Trojan w smss.exe [logi]

Snik · 21 Listopad 2009 09:49

Mam taki problem.

Avira znajduje mi trojana, w pliku smss.exe, jednak, NIE jest to plik systemu, który znajduje się w System32.

Ten plik znajduje się w Common Files, w Program Files.

Po usunięciu go co restart systemu odnawia się (może częściej, nie sprawdzałem co ile.

Tak czy inaczej, za każdym włączeniem się komputera znajduje go na nowo)

Co mogę z nim zrobić ?

Wklejam log z HijackThis:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 10:46:57, on 2009-11-21

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal


Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\system32\winlogon.exe

D:\WINDOWS\system32\services.exe

D:\WINDOWS\system32\lsass.exe

D:\WINDOWS\system32\Ati2evxx.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\system32\Ati2evxx.exe

D:\WINDOWS\system32\ZoneLabs\vsmon.exe

D:\WINDOWS\Explorer.EXE

D:\WINDOWS\system32\spoolsv.exe

D:\Program Files\Avira\AntiVir Desktop\sched.exe

D:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe

D:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\Programy\Unlocker\UnlockerAssistant.exe

D:\Program Files\Avira\AntiVir Desktop\avgnt.exe

D:\WINDOWS\system32\ctfmon.exe

D:\Program Files\DAEMON Tools Lite\daemon.exe

D:\PROGRA~1\WapSter\WAPSTE~1\AQQ.exe

D:\Program Files\Avira\AntiVir Desktop\avguard.exe

C:\Samurize\Client.exe

C:\Programy\SpeedFan\speedfan.exe

D:\Program Files\Java\jre6\bin\jqs.exe

D:\Program Files\Common Files\System\smss.exe

D:\Program Files\NetLimiter 2 Pro\nlsvc.exe

D:\Program Files\CDBurnerXP\NMSAccessU.exe

D:\WINDOWS\system32\PnkBstrA.exe

D:\Program Files\NetLimiter 2 Pro\NLClient.exe

D:\WINDOWS\system32\wscntfy.exe

D:\WINDOWS\System32\wbem\wmiapsrv.exe

D:\Documents and Settings\Admin.JASZCZUK-KE4656\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe

D:\Documents and Settings\Admin.JASZCZUK-KE4656\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe

D:\Documents and Settings\Admin.JASZCZUK-KE4656\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe

D:\Documents and Settings\Admin.JASZCZUK-KE4656\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe

D:\Program Files\Trend Micro\HijackThis\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.entretieneteds.vze.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada TP

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = 192.168.1.100

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.1.100:80

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - D:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL

R3 - URLSearchHook: free-downloads.net Toolbar - {ecdee021-0d17-467f-a1ff-c7a115230949} - D:\Program Files\free-downloads.net\tbfree.dll (file missing)

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - D:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - D:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll (file missing)

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O2 - BHO: free-downloads.net Toolbar - {ecdee021-0d17-467f-a1ff-c7a115230949} - D:\Program Files\free-downloads.net\tbfree.dll (file missing)

O3 - Toolbar: free-downloads.net Toolbar - {ecdee021-0d17-467f-a1ff-c7a115230949} - D:\Program Files\free-downloads.net\tbfree.dll (file missing)

O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "D:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [ZoneAlarm Client] "D:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programy\Unlocker\UnlockerAssistant.exe"

O4 - HKLM\..\Run: [avgnt] "D:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programy\Adobe Reader 9\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [CloneCDTray] "D:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s

O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Microsoft] "D:\WINDOWS\system32\svchost.exe"

O4 - HKCU\..\Run: [DAEMON Tools Lite] "D:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun

O4 - HKCU\..\Run: [AQQ] D:\PROGRA~1\WapSter\WAPSTE~1\AQQ.exe

O4 - HKCU\..\Run: [Google Update] "D:\Documents and Settings\Admin.JASZCZUK-KE4656\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe" /c

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Startup: autostart.exe

O4 - Startup: Client Default.lnk = C:\Samurize\Client.exe

O4 - Startup: Skrót do speedfan.exe.lnk = C:\Programy\SpeedFan\speedfan.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://D:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: Sothink SWF Catcher - D:\Program Files\Common Files\SourceTec\SWF Catcher\InternetExplorer.htm

O9 - Extra button: Wyślij do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: Wyślij &do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - D:\Program Files\Common Files\SourceTec\SWF Catcher\InternetExplorer.htm

O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - D:\Program Files\Common Files\SourceTec\SWF Catcher\InternetExplorer.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.systemrequirementslab.com/srl_bin/sysreqlab_srl.cab

O16 - DPF: {40F576AD-8680-4F9E-9490-99D069CD665F} (System Requirements Lab Class) - http://srtest-cdn.systemrequirementslab.com.s3.amazonaws.com/bin/sysreqlabdetect.cab

O23 - Service: Adobe LM Service - Adobe Systems - D:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - D:\Program Files\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - D:\Program Files\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe

O23 - Service: GS In-Game Service - Unknown owner - C:\Gry\GameTracker\GSInGameService.exe (file missing)

O23 - Service: Usługa Google Update (gupdate1c99f2cf36de530) (gupdate1c99f2cf36de530) - Unknown owner - D:\Program Files\Google\Update\GoogleUpdate.exe (file missing)

O23 - Service: Google Software Updater (gusvc) - Unknown owner - D:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - D:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: NetLimiter (nlsvc) - Locktime Software - D:\Program Files\NetLimiter 2 Pro\nlsvc.exe

O23 - Service: NMSAccessU - Unknown owner - D:\Program Files\CDBurnerXP\NMSAccessU.exe

O23 - Service: PnkBstrA - Unknown owner - D:\WINDOWS\system32\PnkBstrA.exe

O23 - Service: StarWind AE Service (StarWindServiceAE) - Unknown owner - D:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe (file missing)

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - D:\WINDOWS\system32\ZoneLabs\vsmon.exe


--

End of file - 8928 bytes

jessica · 21 Listopad 2009 10:30

Te w/w wpisy sfiksuj w Hijacku:

>>Hijack>>scan(Do a system scan only)>>zaznacz je >>Fix checked.

“svchost.exe” został prawdopodobnie podmieniony przez wirusa RESPAWN.

Na początek:

Użyj >http://www.dobreprogramy.pl/DrWEB-CureIt,Program,Windows,12976.html

Napisz, co wykrył.

Daj też log z OTL

W OTL przed skanowaniem, ustaw jeszcze dodatkowe opcje poprzez wklejenie do pola “Custom Scans/Fixes”:

Następnie przestaw “Processes” i “Modules” na “All”, inne ustawienia zrób zgodnie z opisem narzędzia, i potem kliknij “Run Scan”,

Logi wklej na http://wklejto.pl/, a w poście daj tylko linki(czyli skopiuj adres z paska adresów)

jessi

Snik · 21 Listopad 2009 12:36

OTL.txt

http://wklejto.pl/47879

Extras.txt

http://wklejto.pl/47880

Dr.Web znalazał:

autostart.exe d:\documents and setting\NAZWA KOMPUTERA\menu start\programy\autostart BackDoor.Bifrost.816

smss.exe d:\program files\common files\system Backdoor.Bifrost.816

Oba usunął.

Dzięki za zainteresowanie

jessica · 21 Listopad 2009 14:54

Czyżby OTL był użyty przed “Dr.WebCureIt” ?

B w logu infejkcja jest widoczna.

Ale usuwanie zrób bez wzgędu na to, jaka była kolejność używania narzędzi - to nie zaszkodzi.

Uruchom OTL i w oknie Custom Scans/Fixes wklej to:

:OTL RC - [2009-03-11 16:59:32 | 00,053,287 | ---- | M] () – D:\Program Files\Common Files\System\smss.exe O4 - Startup: D:\Documents and Settings\Admin.JASZCZUK-KE4656\Menu Start\Programy\Autostart\autostart.exe (Microsoft) O33 - MountPoints2{ce654cf7-505e-11de-8507-ebba420defa8}\Shell\AutoRun\command - “” = H:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ine32.exe – File not found O33 - MountPoints2{ce654cf7-505e-11de-8507-ebba420defa8}\Shell\open\command - “” = H:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ine32.exe – File not found :Files D:\Program Files\Common Files\System\smss.exe D:\RECYCLER D:\RECYCLER :Services StarWindServiceAE “GS In-Game Service” gupdate1c99f2cf36de530 :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “SuperHidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “Hidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “ShowSuperHidden”=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] “CheckedValue”=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptytemp] [[Reboot]

Kliknij w Run Fix. Zatwierdź restart komputera.

jessi

Snik · 21 Listopad 2009 16:30

http://wklejto.pl/47923

Done.

jessica · 21 Listopad 2009 16:38

Większość była “not found”, ale przynajmniej wiemy, że jest OK!

jessi