Trojan.Win32.Agent.QQ + prośba o analizę loga


(Pl79) #1

Witam serdecznie.

Przede wszystkim chcę się przywitać i wyrazić radość z dotarcia do tegóż jak że "fachowego" w kwesti zabezpieczeń forum. Przechodząc do meritum; Złapałem kilka trojanów m.in. worm.luder.a , worm.email.mixor.a - wszystkich się pozbyłem za wyjątkiem tego umieszczonego w temacie. Posiłkowałem się większością skanerów o których piszecie, tylko GFI Trojan wykrywa intruza - lokalizacja zarażonego pliku: c:\windows\system32\winlogon.exe Szkodnik siedział też w ...c:\win*\servicepack...\i386\winlogon.exe z tąd udało się go wywalić. Wcześniej Spybot raportował program typu keyloger w kataloguc\programfiles\KGBSpy\winlogon.exe

Możecie coś na to poradzić ? Z góry dziękuję za odpowiedź.

Poniższy log już po podjętych desperackich próbach walki

Logfile of HijackThis v1.99.1

Scan saved at 10:17:16, on 2006-11-09

Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\totalcmd\TOTALCMD.EXE

E:\1potrz031006\bezpieczenstwo\hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.onet.pl

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = £¹cza

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\Programy\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033

O4 - HKLM..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM..\Run: [DiskeeperSystray] "C:\Program Files\Executive Software\Diskeeper\DkIcon.exe"

O4 - HKLM..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe

O4 - HKLM..\Run: [systems.exe] ""

O4 - HKLM..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay

O4 - HKLM..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM..\Run: [RemoteControl] "C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"

O4 - HKLM..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM..\Run: [XoftSpy] C:\Program Files\XoftSpy\XoftSpy.exe -s

O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe

O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM..\RunOnce: [spybotSnD] "E:\Programy\Spybot - Search & Destroy\SpybotSD.exe" /autocheck

O4 - HKCU..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU..\Run: [WheresJames Startup Manager] C:\Program Files\WheresJames\StartupMgr\StartupMgr.exe

O4 - HKCU..\Run: [systems.exe] ""

O4 - HKCU..\Run: [sUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - HKCU..\Run: [spybotSD TeaTimer] E:\Programy\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU..\Run: [ProtoWall] C:\Program Files\Dudez\ProtoWall\ProtoWall.exe

O4 - Startup: TapetA.lnk = F:\Prog2\TapetA\Tapeta.exe

O4 - Global Startup: BTTray.lnk = ?

O4 - Global Startup: Motorola Desktop Suite mRouter Config.lnk = C:\Program Files\Intuwave Ltd\Shared\mRouterRunTime\mRouterConfig.exe

O4 - Global Startup: NOD32 Antivirus System.lnk = C:\Program Files\ESET\nod32kui.exe

O4 - Global Startup: ProtoWall®.lnk = C:\Program Files\Dudez\ProtoWall\ProtoWall.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Send To &Bluetooth - C:\Program Files\IBM\Bluetooth Software\btsendto_ie_ctx.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - F:\Prog2\WinHTTrack\WinHTTrackIEBar.dll

O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - F:\Prog2\WinHTTrack\WinHTTrackIEBar.dll

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: bet365 Poker - {B1BA4A3F-1C95-497b-9F82-F8DA4A5C89DD} - E:\Programy\bet365MPP\MPPoker.exe

O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\Programy\patypoker\PartyPoker\RunApp.exe

O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\Programy\patypoker\PartyPoker\RunApp.exe

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\IBM\Bluetooth Software\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\IBM\Bluetooth Software\btsendto_ie.htm

O9 - Extra button: Absolute Poker - {EFFF8D47-D060-4108-B761-E8EC86622E56} - C:\Documents and Settings\All Users\Menu Start\Programy\Absolute Poker\Absolute Poker.lnk (file missing)

O9 - Extra 'Tools' menuitem: Absolute Poker - {EFFF8D47-D060-4108-B761-E8EC86622E56} - C:\Documents and Settings\All Users\Menu Start\Programy\Absolute Poker\Absolute Poker.lnk (file missing)

O9 - Extra button: T³umacz na angielski - {CCCE5D70-9AA2-40F1-9C6B-12A255F08500} - J:\progduzy\translatica\bin\win\int\browser\iepolengextension.dll (HKCU)

O9 - Extra 'Tools' menuitem: T³umacz na angielski - {CCCE5D70-9AA2-40F1-9C6B-12A255F08500} - J:\progduzy\translatica\bin\win\int\browser\iepolengextension.dll (HKCU)

O9 - Extra button: T³umacz na polski - {CCCE5D71-9AA2-40F1-9C6B-12A255F08500} - J:\progduzy\translatica\bin\win\int\browser\iepolengextension.dll (HKCU)

O9 - Extra 'Tools' menuitem: T³umacz na polski - {CCCE5D71-9AA2-40F1-9C6B-12A255F08500} - J:\progduzy\translatica\bin\win\int\browser\iepolengextension.dll (HKCU)

O9 - Extra button: Zachowaj przet³umaczon¹ stronê - {CCCE5D72-9AA2-40F1-9C6B-12A255F08500} - J:\progduzy\translatica\bin\win\int\browser\iepolengextension.dll (HKCU)

O9 - Extra 'Tools' menuitem: Zachowaj przet³umaczon¹ stronê - {CCCE5D72-9AA2-40F1-9C6B-12A255F08500} - J:\progduzy\translatica\bin\win\int\browser\iepolengextension.dll (HKCU)

O16 - DPF: {5A09E43F-A0A7-4ABF-AF80-11367CF1DC8F} (MainControl Class) - http://mks.com.pl/skaner/SkanerOnline.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan ... asinst.cab

O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab

O20 - Winlogon Notify: SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll

O20 - Winlogon Notify: WBSrv - C:\WINDOWS\

O21 - SSODL: IconPackager Repair - {1799460C-0BC8-4865-B9DF-4A36CD703FF0} - C:\WINDOWS\system32\iprepair.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Program Files\IBM\Bluetooth Software\bin\btwdins.exe

O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper\DkService.exe

O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

O23 - Service: Pml Driver HPH11 - HP - C:\WINDOWS\System32\HPHipm11.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2004\WinStylerThemeSvc.exe

:? :? :?

Złączono Posta : 09.11.2006 (Czw) 15:55

Niestety nie mogę sobie poradzić z uruchomieniem SilentRunners - komunikat o pozuiomie zabezpieczeń , braku uptrawnień do uruchamiania skryptów...


(Bbieniol) #2

Usuń Hijackiem te wpisy:

Co do Silenta to poczytaj tutaj -> http://www.searchengines.pl/phpbb203/in ... opic=15989

I wklej log :slight_smile:


(Pl79) #3

ok. obecnie wyglada to nastepujaco:

i jesze raport z SilentRunners:

Złączono Posta : 09.11.2006 (Czw) 21:39

znajdzie sie ktos, kto zajmie sie moim przypadkiem ??? :?


(Gutek) #4

Dokończ skanerami online - Skanery do wyboru

Optymalizacja XP: http://forum.dobreprogramy.pl/viewtopic.php?t=76580


(Pl79) #5

Niestety te skanery nic nie wykrywaja, siedze i dwa dni sobie juz skanuje, tylko GFI Trojan lapie tak jak podalem w pierwszym poscie.To co moge wywalic winlogon.exe ?


(Gutek) #6

Skan AVG Anti-Spyware 7.5

po update :wink:


(Pl79) #7

a i owszem juz nim lecialem polecim jeszcze raz.

Złączono Posta : 09.11.2006 (Czw) 23:00

niestety ow skaner z biezaca baza nic nie wykryl... rozumiem, ze nie widzisz nic niepokajacego w logach ? jakie dalsze zalecenia ? spokojnej nocy!

Złączono Posta : 09.11.2006 (Czw) 23:02

zdaje sie na Twoj lowiecki instynkt :wink:

Złączono Posta : 10.11.2006 (Pią) 11:22

Co do optymalizacji to pierwszym jej krokiem jest usuwanie wszelkiej masci syfu - wiec rady co bym zaglebil sie w lekturze o optymalizacji nie sa mi pomocne, tym bardziej iz pisalem, ze uzylem prawie wszystkich skanerow i w tym jednym przypadku (byly tez inne wisrusy i konie trojanskie) zareagowal tylko jeden. Moze wreszcie jakas konkretna wypowiedz-rada ?


(Bbieniol) #8

Przejrzyj dalej ten temat. Odsyfianiem komputera już się zajęliśmy - i nie masz syfu. Rob kolejne kroki :slight_smile:


(Pl79) #9

a w jaki sposob usunac robaka z winlogon.exe ?

Złączono Posta : 10.11.2006 (Pią) 11:40

no nic jesli brak Wam konceptu zrobie wszystko co jest opisane w temacie o optymalizacji i zobaczymy :frowning:


(Bbieniol) #10

Jesteś pewien, że zarażonym plikiem jest systemowy plik: C:\WINDOWS\system32\winlogon.exe?

Jeżeli tak, to podmień go z płyty XP.

Odpalasz Konsolę odzyskiwania i wpisujesz komende:

expand X:\i386\winlogon.ex_ C:\Windows\sytem32\winlogon.exe

(zamiast X podstaw literę CD-ROMu)


(Joan Sunshine) #11

Jeśli już to to jest plik winlogon s.exe+biblioteka winlogon. dll , bo takie KGBSpy tworzy. No to wchodzisz w awaryjny bez przywracania systemu i cały folder programfiles\ KGBSpy leci ręcznie z dysku.


(Pl79) #12

Dzieki, zastosuje sie do Waszych rad, znalazlem jeszcze cos takiego :

Raport z Sophos antirootkit ukryte wpisy w rejestrze:

Area: Windows registry

Description: Hidden registry key

Location: \HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\d347prt\Cfg\0Jf41

Removable: No

Notes: (no more detail available)

Area: Windows registry

Description: Hidden registry key

Location: \HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\d347prt\Cfg\0Jf40

Removable: No

Notes: (no more detail available)


(Bbieniol) #13

Oba te wpisy są od Daemon Toolsa :slight_smile:


(Pl79) #14

w konsoli otrzymuje komunikat o braku mozliwosci utworzenia pliku winlogon.exe - zdekompresowano 0 plikow


(Bbieniol) #15

Odpalasz Konsolę odzyskiwania  i wpisujesz komendy:

expand X:\i386\winlogon.ex_ C:\winlogon.exe

COPY C:\winlogon.exe C:\Windows\sytem32\winlogon.exe

(zamiast X podstaw literę CD-ROMu)

Może tak pójdzie  :wink:


(Pl79) #16

Zaraz sprawdze komende copy, przeskanowalem rootkit'em, oto rezultaty (przymula mi mocno opere :frowning: - stronki sie zawieszaja)> Moze zasadne bylo by abym podal cala historie choroby i usuniete wirusy ?

Program PST uzywalem do flashowania mojego telefonu MOTO UIQ, dwa wpisy jak poprzednio z daemona


(Bbieniol) #17

Przeczyść rejestr (polecam do tego jv16 PowerTools), zrób defragmentację, oraz przejrzyj: Optymalizacja XP

Wejdź: Start --> uruchom --> msconfig i w zakładce uruchamianie odznacz (według Ciebie) niepotrzbne przy autostarcie programy :slight_smile:


(adam9870) #18

Jeśli nawet sposób podany przez Bieniol'a nie zadziała to możesz spróbować wydać takie komendy w konsoli odzyskiwania:

a w razie problemów zawsze będzie mógł przywrócić stary plik dzięki komendom:

Na wszelki wypadek możesz pokazać dwa logi z Gmer'a przy takich ustawieniach:

  1. Zakładka Rootkit >>> Zaznaczone wszystko oprócz Pokaż wszystko >>> kliknij Szukaj >>> Czekaj cierpliwie aż skończy >>> Start, uruchom, notapad i klik na OK >>> Prawy klawisz, wklej >>> Plik >>> zapisz jako >>> zapisz.

  2. Zakładka Rootkit >>> Zaznaczone tylko Usługi oraz Pokaż wszystko >>> kliknij Szukaj >>> Czekaj cierpliwie aż skończy >>> Start, uruchom, wpisz notapad i klik na OK >>> Prawy klawisz, wklej >>> Plik >>> zapisz jako >>> zapisz.

Pliki z logami umieść w jakimś serwisie hostingowym i daj do nich linki ponieważ bezpośrednio do posta się nie zmieszczą.

http://forum.dobreprogramy.pl/viewtopic.php?t=96929


(Pl79) #19

...dzieki Adam. Powiodlo sie kopiowanie ALE system nie wstal (wlasnie wystartowalem ze Slax'a na cd :frowning: ) spobuje przywrocic plik i uruchomie gmera.

opis obecnego problemu:

nie pojawia sie ekran logowania, pojawia sie okienko z informacja, iz system jest uruchamiany na czarnym tle, pochwili mielenia zostaje czarny ekran kursorem bez belki itd. nie pomaga proba startu z ostatniej dobrej konf. ani tryb awaryjny - te same objawy

Złączono Posta : 10.11.2006 (Pią) 16:11

no to pupa, ze tak powiem... przeczytalem Twego posta juz po... wiec nie mam kopii winlogon.exe :frowning:

Złączono Posta : 10.11.2006 (Pią) 16:13

no to pupa, ze tak powiem... przeczytalem Twego posta juz po... wiec nie mam kopii winlogon.exe :frowning:


(adam9870) #20

Kurcze... :frowning:

Plik winlogon.exe odpowiada właśnie za logowanie użytkowników itp. więc jeśli jest uszkodzony bądź jeśli po podmianie go sytuacja znacznie się pogorszyła to jest spory problem.

Jeśli nie chcesz stracić danych w systemie to spróbuj wykonać reinstalację XP bez utraty danych. Jest to opisane tutaj.

A potem proszę o logi z Gmer'a ponieważ może siedzieć rootkit.