer32(Default) = “E:\PROGRA~1\SPYSWE~1\SSCtxMnu.dll” [“Webroot Software, Inc.”] UltraISO(Default) = “{AD392E40-428C-459F-961E-9B147782D099}” -> {HKLM…CLSID} = “UIContextMenu Class” \InProcServer32(Default) = “E:\Program Files\UltraISO\isoshell.dll” [“EZB Systems, Inc.”] UnlockerShellExtension(Default) = “{DDE4BEEB-DDE6-48fd-8EB5-035C09923F83}” -> {HKLM…CLSID} = “UnlockerShellExtension” \InProcServer32(Default) = “E:\Program Files\Unlocker\UnlockerCOM.dll” [null data] HKLM\Software\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\ SpySweeper(Default) = “{7C9D5882-CB4A-4090-96C8-430BFE8B795B}” -> {HKLM…CLSID} = “Webroot Spy Sweeper Context Menu Integration” \InProcServer32(Default) = “E:\PROGRA~1\SPYSWE~1\SSCtxMnu.dll” [“Webroot Software, Inc.”] UnlockerShellExtension(Default) = “{DDE4BEEB-DDE6-48fd-8EB5-035C09923F83}” -> {HKLM…CLSID} = “UnlockerShellExtension” \InProcServer32(Default) = “E:\Program Files\Unlocker\UnlockerCOM.dll” [null data] Group Policies {GPedit.msc branch and setting}: ----------------------------------------------- Note: detected settings may not have any effect. HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ “NoRecentDocsMenu” = (REG_DWORD) hex:0x00000001 {unrecognized setting} “StartMenuLogoff” = (REG_DWORD) hex:0x00000001 {unrecognized setting} “NoLowDiskSpaceChecks” = (REG_DWORD) hex:0x00000001 {unrecognized setting} “NoDrives” = (REG_DWORD) hex:0x00000000 {unrecognized setting} HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\ “DisableRegistryTools” = (REG_DWORD) hex:0x00000000 {User Configuration|Administrative Templates|System| Prevent access to registry editing tools} HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel\ “HomePage” = (REG_DWORD) hex:0x00000000 {User Configuration|Administrative Templates|Windows Components|Internet Explorer| Disable changing home page settings} HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel\ “HomePage” = (REG_DWORD) hex:0x00000001 {Computer Configuration|Administrative Templates|Windows Components|Internet Explorer| Disable changing home page settings} HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\ “shutdownwithoutlogon” = (REG_DWORD) hex:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Shutdown: Allow system to be shut down without having to log on} “undockwithoutlogon” = (REG_DWORD) hex:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Devices: Allow undock without having to log on} Active Desktop and Wallpaper: ----------------------------- Active Desktop may be disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState Displayed if Active Desktop enabled and wallpaper not set by Group Policy: HKCU\Software\Microsoft\Internet Explorer\Desktop\General\ “Wallpaper” = “D:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Dane aplikacji\Microsoft\Wallpaper1.bmp” Displayed if Active Desktop disabled and wallpaper not set by Group Policy: HKCU\Control Panel\Desktop\ “Wallpaper” = “D:\Documents and Settings\Yurek\Ustawienia lokalne\Dane aplikacji\Microsoft\Wallpaper1.bmp” Startup items in “Yurek” & “All Users” startup folders: ------------------------------------------------------- D:\Documents and Settings\Yurek\Menu Start\Programy\Autostart “Sagem Fast 800” -> shortcut to: “” [file not found] “Domyślne Karta” -> shortcut to: “E:\Program Files\PowerStrip\PStrip.exe /p:Domyślne Karta” [“EnTech Taiwan”] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = “%SystemRoot%\System32\mswsock.dll” [MS] 000000000002\LibraryPath = “%SystemRoot%\System32\winrnr.dll” [MS] 000000000003\LibraryPath = “%SystemRoot%\System32\mswsock.dll” [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: D:\WINDOWS\system32\imon.dll ["Eset "], 01 - 05, 21 %SystemRoot%\system32\mswsock.dll [MS], 06 - 08, 11 - 20 %SystemRoot%\system32\rsvpsp.dll [MS], 09 - 10 Toolbars, Explorer Bars, Extensions: ------------------------------------ Toolbars HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\ “{0D704FAD-66E9-4F0A-BFED-4F665770DDB3}” -> {HKLM…CLSID} = “&Tłumaczenie” \InProcServer32(Default) = “E:\Program Files\Techland\Common\InternetTranslator\InternetTranslator.dll” [“Techland”] HKLM\Software\Microsoft\Internet Explorer\Toolbar\ “{0D704FAD-66E9-4F0A-BFED-4F665770DDB3}” = (no title provided) -> {HKLM…CLSID} = “&Tłumaczenie” \InProcServer32(Default) = “E:\Program Files\Techland\Common\InternetTranslator\InternetTranslator.dll” [“Techland”] Explorer Bars HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\ HKLM\Software\Classes\CLSID{175556B1-4D91-4E9A-9C4B-D6888D5DEE6C}(Default) = “&Ramka Tłumaczenia” Implemented Categories{00021494-0000-0000-C000-000000000046}\ [horizontal bar] InProcServer32(Default) = “E:\Program Files\Techland\Common\InternetTranslator\InternetTranslator.dll” [“Techland”] HKLM\Software\Classes\CLSID{85E0B171-04FA-11D1-B7DA-00A0C90348D6}(Default) = “Statystyki dla ochrony WWW” Implemented Categories{00021493-0000-0000-C000-000000000046}\ [vertical bar] InProcServer32(Default) = “E:\Program Files\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll” [“Kaspersky Lab”] HKLM\Software\Classes\CLSID{D553F157-2AB0-4B46-98D2-7BA7CA418491}(Default) = “&Słownik Podręczny” Implemented Categories{00021493-0000-0000-C000-000000000046}\ [vertical bar] InProcServer32(Default) = “E:\Program Files\Techland\Common\InternetTranslator\InternetTranslator.dll” [“Techland”] HKLM\Software\Classes\CLSID{FF059E31-CC5A-4E2E-BF3B-96E929D65503}(Default) = “&Badanie” Implemented Categories{00021493-0000-0000-C000-000000000046}\ [vertical bar] InProcServer32(Default) = “E:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL” [MS] Extensions (Tools menu items, main toolbar menu buttons) HKLM\Software\Microsoft\Internet Explorer\Extensions\ {08B0E5C0-4FCB-11CF-AAA5-00401C608501}\ “MenuText” = “Sun Java Console” “CLSIDExtension” = “{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBC}” -> {HKCU…CLSID} = “Java Plug-in 1.6.0_02” \InProcServer32(Default) = “E:\Program Files\Java\jre1.6.0_02\bin\ssv.dll” [“Sun Microsystems, Inc.”] -> {HKLM…CLSID} = “Java Plug-in 1.6.0_02” \InProcServer32(Default) = “E:\Program Files\Java\jre1.6.0_02\bin\npjpi160_02.dll” [“Sun Microsystems, Inc.”] {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}\ “ButtonText” = “Statystyki dla ochrony WWW” {2D663D1A-8670-49D9-A1A5-4C56B4E14E84}\ “CLSIDExtension” = “{A1EDC4A1-940F-48E0-8DFD-E38F1D501021}” {77BF5300-1474-4EC7-9980-D32B190E9B07}\ “ButtonText” = “Skype” “CLSIDExtension” = “{77BF5300-1474-4EC7-9980-D32B190E9B07}” -> {HKLM…CLSID} = “Skype add-on (button)” \InProcServer32(Default) = “E:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll” [“Skype Technologies S.A.”] {92780B25-18CC-41C8-B9BE-3C9C571A8263}\ “ButtonText” = “Badanie” {B46B0919-62BA-4D99-A5C4-916B57A6805C}\ “MenuText” = “@E :\Program Files\Techland\Common\InternetTranslator\InternetTranslator.dll,-103” “CLSIDExtension” = “{B46B0919-62BA-4D99-A5C4-916B57A6805C}” -> {HKLM…CLSID} = “InternetTranslatorProperties Class” \InProcServer32(Default) = “E:\Program Files\Techland\Common\InternetTranslator\InternetTranslator.dll” [“Techland”] {D6E814A0-E0C5-11D4-8D29-0050BA6940E3}\ “ButtonText” = “FlashGet” “MenuText” = “FlashGet” “Exec” = “E:\PROGRAM FILES\FLASHGET\FlashGet.exe” [“FlashGet.com ”] {FB5F1910-F110-11D2-BB9E-00C04F795683}\ “ButtonText” = “Messenger” “MenuText” = “Windows Messenger” “Exec” = “D:\Program Files\Messenger\msmsgs.exe” [MS] Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ cFosSpeed System Service, cFosSpeedS, ““E:\Program Files\cFosSpeed\spd.exe” -service” [“cFos Software GmbH”] NOD32 Kernel Service, NOD32krn, ““E:\Program Files\Nod32\nod32krn.exe”” ["Eset "] Windows User Mode Driver Framework, UMWdf, “D:\WINDOWS\system32\wdfmgr.exe” [MS] Keyboard Driver Filters: ------------------------ HKLM\System\CurrentControlSet\Control\Class{4D36E96B-E325-11CE-BFC1-08002BE10318}\ “UpperFilters” = <> “SSKBFD” [“Webroot Software Inc (http://www.webroot.com )”], <> “msikbd2k” [“Netropa Corporation”] Print Monitors: --------------- HKLM\System\CurrentControlSet\Control\Print\Monitors\ Microsoft Document Imaging Writer Monitor\Driver = “mdimon.dll” [MS] ---------- (launch time: 2007-09-15 01:15:57) <>: Suspicious data at a malware launch point. + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + The search for DESKTOP.INI DLL launch points on all local fixed drives took 153 seconds. ---------- (total run time: 205 seconds)
jessica
(jessica)
15 Wrzesień 2007 06:08
#4
Te logi są czyste .
Ale w logach Hijacka i Sillent w zasadzie nie są widoczne Rootkity.
Wg mnie, ten Twój tajemniczy driver wcale nie jest szkodnikiem, a nawet wręcz przeciwnie.
Niektóre programy ochronne lub narzędzia usuwające mają wbudowany w siebie moduł, który zmienia nazwy ich własnych procesów z każdym uruchomieniem komputera. Ma to na celu ochronę przed wirusami, żeby wirusowi było trudniej namierzyć taki sterownik.
Czy jest tak także u Ciebie - tego nie wiem, ale jest to bardzo prawdopodobne.
Możesz dać jeszcze log z ComboFix (na dole tej strony z linku) -
Log wklej na http://wklej.org/ , a w poście daj tylko link.(czyli skopiuj adres z paska adresów) .
jessi
Kelso1
(Kelso1)
15 Wrzesień 2007 07:41
#5
Oto log z ComboFix: http://www.wklej.org/id/b93209d08a
Mam jednak parę pytań i uwag zwiazanych z działaniem w/w programu.
Włączył automatyczne aktualizacje w Windows (było wyłączone).
Właczył przywracanie systemu (było wyłączone).
Zlikwidował wpisy w rejestrze blokujące strone startową IE7 (sam je utworzyłem, bo co jakiś czas przestawiała się na tą Microsoftu)
Na partycji systemowej utworzył katalogi:
D:\qoobox
D:\Windows\erdnt (dosyć duży - 61 MB)
no i oczywiście plik z logiem
Więcej zmian na razie nie zauważyłem. Czy to jest normalne ? Czy program jeszcze cos zmienia w ustawieniach Windows ? Czy utworzone katalogi można po prostu skasować ?
Edit: w katalogu D:\Windows\erdnt jest chyba kopia rejestru i ustawień Windows z przed modyfikujących działań programu. Siedzi tam plik Erdnt.exe który jest prawdopodobnie aplikacją kopiującą w/w ustawienia (nie uruchamiałem).
jessica
(jessica)
15 Wrzesień 2007 08:43
#6
To Twoje foldery?
Sprawdź go na --> http://virusscan.jotti.org/
Opis, jak korzystać z JOTTI --> http://otfans.pl/forums/showthread.php?tid=552
albo na http://www.virustotal.com/en/indexf.html .
(korzysta się podobnie jak z JOTTI).
Tak, ComboFix powoduje takie zmiany, które opisaleś - możesz je spowrotem ustawić po swojemu.
Te foldery utworzone przez ComboFixa: usuń
Nic tu więcej podejrzanego nie widzę.
jessi
Kelso1
(Kelso1)
15 Wrzesień 2007 08:58
#7
Tak, katalog D:\svv został utworzony przeze mnie. Sa tam pliki aplikacji System Virginity Verifier. Jeśli chodzi o D:\WINDOWS\system32\1175.tmp - NIE MA JUZ TEGO PLIKU !?
jessica
(jessica)
15 Wrzesień 2007 09:18
#8
To jest plik związany z usługą. Być może jest ukryty:
Zastanawia mnie, dlaczego plik z rozszerzeniem *.tmp ma swoją usługę?
Prawdopodobnie jest to plik i usługa Sophos a, ale lepiej to sprawdzić, bo na większości zagranicznych for to usuwają.
jessi
Kelso1
(Kelso1)
15 Wrzesień 2007 09:40
#9
W opcjach widoku folderów miałem tak ustawione, jak zalecasz. Pliku D:\WINDOWS\system32\1175.tmp nie ma (nie widać) !?
Pytanie odnośnie przywrócenia ustawień Windows i rejestru z kopii znajdującej się D:\Windows\erdnt za pomocą aplikacji Erdnt.exe. Widzę, że ComboFix poprzestawiał co nie co w Windowsie (wydaje mi się, że w kierunku > default > bezpieczeństwo), ale nie chce mi się szukać, co takiego jeszcze zmienił. Przeróżne tweaki/modyfikacje wprowadzam na bieżąco (w miarę jak coś ciekawego/sensownego znajduję) i nawet już nie pamiętam wszystkiego co zmieniałem. Czy przywracając kopię uzyskam na pewno stan sprzed zadziałania ComboFix ?
jessica
(jessica)
15 Wrzesień 2007 10:25
#10
To zależy, do jakiej daty cofniesz system.
jessi
Kelso1
(Kelso1)
15 Wrzesień 2007 10:53
#11
Co do przywracania ustawień i rejestru - jeszcze się zastanowię. W kwestii domniemanego rootkita rozumiem, że był to fałszywy alarm i dajemy sobie spokój z dalszymi poszukiwaniami. W takim razie dziękuję nowy 10 , a przede wszystkim jessica za poświęcony czas i uwagę. :piwo: Zdrówko !