Trojan Rootkit-Agent.CW i reszta syfu

immortal69 · 30 Kwiecień 2009 09:20

Witam,

Mój antyvir wykrył pare trojanów:

między innymi “Trojan horse Rootkit-Agent.CW”

Proszę o rade jak tego się pozbyć

log hijackthis:

Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 11:16:57, on 2009-04-30 Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16827) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE C:\PROGRA~1\AVG\AVG8\avgrsx.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\AVG\AVG8\avgtray.exe C:\WINDOWS\system32\RunDll32.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Corel\Graphics9\Register\Remind32.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE C:\Program Files\AVG\AVG8\avgcsrvx.exe C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE C:\Program Files\AVG\AVG8\avgcsrvx.exe C:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE C:\Program Files\AVG\AVG8\avgcsrvx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Internet Explorer\iexplore.exe C:\PROGRA~1\AVG\AVG8\aAvgApi.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe C:\Documents and Settings\IZA\IZA.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.irfanview.net/faq.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe, O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL O4 - HKLM…\Run: [Adobe Reader Speed Launcher] “C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe” O4 - HKLM…\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe O4 - HKLM…\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKCU…\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU…\Run: [] C:\Documents and Settings\IZA.exe /i O4 - HKCU…\Run: [iZA] C:\Documents and Settings\IZA\IZA.exe /i O4 - Startup: Rejestrowanie produktów Corela.lnk = C:\Program Files\Corel\Graphics9\Register\Remind32.exe O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra ‘Tools’ menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s … wflash.cab O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe – End of file - 4877 bytes

ciemnowidz · 30 Kwiecień 2009 09:46

Usuń w HT. Pobierz Avenger

http://www.searchengines.pl/index.php?s … ntry405552

i wklej do niego

Następnie Execute i restart, wklejasz raport i usuwasz backup usuniętych plików.

Do tego log z DDS

http://www.searchengines.pl/index.php?s … ntry392369

immortal69 · 30 Kwiecień 2009 09:59

wklejam też raport z Avengera bo nie wiem czy sobie z tym poradził:

Logfile of The Avenger Version 2.0, © by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Error: file “C:\WINDOWS\system32\sdra64.exe” not found! Deletion of file “C:\WINDOWS\system32\sdra64.exe” failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file “C:\Documents and Settings\IZA.exe” not found! Deletion of file “C:\Documents and Settings\IZA.exe” failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist File “C:\Documents and Settings\IZA\IZA.exe” deleted successfully. Completed script processing. ******************* Finished! Terminate.

DDS :

DDS (Ver_09-03-16.01) - NTFSx86 Run by IZA at 11:56:07,54 on 2009-04-30 Internet Explorer: 7.0.5730.13 Microsoft Windows XP Professional 5.1.2600.3.1250.48.1045.18.1023.665 [GMT 2:00] AV: AVG Anti-Virus Free *On-access scanning enabled* (Updated) ============== Running Processes =============== C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost -k DcomLaunch svchost.exe C:\WINDOWS\System32\svchost.exe -k netsvcs svchost.exe svchost.exe C:\WINDOWS\system32\spoolsv.exe svchost.exe C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE C:\PROGRA~1\AVG\AVG8\avgrsx.exe C:\WINDOWS\system32\Ati2evxx.exe “C:\WINDOWS\system32\svchost.exe” C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\NOTEPAD.EXE C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe C:\PROGRA~1\AVG\AVG8\avgtray.exe C:\WINDOWS\system32\RunDll32.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Corel\Graphics9\Register\Remind32.exe C:\WINDOWS\System32\svchost.exe -k HTTPFilter C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\wscntfy.exe C:\Documents and Settings\IZA\Pulpit\dds.scr ============== Pseudo HJT Report =============== uStart Page = hxxp://www.google.pl/ uInternet Connection Wizard,ShellNext = hxxp://www.irfanview.net/faq.htm BHO: Adobe PDF Reader Link Helper: {06849e9f-c8d7-4d59-b87d-784b7d6be0b3} - c:\program files\common files\adobe\acrobat\activex\AcroIEHelper.dll BHO: AVG Safe Search: {3ca2f312-6f6e-4b53-a66e-4e65e497c8c0} - c:\program files\avg\avg8\avgssie.dll BHO: AVG Security Toolbar: {a057a204-bacc-4d26-9990-79a187e2698e} - c:\progra~1\avg\avg8\AVGTOO~1.DLL TB: AVG Security Toolbar: {a057a204-bacc-4d26-9990-79a187e2698e} - c:\progra~1\avg\avg8\AVGTOO~1.DLL EB: {32683183-48a0-441b-a342-7c2a440a9478} - No File uRun: [ctfmon.exe] c:\windows\system32\ctfmon.exe mRun: [Adobe Reader Speed Launcher] “c:\program files\adobe\reader 8.0\reader\Reader_sl.exe” mRun: [AVG8_TRAY] c:\progra~1\avg\avg8\avgtray.exe mRun: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd StartupFolder: c:\docume~1\iza\menust~1\programy\autost~1\rejest~1.lnk - c:\program files\corel\graphics9\register\Remind32.exe IE: E&ksport do programu Microsoft Excel - c:\progra~1\micros~2\office11\EXCEL.EXE/3000 IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\program files\messenger\msmsgs.exe IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\progra~1\micros~2\office11\REFIEBAR.DLL DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - hxxp://fpdownload2.macromedia.com/get/s … wflash.cab Handler: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - c:\program files\avg\avg8\avgpp.dll Notify: AtiExtEvent - Ati2evxx.dll Notify: avgrsstarter - avgrsstx.dll SecurityProviders: msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, mcenspc.dll, digiwet.dll ============= SERVICES / DRIVERS =============== R1 AvgLdx86;AVG AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [2009-2-19 325128] R1 AvgMfx86;AVG On-access Scanner Minifilter Driver x86;c:\windows\system32\drivers\avgmfx86.sys [2009-2-19 27656] R2 avg8wd;AVG8 WatchDog;c:\progra~1\avg\avg8\avgwdsvc.exe [2009-2-19 298264] R3 cmudax;C-Media High Definition Audio Interface;c:\windows\system32\drivers\cmudax.sys [2005-5-12 1287296] S2 ksi32sk;ksi32sk;c:\windows\system32\drivers\ksi32sk.sys [2009-4-30 30464] =============== Created Last 30 ================ 2009-04-30 11:16 2009-04-30 11:10 30,464 a------- c:\windows\system32\drivers\ksi32sk.sys 2009-04-30 10:08 28,672 a------- c:\windows\system32\digiwet.dll 2009-04-27 14:12 2009-04-17 09:00 348,160 a------- c:\windows\system32\msvcr71.dll 2009-04-17 09:00 2009-04-17 08:59 2009-04-15 12:26 26,624 a------- c:\windows\system32\stu2.exe 2009-04-08 09:35 2009-04-06 13:51 26,368 ac------ c:\windows\system32\dllcache\usbstor.sys 2009-04-02 11:20 2009-04-02 11:19 ==================== Find3M ==================== 2009-04-20 07:37 439,538 a------- c:\windows\system32\perfh015.dat 2009-04-20 07:37 68,554 a------- c:\windows\system32\perfc015.dat 2009-04-15 12:26 16,384 a------- c:\windows\system32\userinit.exe 2009-03-06 16:22 285,696 a------- c:\windows\system32\pdh.dll 2009-03-03 02:10 826,368 a------- c:\windows\system32\wininet.dll 2009-02-26 15:30 86,327 a------- c:\windows\pchealth\helpctr\offlinecache\index.dat 2009-02-20 19:13 78,336 a------- c:\windows\system32\ieencode.dll 2009-02-20 10:06 10,520 a------- c:\windows\system32\avgrsstx.dll 2009-02-19 10:17 21,856 a------- c:\windows\system32\emptyregdb.dat 2009-02-10 19:09 2,067,328 a------- c:\windows\system32\ntkrnlpa.exe 2009-02-09 16:07 1,847,040 a------- c:\windows\system32\win32k.sys 2009-02-09 13:26 2,190,336 a------- c:\windows\system32\ntoskrnl.exe 2009-02-09 13:25 111,104 a------- c:\windows\system32\services.exe 2009-02-09 12:53 731,136 a------- c:\windows\system32\lsasrv.dll 2009-02-09 12:53 686,592 a------- c:\windows\system32\advapi32.dll 2009-02-09 12:53 401,408 a------- c:\windows\system32\rpcss.dll 2009-02-09 12:53 722,944 a------- c:\windows\system32\ntdll.dll 2009-02-06 12:39 35,328 a------- c:\windows\system32\sc.exe 2009-02-03 21:58 56,832 a------- c:\windows\system32\secur32.dll ============= FINISH: 11:56:28,60 ===============

ciemnowidz · 30 Kwiecień 2009 10:32

Wklej do Avengera

Powtórz procedurę. Wyłącz i włącz przywracanie systemu. Następnie pobierz i uruchom Dr.Web CureIt. Skan dokładny, napraw co się da, resztę usuń. Następnie zrób to samo Malwarebytes Anti-Malware. Uruchom z podłączonym pendrivem FlasDisinfector.

http://dobreprogramy.pl/index.php?dz=2& … It!+5.00.3

http://dobreprogramy.pl/index.php?dz=2& … lware+1.36

http://www.searchengines.pl/index.php?s … ntry369724

immortal69 · 30 Kwiecień 2009 13:22

wklejam loga z malwarebytes.

poza tym po restarcie po skanowaniu system po wpisaniu haslłaprzy logowaniu nie ładuje się do końca…(brak ikon na pulpicie) - musiałem wywołać je ręcznie

AVa komunikat o trojanie: “Trojan horse Generic13.AGXK” w lokalizacji : C:\WINDOWS\system32\userinit.exe

pewnie tu leży powód

Malwarebytes’ Anti-Malware 1.36 Wersja bazy definicji: 2061 Windows 5.1.2600 Dodatek Service Pack 3 2009-04-30 15:13:14 mbam-log-2009-04-30 (15-13-13).txt Typ skanowania: Pełne skanowanie (C:|D:|E:|) Przeskanowane obiekty: 126965 Upłynęło: 21 minute(s), 49 second(s) Zainfekowane procesy w pamięci: 0 Zainfekowane moduły pamięci: 0 Zainfekowane klucze rejestru: 0 Zainfekowane wartości rejestru: 1 Zainfekowane pliki rejestru: 0 Zainfekowane foldery: 0 Zainfekowane pliki: 2 Zainfekowane procesy w pamięci: (Nie wykryto groźnych plików) Zainfekowane moduły pamięci: (Nie wykryto groźnych plików) Zainfekowane klucze rejestru: (Nie wykryto groźnych plików) Zainfekowane wartości rejestru: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Quarantined and deleted successfully. Zainfekowane pliki rejestru: (Nie wykryto groźnych plików) Zainfekowane foldery: (Nie wykryto groźnych plików) Zainfekowane pliki: C:\WINDOWS\Temp\BN9E.tmp (Trojan.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\Temp\BNB2.tmp (Trojan.Agent) -> Quarantined and deleted successfully.

ciemnowidz · 30 Kwiecień 2009 13:38

Spróbuj wyleczyć userinit.exe podanym wcześniej Dr.Web CureIt.

Jeśli nie da rady - podmień go w konsoli odzyskiwania. Wkładasz płytę z Windows i postępujesz wg instrukcji

http://www.adam749.eu/index.php?id=konsola

wpisujesz

expand X:\i386\userinit.ex_ C:\Windows\system32\userinit.exe

jeśli pojawi się błąd to

expand X:\i386\userinit.ex_ C:\Windows\system32\

gdzie X to litera pod jaką widnieje u Ciebie napęd CD\DVD,

enter.

Wyłącz i włącz przywracanie systemu. Przeskanuj Malwarebytes. Jeśli wciąż będzie pokazywał, że plik jest zainfekowany będziesz musiał z konsoli usunąć jego kopię zapasową z dllcache, więcej tutaj pod “Brak/uszkodzenie pliku userinit.exe”

http://www.hotfix.pl/articles.php?article_id=12

Pobierz ATF

http://cybertrash.pl/images/tata/ATF/ATF.html

Zaznacz do czyszczenia foldery Temp i Temporary Internet Files

klikasz Empty Selected. Następnie pobierasz CCleaner i czyścisz rejestr

http://dobreprogramy.pl/index.php?dz=2& … +v2.19.889

Wejdź jeszcze do klucza (start => uruchom => regedit)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders

podświetl Security Providers i daj screen .