Cerberus
(Cerberxes)
23 Listopad 2008 10:09
#1
witam
Mam następujący problem:
W niewyjaśnionych okolicznościach wczoraj system zaczął ( a konkretnie svchost.exe ) łączyć się z mojego IP na różnych portach w zakresie od 1000 do 2500 z losowymi konputerami na porcie 445.
Zaraz po włączeniu internet działa (dlatego mogę to napisać) ale po chwili svchost zaczyna się łączyć z 30 komputerami naraz i wszystko pada
Łączenie to uniemożliwia działanie internetu jak również zajmuje prawie 100% procesora.
Takie działanie ma tylko 1 z procesów svchost.exe jest ich u mnie 5.
Windows Worm Door Cleaner nie pomógł w problemie (zablokowałem porty 135, 445).
W Comodo w logu wyświetla się że ten felerny svchost nasłuchuje ciągle na 8850
Blady2011
(Blady2012)
23 Listopad 2008 10:31
#2
Masz na 100% wirusa,prawdopodobnie jakiegoś trojana.Daj logi z ComboFix i HijackThis.
Cerberus
(Cerberxes)
23 Listopad 2008 18:41
#3
HijackThis:
Logfile of HijackThis v1.99.1 Scan saved at 19:24:58, on 2008-11-23 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16674) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Eset\nod32kui.exe C:\Program Files\Comodo\Firewall\cfp.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Picasa2\PicasaMediaDetector.exe C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe C:\WINDOWS\system32\netdde.exe C:\Program Files\Comodo\Firewall\cmdagent.exe C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe C:\Program Files\Eset\nod32krn.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\wuauclt.exe C:\Program Files\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file) O3 - Toolbar: Earn2Life Bar - {93344865-74BD-4873-BE65-56539D41A65C} - C:\WINDOWS\Downloaded Program Files\Earn2Life.dll O4 - HKLM…\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp O4 - HKLM…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM…\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM…\Run: [nod32kui] “C:\Program Files\Eset\nod32kui.exe” /WAITSERVICE O4 - HKLM…\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM…\Run: [nwiz] nwiz.exe /install O4 - HKLM…\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit O4 - HKLM…\Run: [COMODO Firewall Pro] “C:\Program Files\Comodo\Firewall\cfp.exe” -h O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU…\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O9 - Extra button: Earn2Life Bar - {07328B93-AFD8-4c6a-99E9-D0B3B5D6DAD9} - C:\WINDOWS\Downloaded Program Files\Earn2Life.dll O9 - Extra ‘Tools’ menuitem: Earn2Life Bar - {07328B93-AFD8-4c6a-99E9-D0B3B5D6DAD9} - C:\WINDOWS\Downloaded Program Files\Earn2Life.dll O11 - Options group: [iNTERNATIONAL] International* O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://www.pandasecurity.com/activescan … stubie.cab O16 - DPF: {93344865-74BD-4873-BE65-56539D41A65C} (Earn2Life Bar) - http://www.earn2life.com/plugin/Earn2Life.cab O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: COMODO Firewall Pro Helper Service (cmdAgent) - Unknown owner - C:\Program Files\Comodo\Firewall\cmdagent.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
http://wklej.org/id/21005/ ComboFix tutaj
PS. Zamieszczam jeszcze 2 screeny:
z Windows Worm Door Cleaner http://www.fotosik.pl/pokaz_obrazek/ab74d31fcc43a96f.html na którym widać że “coś” z powrotem przestawiło zablokowane porty na włączone po zrestartowaniu systemu
2 screen to log z Comodo FW http://www.fotosik.pl/pokaz_obrazek/ad87257cc107a679.html na którym widać na jakim porcie nasłuchuje svchost.exe i jego połączenia
po wpisaniu nestat -ano wychodzi że proces ID tego svchost to 908 które to jest w Active Process List w Comodo jak się okazuje nadrzędnym procesem dla wuauclt.exe
Gutek
(Gutek)
23 Listopad 2008 19:47
#4
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
usuń te wpisy HJT
Start >>> Uruchom >>> cmd wpisać:
SC STOP hpt3xx
SC DELETE hpt3xx
Cerberus
(Cerberxes)
23 Listopad 2008 19:50
#5
Czy mógłbym prosić o wyjaśnienie celu tych poleceń:
Gutek
(Gutek)
23 Listopad 2008 19:56
#6
Start >>> Uruchom >>> cmd i w okientu wpisz to co napisałem
Cerberus
(Cerberxes)
23 Listopad 2008 19:57
#7
To wiem ale co one robią, jaką usługę zatrzymują itp.?
Gutek
(Gutek)
23 Listopad 2008 20:00
#8
Leon1
(Leon$)
23 Listopad 2008 20:03
#9
z loga wynika że jest to pusty wpis
dla tego Gutek to usuwa
od czego to było google wiedzą
Cerberus
(Cerberxes)
23 Listopad 2008 20:16
#10
A więc pomoc dotychczas udzielona naprawiła niestety tylko kosmetykę
Problem jaki był w 1 poście taki jest nadal…
Inne pomysły?
Gutek
(Gutek)
23 Listopad 2008 20:27
#11
Nic nie wskazuje, aby coś u ciebie siedziało w systemie.
Leon1
(Leon$)
23 Listopad 2008 20:28
#12
Zastosuj Malwarebytes’ Anti-Malware http://cybertrash.pl/Tata/MBAM/Malwarebytes_%20Anti-Malware.html pełny skan - jak coś znajdzie to usuń - pokaż log
Cerberus
(Cerberxes)
24 Listopad 2008 16:04
#13
Malwarebyte nic nie wykrył więc pustego logu nie będę wklejał
Dodam, że po wyłączeniu szkodliwego svchost.exe w menedżerze zadań problem się usuwa, szkoda tylko, że po restarcie wszystko od nowa i koło się zamyka…
Pomyślałem, że przyczyną może być jakiś błąd systemu na który została lub nie została jeszcze wydana poprawka, jednak co najmniej dziwne jest to, że proces ten zamiast np. tylko zawieszać kompa skanuje losowo sieć na porcie 445
Leon1
(Leon$)
24 Listopad 2008 16:15
#14
Cerberus
(Cerberxes)
24 Listopad 2008 19:35
#15
Co prawda jeszcze nie skorzystałem z ostatnio poleconego narzędzia, ale skorzystałem ze skanera online Kaspersky który wykrył mi zawirusowana biblioteke dll kokretnie bjgwon.dll w folderze system32 zawierającą Trojan-Downloader.Win32.Agent.aqfw
A więc może teraz to rzuca trochę światła na sprawę?
Leon1
(Leon$)
24 Listopad 2008 19:42
#16
pokaż raport Kasperskiego - on sam tego nie usunie
Cerberus
(Cerberxes)
24 Listopad 2008 20:07
#17
RAPORT KASPERSKY ONLINE SCANNER 7.0 poniedziałek, 24 listopad 2008 System operacyjny: Microsoft Windows XP Professional Dodatek Service Pack 2 (build 2600) Wersja Kaspersky Online Scanner: 7.0.26.12 Data ostatniej aktualizacji bazy danych: Monday, November 24, 2008 14:23:16 Liczba wpisów: 1408236 Ustawienia skanowania Typ bazy danych użytej do skanowania rozszerzona Skanuj archiwa tak Skanuj pocztowe bazy danych tak Obszar skanowania Obszary krytyczne C:\Documents and Settings\All Users\Menu Start\Programy\Autostart C:\Documents and Settings\Cerberus\Menu Start\Programy\Autostart C:\Program Files C:\WINDOWS Statystyki skanowania Przeskanowanych plików 58531 Nazwa zagrożenia 2 Zainfekowanych obiektów 2 Podejrzanych obiektów 0 Czas skanowania 01:17:32 Nazwa pliku Nazwa zagrożenia Liczba zagrożeń C:\Program Files\TibiaMazurski+APO\TibiaAPO\tibia-auto_1-9-1_pl.rar Zainfekowany: not-a-virus:Monitor.Win32.Ardamax.jl C:\WINDOWS\system32\bjgwon.dll Zainfekowany: Trojan-Downloader.Win32.Agent.aqfw
Choć z rapotu nie wynika więcej niż powiedziałem w swoim poprzednim poście więc nie wiem po co ale cóż…
Leon1
(Leon$)
24 Listopad 2008 20:28
#18
wynika że skan był
a powinieneś przeskanować Obszar skanowania Mój komputer
po drugie piszesz o jednym pliku są dwa
Pobierz i uruchom narzędzie The Avenger Zaznaczasz tekst podany do usunięcia na forum
kopiuj >> klikasz na Paste Script from Clipboard >> Execute >> Potwierdzasz i zgadzasz się na restart klikając OK .
Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt
jak chcesz usunąć ten drugi plik
to dopisz do Avangera
log System Repair Engineer
przeskanuj Kasperskim jeszcze raz