Pax
(Pax555)
13 Sierpień 2007 12:32
#1
Otóż mojej koleżance w kompie pojawil się trojan Trojan.Proxy.Mitglieder.ei, skanowała kompa antyvirusem mks_vir2k7 i znalazł jej trojana, lecz nie da się wyleczyć i skasować i znajduje się on w folderze C:\WINDOWS\system32\hldrrr.exe
Podaję jej loga to może jakoś uda się go wywalić
Logfile of HijackThis v1.99.1 Scan saved at 14:25:18, on 2007-08-13 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\system32\igfxpers.exe C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\SAGEM WiFi manager\WLANUTL.exe C:\WINDOWS\system32\wscntfy.exe D:\Program Files\eMule\emule.exe C:\WINDOWS\system32\hldrrr.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE D:\Program Files\Gadu-Gadu\gg.exe D:\Program Files\Winamp\winamp.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\WinRAR\WinRAR.exe C:\DOCUME~1\Qba\USTAWI~1\Temp\Rar$EX00.953\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll O4 - HKLM…\Run: [KAVPersonal50] “D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe” /minimize O4 - HKLM…\Run: [Tvs] C:\Program Files\Toshiba\Tvs\TvsTray.exe O4 - HKLM…\Run: [THotkey] C:\Program Files\Toshiba\Toshiba Applet\thotkey.exe O4 - HKLM…\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM…\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM…\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM…\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM…\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM…\Run: [sunJavaUpdateSched] “C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe” O4 - HKLM…\Run: [EPSON Stylus C45 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I3T1.EXE /P23 “EPSON Stylus C45 Series” /O6 “USB001” /M “Stylus C45” O4 - HKLM…\Run: [EPSON Stylus C45 Series (Kopia 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I3T1.EXE /P33 “EPSON Stylus C45 Series (Kopia 1)” /O6 “USB001” /M “Stylus C45” O4 - HKLM…\Run: [hldrrr] C:\WINDOWS\system32\hldrrr.exe O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background O4 - HKCU…\Run: [hldrrr] C:\WINDOWS\system32\hldrrr.exe O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Program sieciowy dla SAGEM Wi-Fi 11g USB adapter.lnk = ? O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab O16 - DPF: {745395C8-D0E1-4227-8586-624CA9A10A8D} (AxisMediaControl Class) - http://84.40.149.238:8080//activex/AMC.cab O20 - AppInit_DLLs: O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: kavsvc - Kaspersky Lab - D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe O23 - Service: TOSHIBA Application Service (TAPPSRV) - TOSHIBA Corp. - C:\Program Files\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe
jessica
(jessica)
13 Sierpień 2007 13:08
#2
Te w/w wpisy sfiksuj w Hijacku:
>>Hijack>>scan(Do a system scan only)>>zaznacz je >> Fix checked .
To jest inna nazwa Rootkita Bagle-hidires z usługą m_hook lub usługą rosa .
Usuwaniem tego Rootkita zajmie się ComboFix:
http://forum.dobreprogramy.pl/viewtopic.php?t=36654 (na dole tej strony z linku) -
Log z niego wklej na http://wklej.org/ , a w poście daj tylko link.
Ponieważ ten Rootkit uszkodził Ci na pewno Tryb Awaryjnym, to po skończeniu usuwania będziesz musiał to naprawić.
Można zacząć od użycia SafeBootKeyRepair
Jeśli jego użycie nie naprawi Trybu Awaryjnego, to postępuj ściśle wg tego opisu
Naprawa Trybu Awaryjnego .
Prawdopodobnie trzeba też będzie przeinstalować Antivirusa, bo też na pewno został uszkodzony i nie będzie mógł w przyszłości aktualizować swich baz wirusów.
.Tak więc na razie czekamy na log z ComboFixa.
.
Pax
(Pax555)
13 Sierpień 2007 13:49
#3
log z ComboFix:
http://wklej.org/id/752f5dbf5b
a tu link z tego safebota
http://wklej.org/id/e33c0a9a92
i tryb awaryjny działa bez problemu
jessica
(jessica)
13 Sierpień 2007 15:12
#4
Nie wiem, czy masz jakieś narzędzie usuwające.
Jeśli nie masz, to ściągnij OTMoveIt
Do pola Paste List of Files/Folders to be Moved wklej poniższe ścieżki:
Następnie wciśnij przycisk MoveIt !
Pojawi się komunikat, że jest potrzebny restart do usunięcia podanych plików/folderów- wciśnij Yes .
Po restarcie usuń ręcznie folder C:* * _OTMoveIt** (Prawoklik >>> Usuń >>> Opróżnij Kosz).
Widzę w logu ComboFixa, że tego wpisu jeszcze nie sfiksowałeś w Hijacku.
Sfiksuj (ale nie usuwaj pliku!).
To wszystko.
.
Pax
(Pax555)
13 Sierpień 2007 21:00
#5
w logu napisane że moved successfully przy kazdym i folder usunięty
moja kolezanka to robiła to może to pominęła, ale zafixowała go
i dzieki wielkie za pomoc