TrojanSpy.Win32@de - cd

DzikiZ · 8 Październik 2007 17:55

Wątek będący cd.

http://forum.dobreprogramy.pl/viewtopic … fc3c6cdbc8

Witam.

Mam problem związany z oprogramowaniem spyware. Objawia się to tym, że jako strona startowa w IE, ustawiona jest “C:\WINDOWS\system32\spywarewarning.mht”, a w prawym, dolnym rogu wyskakuje chmurka “Windows Security Alert”.

Jak wiele wirusów w życiu usuwałem, tak tan jest wręcz niemożliwy do usunięcia znanymi mi metodami. Pokręciłem się troszkę po zagranicznych stronach i coś niecoś znalazłęm, dzięki czemu usunąłem z katalogu Windows, kilka plików o nazwie “sv…”, które podobno miały z tym jakiś związek. Ale Nadal mam chmurkę i stronkę startową…

Mam to samo, log z HijackThis:

Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:56, on 2007-10-08 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Boot mode: Normal Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\System32\termsrv.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\msdtc.exe C:\WINNT\system32\CTsvcCDA.exe C:\WINNT\System32\tcpsvcs.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\acsetupcp.exe C:\Program Files\Eset\nod32krn.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\lserver.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\System32\wins.exe C:\WINNT\system32\Dfssvc.exe C:\WINNT\System32\dns.exe C:\WINNT\System32\inetsrv\inetinfo.exe C:\WINNT\Explorer.EXE C:\WINNT\System32\svchost.exe C:\WINNT\system32\PDesk\PDesk.exe C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe C:\Program Files\Winamp\winampa.exe C:\Program Files\SAMSUNG\FW LiveUpdate\Liveupdate.exe C:\Program Files\Eset\nod32kui.exe C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINNT\system32\spywarewarning.mht O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O2 - BHO: ActiveX Control - {FDEA0326-8DD2-4563-8F67-FBE261767751} - C:\WINNT\system32\mszzg.dll (file missing) O4 - HKLM…\Run: [Jet Detection] C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe O4 - HKLM…\Run: [CTStartup] C:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE /run O4 - HKLM…\Run: [Matrox Powerdesk] C:\WINNT\system32\PDesk\PDesk.exe /Autolaunch O4 - HKLM…\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM…\Run: [sunJavaUpdateSched] “C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe” O4 - HKLM…\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe O4 - HKLM…\Run: [Name of App] C:\Program Files\SAMSUNG\FW LiveUpdate\Liveupdate.exe O4 - HKLM…\Run: [nod32kui] “C:\Program Files\Eset\nod32kui.exe” /WAITSERVICE O4 - HKCU…\Run: [cmsound] c:\winnt\vcpdll.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: &Download Flash Files - C:\PROGRA~1\LEESOFT\FLASHH~1\save.htm O15 - ProtocolDefaults: ‘http’ protocol is in Trusted Zone, should be Internet Zone O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINNT\system32\CTsvcCDA.exe O23 - Service: DHCP Client DhcpOracleReportServer-Rep60_HERBERT-OraHome901 (DhcpOracleReportServer-Rep60_HERBERT-OraHome901) - Unknown owner - C:\WINNT\system32\LDR1279.tmp.exe (file missing) O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: Print Server for Macintosh MacPrintSMTPSVC (MacPrintSMTPSVC) - Unknown owner - C:\WINNT\system32\acsetupcp.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe O23 - Service: Windows Media Program Service (nsprogram) - Unknown owner - C:\WINNT\System32\WINDOW~1\Server\nspm.exe (file missing) O23 - Service: Visibroker Activation Daemon (oad) - Unknown owner - E:\PROGRA~1\Borland\vbroker\bin\oad.exe O23 - Service: Oracle Forms Server [Forms60Server-OraHome901] (OracleFormsServer-Forms60Server-OraHome901) - Unknown owner - E:\oracle\ora901\bin\ifsrv60.exe (file missing) O23 - Service: Oracle Reports Server [Rep60_HERBERT-OraHome901] (OracleReportServer-Rep60_HERBERT-OraHome901) - Unknown owner - E:\oracle\ora901\bin\rwmts60.exe (file missing) O24 - Desktop Component 0: (no name) - (no file) – End of file - 4028 bytes

PROSZĘ O WSKAZANIE PLIKÓW DO PRZESKANOWANIA NA http://www.virustotal.com/en/indexf.html

Monczkin · 8 Październik 2007 18:00

??

Nazwij temat konkretnie i popraw logi - obejmij je znacznikami

jessica · 8 Październik 2007 18:35

>>Hijack>>scan(Do a system scan only)>>zaznacz je >> Fix checked.

Ściągnij -->ComboFix (na dole tej strony z linku).

Wklej do Notatnika :

File::

C:\WINNT\system32\spywarewarning.mht

C:\WINNT\system32\mszzg.dll

C:\winnt\vcpdll.exe

>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku –>

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: ** Qoobox**.

Log z ComboFixa wklej na http://wklej.org/, a w poście daj tylko link.(czyli skopiuj adres z paska adresów) .

Te zaznaczone na czerwono możesz sprawdzić na VIRUSTOTAL.

jessi

DzikiZ · 8 Październik 2007 19:12

Logi znajdują się na

http://wklej.org/id/9d7c09b375

chmurka ma się zupełnie nieźle, z dwóch wskazanych plików tego drugiego (nspm.exe) nie znalazłem - musiałem go wcześniej usunąć.

spywarewarning.mht trzyma się mocno - nie mogę go usunąć ani zmienić mu nazwy: ‘there has been sharing violation’ - jakiś proces go trzyma.

Gutek · 8 Październik 2007 22:17

do kasacji pliki

Pobierz program SDFix

DzikiZ · 9 Październik 2007 16:14

Chmurki to jakoś nie ruszyło…

Może miało tu coś do rzeczy, że najpierw uruchomiłem SDFix-a, po czym dopiero skasowałem ręcznie

C:\Documents and Settings\Administrator\Application Data\tvmknwrd.dll

C:\Program Files\desktop.ini

a

C:\WINNT\system32\shdocpe.dll

nie znalazłem?

Log z SDFix:

SDFix: Version 1.107 Run by Administrator on Wt 2007-10-09 at 17:55 Microsoft Windows 2000 [Version 5.00.2195] Running From: C:\SDFix Safe Mode: Checking Services: Name: wins ImagePath: %SystemRoot%\System32\wins.exe wins - Deleted Restoring Windows Registry Values Restoring Windows Default Hosts File Rebooting… Normal Mode: Checking Files: Trojan Files Found: C:\wintemp.log - Deleted C:\WINNT\system32\TFTP1948 - Deleted Folder C:\WINNT\system32\services - Removed Removing Temp Files… ADS Check: C:\WINNT No streams found. C:\WINNT\system32 No streams found. C:\WINNT\system32\svchost.exe No streams found. C:\WINNT\system32\ntoskrnl.exe No streams found. Final Check: Remaining Services: ------------------ Remaining Files: --------------- File Backups: - C:\SDFix\backups\backups.zip Files with Hidden Attributes: Sat 16 May 1998 95,864 …SH. — “C:\COMMAND.COM” Wed 3 Oct 2007 48,128 …SHR — “C:\WINNT\system32\acsetupcp.exe” Tue 31 Aug 2004 15,360 …SHR — “C:\WINNT\system32\shdocpe.dll” Fri 28 Jul 2006 1,682 A.SH. — “C:\WINNT\system32\KGyGaAvL.sys” Fri 28 Jul 2006 56 …SHR — “C:\WINNT\system32\D82C951FCC.sys” Sun 21 Jan 2007 70,144 …SHR — “C:\Program Files\01-mp3search\Setup.exe” Tue 8 Mar 2005 16,384 A.SHR — “C:\Program Files\01-mp3search_Setup.dll” Sat 5 Mar 2005 48 A.SH. — “C:\Documents and Settings\All Users\DRM\v2ks.sec.bak” Sat 5 Mar 2005 400 A.SH. — “C:\Documents and Settings\All Users\DRM\v2ks.bla.bak” Sun 6 May 2007 4,348 …SH. — “C:\Documents and Settings\All Users\DRM\DRMv1.bak” Finished!

Patrząc na log chętnie bym się pozbył

Wed 3 Oct 2007 48,128 …SHR — “C:\WINNT\system32\acsetupcp.exe”

Tue 31 Aug 2004 15,360 …SHR — “C:\WINNT\system32\shdocpe.dll”

Przepuściłem w/w dwa pliki przez ComboFix’a i w końcu pozbyłem się dziada.

Dziękuję za sensowne odpowiedzi/podpowiedzi (nie te o mks-ie…).

Gutek · 9 Październik 2007 22:12

Daj nowy log z ComboFix

DzikiZ · 10 Październik 2007 14:49

Nie zapisałem go nigdzie, chyba że z automatu jest gdzieś przechowywany.

Gutek · 10 Październik 2007 22:42

Na C:\ loga nie masz z Combo?

DzikiZ · 11 Październik 2007 14:56

http://wklej.org/id/6a401ca3af

Mam coś jeszcze przeskanować?

Gutek · 11 Październik 2007 22:13

To jest stary log miałeś dać z dnia dzisiejszego

DzikiZ · 13 Październik 2007 19:04

Log jest z dnia, w którym skasowałem ostatecznie trojana.