Trojan W32 Looksky

Blauten · 19 Wrzesień 2007 15:54

Siemka,

Mam spory problem z czymś co chyba nie jest na prawdę wirusem.Domyślam się, że jest to jakieś niemiłe oprogramowanie wymuszające zakup innego, rzekomo naprawiającego problem

Trojan.W32.Looksky detected on your machine. This virus is distributed via the Internet through e-mail and Active-X objects. The worm has it’s own SMTP engine which means it gathers e-mail from your local computer and re-distributes stealing passwords and personal data. This process should be removed from your system.

Type: Virus

System Affected: Windows 2000, NT, ME, XP, Vista

Security Risk(0-5):5

Recomendations: Click Yes to remove it from your PC immediately

================================================

Potem wyskakuje mi coś takiego:

WINDOWS SECURITY ALERT

Windows has detected an Internet attack attempt…

Somebody’s trying to infect your PC with spyware or harmful viruses. Run full system scan now to protect yor PC from Internet attacks, hijacking attempts and spyware!

Click here to download spyware remove for total protection.

============================================

Zaraz dorzucę scan z hijack this,skanowałem juz kilkukrotnie komputer 3 antywirusami na wielu poziomach,wyszukało jakieś 2 inne wirusy ale po usunieciu ich problem wystepuje nadal

Proszę o szybką pomoc

Złączono Posta : 19.09.2007 (Sro) 17:57

Logfile of HijackThis v1.99.1

Scan saved at 17:56:29, on 2007-09-19

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16441)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe

C:\Program Files\D-Tools\daemon.exe

C:\Program Files\Winamp\winampa.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wm … Ojg5&lid=2

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: MSVPS System - {ACD85107-9CF9-4C9E-B0B7-39940A0017C0} - C:\WINDOWS\nsduo.dll

O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM…\Run: [nwiz] nwiz.exe /install

O4 - HKLM…\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit

O4 - HKLM…\Run: [sunJavaUpdateSched] “C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe”

O4 - HKLM…\Run: [DAEMON Tools-1033] “C:\Program Files\D-Tools\daemon.exe” -lang 1033

O4 - HKLM…\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM…\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU…\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU…\Run: [steam] C:\Program Files\Valve\Steam\Steam.exe -silent

O4 - HKCU…\Run: [Gadu-Gadu] “C:\Program Files\Gadu-Gadu\gg.exe” /tray

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\npjpi160_02.dll

O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\npjpi160_02.dll

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O11 - Options group: [iNTERNATIONAL] International*

O13 - DefaultPrefix: http://click.vnn.bz/?hide=1&url=

O13 - WWW Prefix: http://click.vnn.bz/?hide=1&url=

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/get/s … wflash.cab

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: msmhost - {AE0EAE1F-FA15-4C1A-AC73-8079C79FC519} - C:\WINDOWS\msmhost.dll

O21 - SSODL: msmdev - {D33485DC-23A2-4D79-973A-DD1430EB7E83} - C:\WINDOWS\msmdev.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Usuwałem już wielokrotnie wiersz:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wm … Ojg5&lid=2

Ale to nic nie daje,bo pojawia się z powrotem

arekmalek · 19 Wrzesień 2007 16:07

Użyj smitfraudfix w opcji numer 2 w trybie awaryjnym i daj log z niego + Combofix

Blauten · 19 Wrzesień 2007 16:12

LOL

ściągnąłem tego Combofixa a razem z nim Trojana Win32.Dadobre-EY ;|

arekmalek · 19 Wrzesień 2007 16:13

Uzyj tego smitfraudfixa bez niego nic nie zrobimy.

Blauten · 19 Wrzesień 2007 16:14

Czyli na tryb awaryjny mam się wbić?

arekmalek · 19 Wrzesień 2007 16:14

Tak. Chyba, że masz uszkodzony przez rootkita.

Blauten · 19 Wrzesień 2007 16:15

Ok,chwilę

arekmalek · 19 Wrzesień 2007 16:19

Czekam

Pamiętaj - awaryjny odpalasz smita z opcji 2.

Blauten · 19 Wrzesień 2007 16:23

lol, pisze, że Program spprawdza ile wolnego miejsca na dysku ma byc zwolnione

Złączono Posta : 19.09.2007 (Sro) 18:23

Do you want to clear registry?

arekmalek · 19 Wrzesień 2007 16:30

tak niech wyczysci rejestr

Blauten · 19 Wrzesień 2007 16:31

SmitFraudFix v2.225

Scan done at 18:23:26.95, 2007-09-19

Run from C:\Documents and Settings\Dom\Pulpit\SmitfraudFix

OS: Microsoft Windows XP [Wersja 5.1.2600] - Windows_NT

The filesystem type is NTFS

Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix

arekmalek · 19 Wrzesień 2007 16:38

Smit trochę pousuwał. Daj log z combofix.

Czy objawy ustąpiły (choć trochę)?

Blauten · 19 Wrzesień 2007 16:41

hmmm jeszcze nie wiem bo zawsze zaczynalo się to wszystko jakies 5-10min po uruchomieniu

arekmalek · 19 Wrzesień 2007 16:41

Powtarzam daj log z combofix

Blauten · 19 Wrzesień 2007 16:42

PS.combofix był zainfekowany wirusem

arekmalek · 19 Wrzesień 2007 16:43

Z jakiego źrodła go ściągałeś? Daj tego linka i zobaczymy, bardziej wierzę kasperowi niz avastowi

Blauten · 19 Wrzesień 2007 16:44

http://www.instalki.pl/programy/download/antyspyware/ComboFix.php

arekmalek · 19 Wrzesień 2007 16:46

A zresztą kasper nic nie wykrywa.

Ściągnij jeszcze raz i daj z niego loga( na czas jego uruchomienia odłącz neta i wyłącz avasta i wszystkei inne aplikacje!

Złączono Posta : 19.09.2007 (Sro) 17:48

Poczekaj sam sobie zrobie z niego loga zajmie mi to pare minut w zależności od problemów z nim.

Blauten · 19 Wrzesień 2007 16:54

ComboFix 07-09-18.4 - “Dom” 2007-09-19 18:50:23.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.167 [GMT 2:00]

* Created a new restore point

.

((((((((((((((((((((((((( Files Created from 2007-08-19 to 2007-09-19 )))))))))))))))))))))))))))))))

.

2007-09-19 18:23 53,248 --a------ C:\WINDOWS\system32\Process.exe

2007-09-19 18:23 51,200 --a------ C:\WINDOWS\system32\dumphive.exe

2007-09-19 18:23 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe

2007-09-19 18:23 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe

2007-09-19 18:23 1,958 --a------ C:\WINDOWS\system32\tmp.reg

2007-09-19 18:10 51,200 --a------ C:\WINDOWS\NirCmd.exe

2007-09-17 16:52 95,608 --a------ C:\WINDOWS\system32\AvastSS.scr

2007-09-17 16:52 94,416 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys

2007-09-17 16:52 92,848 --a------ C:\WINDOWS\system32\drivers\aswmon.sys

2007-09-17 16:52 801,144 --a------ C:\WINDOWS\system32\aswBoot.exe

2007-09-17 16:52 42,912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys

2007-09-17 16:52 26,624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys

2007-09-17 16:52 23,152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys

2007-09-17 16:52 1,060,864 --a------ C:\WINDOWS\system32\MFC71.dll

2007-09-17 16:52

2007-09-09 15:45

2007-08-23 14:23 3,426,072 --a------ C:\WINDOWS\system32\d3dx9_32.dll

2007-08-23 14:12

2007-08-21 08:55

2007-08-20 22:14 2,297,552 --a------ C:\WINDOWS\system32\d3dx9_26.dll

2007-08-20 17:42

2007-08-20 17:24 98,304 --a------ C:\WINDOWS\system32\CmdLineExt.dll

2007-08-20 11:55

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2007-09-17 17:32 --------- d-------- C:\Program Files\Symantec

2007-09-17 17:32 --------- d-------- C:\Program Files\Common Files\Symantec Shared

2007-09-17 17:32 --------- d-------- C:\DOCUME~1\ALLUSE~1\DANEAP~1\Symantec

2007-09-08 21:17 --------- d-------- C:\Program Files\Knight Online-ok

2007-09-07 16:36 560 --a------ C:\Program Files\Global.sw

2007-08-24 14:07 --------- d-------- C:\Program Files\TCC

2007-08-21 09:12 --------- d–h----- C:\Program Files\InstallShield Installation Information

2007-08-21 09:10 --------- d-------- C:\Program Files\BFG

2007-08-18 20:29 --------- d-------- C:\Program Files\Winamp

2007-08-16 17:20 --------- d-------- C:\Program Files\SoftwrapLicense

2007-08-12 20:07 --------- d-------- C:\Program Files\Dear Camy

2007-08-12 20:05 73216 --a------ C:\WINDOWS\ST6UNST.EXE

2007-08-12 20:05 286720 --------- C:\WINDOWS\Setup1.exe

2007-07-12 09:12 81920 --a------ C:\WINDOWS\system32\frapsvid.dll

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“NvCplDaemon”=“C:\WINDOWS\system32\NvCpl.dll” [2006-10-22 13:22]

“nwiz”=“nwiz.exe” [2006-10-22 13:22 C:\WINDOWS\system32\nwiz.exe]

“NvMediaCenter”=“NvMCTray.dll” [2006-10-22 13:22 C:\WINDOWS\system32\nvmctray.dll]

“SunJavaUpdateSched”=“C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe” [2007-07-12 04:00]

“DAEMON Tools-1033”=“C:\Program Files\D-Tools\daemon.exe” [2004-08-22 17:05]

“WinampAgent”=“C:\Program Files\Winamp\winampa.exe” [2007-05-15 00:22]

“avast!”=“C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe” [2007-09-06 12:06]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“ctfmon.exe”=“C:\WINDOWS\system32\ctfmon.exe” [2004-08-04 00:44]

“Steam”=“C:\Program Files\Valve\Steam\Steam.exe” []

“Gadu-Gadu”=“C:\Program Files\Gadu-Gadu\gg.exe” [2007-05-10 16:36]

C:\DOCUME~1\ALLUSE~1\MENUST~1\Programy\AUTOST~1\

Adobe Reader Speed Launch.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-24 08:05:26]

R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys

S3 NTSIM;NTSIM;??\C:\WINDOWS\system32\ntsim.sys

S3 XDva009;XDva009;??\C:\WINDOWS\system32\XDva009.sys

S3 XDva010;XDva010;??\C:\WINDOWS\system32\XDva010.sys

S3 XDva012;XDva012;??\C:\WINDOWS\system32\XDva012.sys

S3 XDva013;XDva013;??\C:\WINDOWS\system32\XDva013.sys

S3 XDva014;XDva014;??\C:\WINDOWS\system32\XDva014.sys

S3 XDva016;XDva016;??\C:\WINDOWS\system32\XDva016.sys

S3 XDva020;XDva020;??\C:\WINDOWS\system32\XDva020.sys

S3 XDva025;XDva025;??\C:\WINDOWS\system32\XDva025.sys

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{506b55c2-8a2b-11db-a0fe-806d6172696f}]

AutoRun\command- D:_AUTORUN\AUTORUN.EXE

*Newly Created Service* - CATCHME

.

**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2007-09-19 18:51:52

Windows 5.1.2600 Dodatek Service Pack 2 NTFS

scanning hidden processes …

scanning hidden autostart entries …

scanning hidden files …

**************************************************************************

.

Completion time: 2007-09-19 18:53:14

.

— E O F —

arekmalek · 19 Wrzesień 2007 16:58

Użyj SDFix - http://cybertrash.pl/images/tata/SDFix.html i wklej raport z usuwania.

Przeczyść koniecznie katalogi temp tymi programami

ATF Cleaner => http://www.atribune.org/ccount/click.php?id=1 Zaznacz w poszczególnych zakładkach Select All i potem wybierz Empty Selected . Jedynie w zakładce innych przeglądarek jak Opera lub Firefox zostaw opcje o zapisanych hasłach aby ci nie skasował (Saved Passwords)

CCleaner => http://www.ccleaner.com/ Zainstaluj narzędzie ( przed nstalacją odhacz toolbar) z opcji cleaner czyścisz dysk (przed czyszczeniem wejdz w opcje=>zaawansowane i odhacz pierwszą pozycje dotyczącą aby usuwał tylko pliki starsze niż 48 godzin , daty plików masz przed dwóch tyg. to by je jeszcze zostawił)