Ziomal_ek
(Piotr Ziom)
13 Styczeń 2007 18:35
#1
Nie miałem ostatnio dostępu do kompa i dopiero dzisiaj zauważyłem pewną rzecz…
Najprawdopodobniej 5 stycznia wdarł mi się trojan win32 i wyłączył antywirusa (avast). Zapewne nałapałem też sporo syfu w między czasie dlatego czekam na pomoc…
Co do objawów to co pewien czas zauważyłem że zwiększa się zużycie procesora i komp zachowuje się czasami jakbym kliknął na “pokaż pulpit”. (zapewne coś jest wysyłane przez neta)
Co mam wywalić?
Logfile of HijackThis v1.99.1 Scan saved at 19:30:43, on 07-01-13 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Program Files\AutoConnect\AutoConnect.exe C:\Program Files\Microsoft Office\Office\1045\OLFSNT40.EXE C:\Program Files\PLANET\WL-8303\RtlWake.exe C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Documents and Settings\Piotrek\Pulpit\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.interdom.net.pl R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Program Files\GetRight\xx2gr.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll O4 - HKLM…\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe O4 - HKLM…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM…\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM…\Run: [iTunesHelper] “C:\Program Files\iTunes\iTunesHelper.exe” O4 - HKLM…\Run: [QuickTime Task] “C:\Program Files\QuickTime\qttask.exe” -atboottime O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM…\Run: [nwiz] nwiz.exe /install O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM…\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast\ashDisp.exe O4 - HKCU…\Run: [NBJ] “C:\Program Files\Ahead\Nero BackItUp\nbj.exe” O4 - HKCU…\Run: [AutoConnect] C:\Program Files\AutoConnect\AutoConnect.exe O4 - HKCU…\Run: [Gadu-Gadu] “C:\Program Files\Gadu-Gadu\gg.exe” /tray O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Symantec Fax Starter Edition Port.lnk = C:\Program Files\Microsoft Office\Office\1045\OLFSNT40.EXE O4 - Global Startup: PLANET WL-8303.lnk = ? O4 - Global Startup: BlueSoleil.lnk = ? O8 - Extra context menu item: Download with GetRight - C:\Program Files\GetRight\GRdownload.htm O8 - Extra context menu item: Open with GetRight Browser - C:\Program Files\GetRight\GRbrowse.htm O8 - Extra context menu item: Ściągnij przy pomocy FlashGet’a - C:\Program Files\FlashGet\jc_link.htm O8 - Extra context menu item: Ściągnij wszystko przy pomocy FlashGet’a - C:\Program Files\FlashGet\jc_all.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll O9 - Extra ‘Tools’ menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe O9 - Extra ‘Tools’ menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O14 - IERESET.INF: START_PAGE_URL=www.interdom.net.pl O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MainControl Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab O17 - HKLM\System\CCS\Services\Tcpip…{55A60689-BB93-4376-A6FD-4ED25B1A6E2A}: NameServer = 193.59.36.1 194.204.159.1 O20 - Winlogon Notify: WgaLogon - WgaLogon.dll (file missing) O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Unknown owner - C:\Program Files\iPod\bin\iPodService.exe (file missing)
Bieniol
(Bbieniol)
13 Styczeń 2007 18:45
#2
Usuń kosmetycznie ten wpis:
Zrób skan AVG AntySpyware 7.5 po update
Ziomal_ek
(Piotr Ziom)
13 Styczeń 2007 20:12
#3
Wpis usunąłem
Program AVG AntySpyware 7.5 podczas aktualizacji informuje że nie może zapisać guard.exe
Ad-Aware SE personal nic nie wykrywa
adam9870
(adam9870)
13 Styczeń 2007 20:19
#4
Przeskanuj skanerem on-line dostępnym tutaj http://www.ewido.net/en/ i wklej raport.
Ziomal_ek
(Piotr Ziom)
13 Styczeń 2007 22:10
#5
Przeskanowałem i zobaczyłem coś takiego:
Wykasowałem ów pliki…
Następnie spróbowałem zainstalować avast i wyskoczył błąd zanim plik instalacyjny zaczął się rozpakowywać. Kombinując dalej spróbowałem zainstalować avast w innym folderze niz docelowy i wszystko wyglądało dobrze do momentu gdy nie uruchomiłem antywirusa…
Nagle okazało się że głowny plik został wykasowany (czyli znowu to samo).
Zainstalowałem antyvira jeszcze raz, uruchomiłem ponownie kompa i na chwilę pojawił się avast po czym został zduszony przez trojana i znowu wywalony z dysku.
Pomyślałem że wszystko może rozwiązać tryb awaryjny ale zamiast trybu awaryjnego widzę na czarnym tle jakby krótkie skanowanie i komp uruchamia się ponownie…
Działa tylko normalne uruchamianie
Skończyły mi się pomysły
adam9870
(adam9870)
13 Styczeń 2007 22:13
#6
Użyj ATF Cleaner i przeczyść Current User Temp , All Users Temp oraz ewentualnie prywatne dane dotyczące Firefoxa.
Usuwanie szkodników z folderu System Volume Information 1. Najpierw wyłączamy przywracanie systemu ponieważ w folderze System Volume Information są przechowywane punkty przywracania. W tym celu klikamy prawym klawiszem myszki na ikonę Mój komputer => wybieramy Właściwości => przechodzimy na zakładkę Przywracanie systemu => zaznaczamy opcję Wyłącz Przywracanie systemu na wszystkich dyskach => teraz tylko potwierdzamy klikając na Zastosuj i OK. 2. Włączamy pokazywanie ukrytych plików i folderów ponieważ folder System Volume Information jest ukryty. W tym celu otwieramy Mój komputer = u góry wybieramy Narzędzia = Opcje folderów… = w okienku, które się otworzy przechodzimy na zakładkę Widok = w części Ukryte pliki i foldery zaznaczamy opcję Pokaż ukryte pliki i foldery = dalej wystarczy tylko potwierdzić klikając na Zastosuj i OK. 3. Uruchamiamy system w trybie awaryjnym. W tym celu gdy komputer będzie wyłączony wciskamy klawisz F5 bądź F8 = włączamy komputer = gdy pojawi się ekran wyboru systemu puszczamy klawisz i za pomocą strzałek na klawiaturze wybieramy pozycję Tryb awaryjny i potwierdzamy wciskając klawisz Enter. Będąc w trybie awaryjnym wchodzimy do lokalizacji gdzie jest zainfekowany obiekt = klikamy na niego prawym klawiszem myszki = wybieramy Usuń i potwierdzamy. Czyli np. w tym przypadku: wchodzimy do lokalizacji: C:\System Volume Information_restore{833884EB-BC7B-42B3-8E66-1EA709E558E6}\RP7 i kasujemy znajdujący się tam plik A0005350.exe. UWAGI: Jeśli podczas wchodzenia do folderu System Volume Information naszym oczom okaże się komunikat Odmowa dostępu, to musimy poczytać na temat przejmowania na własność pliku lub folderu. W przypadku system Windows XP opis jest dostępny tutaj: http://support.microsoft.com/default.aspx?scid=kb;pl;308421 Ewentualnie możemy wykonać tylko punkt pierwszy z tego opisu, a następnie przeskanować jakimś skanerem i jeśli zostaną wykryte zainfekowane pliki, to opcja w stylu Usuń w nim powinna sobie w zupełności poradzić. Oczywiście po usuwaniu szkodników możemy włączyć przywracanie systemu jeśli korzystamy z tej funkcji. Możesz użyć programu Odkurzacz i usunąć nim to, co znajdzie. http://dobreprogramy.pl/index.php?dz=2t=59id=1188
Ziomal_ek
(Piotr Ziom)
15 Styczeń 2007 19:00
#7
Doceniam waszą społęczną pracę
Ale niestety odkurzacz znalazł tylko trochę bezwartościowych śmieci a ATF Cleaner nie pomógł…
Jak pisałem wczesniej tryb awaryjny nie uruchamia się
Pomyslałem więc że sie doedukuję.
Okazało się, że tak jak myślałem mam trojana, który kasuje główne pliki programów antywirusowych przez co są bezużyteczne. Po kilku godzinach bezsensownej walki uświadomiłem sobie, że ten trojan musi posiadać listę programów które ma kasować przy starcie systemu (dlatego mam na początku 2-minutowy zwis) ale ta lista jest przecież ograniczona…
Szukając cudownego pominiętego programiku czyli po zabawie z cyklu: “w koło macieju” odkryłem że Firewall Comodo jest odporny na tego bydlaka. Grrrr… jak bym dorwał debila któy napisał tego trojana to bym mu … (cenzura)… ale dochodząc do sedna sprawy:
Firewall pokazał mi że pliki:
hldrrr.exe
services.exe
wintems.exe
podszywajac się pod explorera lub svchost próbują dostać sie do netu.
Początkowo próbowałem je blokować ale natężenie prób połączeń sięgało 10 na sekundę i nie mogłem nic robić …
Dlatego odpuściłem i czekam na informację jak ten syf usunąć.
Powtarzam że ów trojan uniemozliwia mi wejście do trybu awaryjnego …
Przepraszam za taki wywód ale przeglądałem podobne tematy i niestety nigdzie nie znalazłem lekarstwa na ten problem a chcę aby mnie dobrze zrouzmiano.
adam9870
(adam9870)
15 Styczeń 2007 19:08
#8
Wrzuć nowy log z hijacka oraz dwa logi z
Gmer’a przy takich ustawieniach:
Zakładka Rootkit >>> Zaznaczone wszystko oprócz Pokaż wszystko >>> kliknij Szukaj >>> Czekaj cierpliwie aż skończy >>> Kopiuj >>> wklej do posta
Zakładka Rootkit >>> Zaznaczone tylko Usługi oraz Pokaż wszystko >>> kliknij Szukaj >>> Czekaj cierpliwie aż skończy >>> Kopiuj >>> wklej do posta.
Ziomal_ek
(Piotr Ziom)
15 Styczeń 2007 20:27
#9
Logfile of HijackThis v1.99.1 Scan saved at 21:10:48, on 07-01-15 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe C:\Program Files\AutoConnect\AutoConnect.exe C:\Program Files\Comodo\Firewall\cmdagent.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\Comodo\Firewall\cpf.exe C:\Documents and Settings\Piotrek\Pulpit\gmer\gmer.exe C:\Documents and Settings\Piotrek\Pulpit\gmer\gmer.exe C:\Documents and Settings\Piotrek\Pulpit\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.interdom.net.pl R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Program Files\GetRight\xx2gr.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll O4 - HKLM…\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe O4 - HKLM…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM…\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM…\Run: [QuickTime Task] “C:\Program Files\QuickTime\qttask.exe” -atboottime O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM…\Run: [nwiz] nwiz.exe /install O4 - HKLM…\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM…\Run: [COMODO Firewall Pro] “C:\Program Files\Comodo\Firewall\CPF.exe” /background O4 - HKCU…\Run: [NBJ] “C:\Program Files\Ahead\Nero BackItUp\nbj.exe” O4 - HKCU…\Run: [AutoConnect] C:\Program Files\AutoConnect\AutoConnect.exe O4 - HKCU…\Run: [Gadu-Gadu] “C:\Program Files\Gadu-Gadu\gg.exe” /tray O4 - HKCU…\Run: [Odkurzacz-MCD] C:\Program Files\Odkurzacz\odk_mcd.exe O8 - Extra context menu item: Download with GetRight - C:\Program Files\GetRight\GRdownload.htm O8 - Extra context menu item: Open with GetRight Browser - C:\Program Files\GetRight\GRbrowse.htm O8 - Extra context menu item: Ściągnij przy pomocy FlashGet’a - C:\Program Files\FlashGet\jc_link.htm O8 - Extra context menu item: Ściągnij wszystko przy pomocy FlashGet’a - C:\Program Files\FlashGet\jc_all.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll O9 - Extra ‘Tools’ menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe O9 - Extra ‘Tools’ menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O14 - IERESET.INF: START_PAGE_URL=www.interdom.net.pl O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar … /cabsa.cab O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MainControl Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab O17 - HKLM\System\CCS\Services\Tcpip…{55A60689-BB93-4376-A6FD-4ED25B1A6E2A}: NameServer = 193.59.36.1 194.204.159.1 O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe (file missing) O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe (file missing) O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:\Program Files\Comodo\Firewall\cmdagent.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Unknown owner - C:\Program Files\iPod\bin\iPodService.exe (file missing)
Drugi skan z GMERA jest bardzo długi…
Może go wrzucić na jakiś upload?
Złączono Posty : 15.01.2007 (Pon) 23:14
Skoro nie ma mozliwości edytowania postów to:
http://www.sendspace.com/file/84q014
Oto link do zRARowanych skanów…