Trojan-Downloader.Win32.Agent.hxl i Worm.VBS.Solow.b


(system) #1

Skaner kaspersky wykrył mi dwa wirusy :Trojan-Downloader.Win32.Agent.hxl i Worm.VBS.Solow.b

System operacyjny: Windows 2003

Wklejam loga:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 12:46:47, on 2008-02-18

Platform: Windows 2003 SP2 (WinNT 5.02.3790)

MSIE: Internet Explorer v7.00 (7.00.6000.16608)

Boot mode: Normal


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Winamp\winampa.exe

C:\Program Files\FlashGet\FlashGet.exe

C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

C:\WINDOWS\System32\WScript.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe

C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe

C:\Program Files\22M WLAN Adapter\WLANMON.exe

C:\Program Files\Adobe\Acrobat 7.0\Reader\AcroRd32.exe

C:\WINDOWS\system32\wscript.exe

C:\WINDOWS\system32\wscript.exe

C:\WINDOWS\system32\wscript.exe

C:\WINDOWS\system32\wscript.exe

C:\WINDOWS\system32\wscript.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Internet Explorer\iexplore.exe

C:\PROGRA~1\MICROS~1\Office\OUTLOOK.EXE

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\wscript.exe

C:\WINDOWS\system32\wscript.exe

C:\WINDOWS\system32\wscript.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://shdoclc.dll/hardAdmin.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by Godzilla

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Program Files\FlashGet\jccatch.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Program Files\FlashGet\getflash.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [Flashget] "C:\Program Files\FlashGet\FlashGet.exe" /min

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKLM\..\Run: [MS32DLL] C:\WINDOWS\MS32DLL.dll.vbs

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')

O4 - Global Startup: 22M WLAN Adapter.lnk = ?

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: &Ściągnij przy pomocy FlashGet'a - C:\Program Files\FlashGet\jc_link.htm

O8 - Extra context menu item: &Ściągnij wszystko przy pomocy FlashGet'a - C:\Program Files\FlashGet\jc_all.htm

O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe

O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe

O15 - ESC Trusted Zone: http://runonce.msn.com

O15 - ESC Trusted Zone: http://*.windowsupdate.com

O15 - ESC Trusted Zone: http://*.windowsupdate.com (HKLM)

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.pl/resources/virusscanner/kavwebscan_unicode.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl-esd.sun.com/update/1.6.0/jinstall-6u3-windows-i586-jc.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{7BBE0742-AEC4-450D-BC17-A39A0A1C62F4}: NameServer = 194.204.159.1 194.204.152.34

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe


--

End of file - 6658 bytes


i wklejam raport ze skanera:

KASPERSKY ONLINE SCANNER REPORT  

18 luty 2008 12:38:59

System operacyjny: Microsoft Windows Server 2003, Standard Edition, Service Pack 2 (Build 3790)

Kaspersky Online Scanner wersja: 5.0.98.0

Ostatnia aktualizacja Kaspersky Anti-Virus18/02/2008

Liczba wpisów w bazie danych Kaspersky Anti-Virus570623



Ustawienia skanowania 

Skanowanie przy użyciu następujących baz danych rozszerzone 

Skanuj archiwa tak 

Skanuj pocztowe bazy danych tak 


Obszar skanowania Obszary krytyczne 

C:\WINDOWS

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\  


Statystyki skanowania 

Liczba skanowanych obiektów 18207 

Liczba wykrytych wirusów 2 

Liczba zainfekowanych obiektów 2 

Liczba podejrzanych obiektów 0 

Czas trwania skanowania 00:12:18 


Nazwa zainfekowanego obiektu Nazwa wirusa Ostatnie działanie 

C:\WINDOWS\Debug\PASSWD.LOG Object is locked pominięty  


C:\WINDOWS\MS32DLL.dll.vbs Zainfekowanych: Worm.VBS.Solow.b pominięty  


C:\WINDOWS\SoftwareDistribution\EventCache\{D5E5688E-E277-4314-961B-00965354B68D}.bin Object is locked pominięty  


C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked pominięty  


C:\WINDOWS\system32\config\AppEvent.Evt Object is locked pominięty  


C:\WINDOWS\system32\config\default Object is locked pominięty  


C:\WINDOWS\system32\config\default.LOG Object is locked pominięty  


C:\WINDOWS\system32\config\Internet Explorer.evt Object is locked pominięty  


C:\WINDOWS\system32\config\ODiag.evt Object is locked pominięty  


C:\WINDOWS\system32\config\OSession.evt Object is locked pominięty  


C:\WINDOWS\system32\config\SAM Object is locked pominięty  


C:\WINDOWS\system32\config\SAM.LOG Object is locked pominięty  


C:\WINDOWS\system32\config\SecEvent.Evt Object is locked pominięty  


C:\WINDOWS\system32\config\SECURITY Object is locked pominięty  


C:\WINDOWS\system32\config\SECURITY.LOG Object is locked pominięty  


C:\WINDOWS\system32\config\software Object is locked pominięty  


C:\WINDOWS\system32\config\software.LOG Object is locked pominięty  


C:\WINDOWS\system32\config\SysEvent.Evt Object is locked pominięty  


C:\WINDOWS\system32\config\system Object is locked pominięty  


C:\WINDOWS\system32\config\system.LOG Object is locked pominięty  


C:\WINDOWS\system32\gdim32.dll Zainfekowanych: Trojan-Downloader.Win32.Agent.hxl pominięty  


C:\WINDOWS\system32\h323log.txt Object is locked pominięty  


C:\WINDOWS\system32\MsDtc\MSDTC.LOG Object is locked pominięty  


C:\WINDOWS\system32\MsDtc\Trace\dtctrace.log Object is locked pominięty  


C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked pominięty  


C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked pominięty  


C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked pominięty  


C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked pominięty  


C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked pominięty  


C:\WINDOWS\Tasks\SchedLgU.Txt Object is locked pominięty  


C:\WINDOWS\WindowsUpdate.log Object is locked pominięty  


C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~DF53E0.tmp Object is locked pominięty  


C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~DF53E5.tmp Object is locked pominięty  


Proces skanowania został zakończony.

(jessica) #2

Te w/w wpisy sfiksuj w Hijacku:

>>Hijack>>scan(Do a system scan only)>>zaznacz je >> Fix checked.

Godzilla" to infekcja pendrive'a, więc daj log z ComboFix

Log wklej na http://wklej.org/, a w poście daj tylko link.(czyli skopiuj adres z paska adresów)

Uwaga: ComboFix powoduje utratę internetu. Trzeba po prostu zrestartować komputer.

jessi


(system) #3

http://wklej.org/id/0e610e8a01


(jessica) #4

Widzę, że ComboFix samoczynnie usunął Godzillę z dysku twardego. Na penie pewnie pozostała?

Log wygląda na czysty.

jessi


(JNJN) #5

Proszę zmienić temat na konkretny, opcja edytuj i popraw.JNJN


(system) #6

no właśnie na pendrivie nie ma

dziękuje za pomoc


(Gutek) #7

OT kosz