W32/Lineage.KHP.worm

Dla specjalistów Bezpieczeństwo
#1

skanowałam dziś online (panda) i wyskoczyło mi takie cudo

W32/Lineage.KHP.worm

  1. c:\autorun.inf

mam na kompie Kaspersky’ego ale on mi nic nie wykrył, pokazuję, że komp jest czysty

prosze oto log z Hijack This,

http://wklejto.pl/57305

prosze o pomoc;)

#2

HijackThis tego pliku w ogóle nie widzi.

Pokaż logi z narzędzi:

:arrow: OTL

Przestawiasz w nim Processes i Modules na All oraz wklejasz w dolne białe okienko Custom Scans/Fixes :

Klikasz Run Scan.

:arrow: System Repair Engineer

#3

mam tylko OTL http://wklejto.pl/57326

System Repair Engineer - nie mam tego rozszerzenia , żeby to otworzyć niestety

Dodane 11.02.2010 (Cz) 20:16

http://wklejto.pl/57331 - zapomniałam o tym;)

#4

Przecież to jest najpospolitsze w Windowsach archiwum ZIP. Domyślnie posiada on wbudowaną obsługę tych archiwów. Nie masz w systemie programu pokroju WinRAR lub 7-Zip ??

Dołącam więc do skryptu fix dla rozszerzenia ZIP.

W białe dolne okno Custom Scans/Fixes w OTL wklej bez frazy Code:

:OTL

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.tattoodle.com?tid={E94CDDB1-A775-4639-BFD5-225521E3BFBF}

FF - prefs.js..browser.search.defaultenginename: "Fast Browser Search"

FF - prefs.js..browser.search.defaultthis.engineName: "Fast Browser Search"

FF - prefs.js..browser.search.order.1: "Fast Browser Search"

[2009-10-16 12:31:59 | 000,003,700 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\fast.png

[2009-10-16 12:32:00 | 000,001,963 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\fast.xml

O2 - BHO: (BrowserHelper Class) - {8A9D74F9-560B-4FE7-ABEB-3B2E638E5CD6} - C:\Program Files\SGPSA\SearchAssistant.dll (Make The Web Better, LLC)

O2 - BHO: (Search Assistant) - {F0626A63-410B-45E2-99A1-3F2475B2D695} - C:\Program Files\SGPSA\BHO.dll (MTWB)

O4 - HKLM..\Run: [FBSearch] C:\Program Files\Search Guard Plus\SearchGuardPlus.exe ()

O4 - HKLM..\Run: [SGPUpdater] C:\Program Files\Search Guard PlusU\sgpUpdaters.exe ()

O32 - AutoRun File - [2010-01-11 12:51:15 | 000,000,063 | RHS- | M] () - C:\autorun.inf -- [NTFS]

O32 - AutoRun File - [2010-01-11 12:51:15 | 000,000,063 | RHS- | M] () - D:\autorun.inf -- [NTFS]

O32 - AutoRun File - [2010-01-11 12:51:15 | 000,000,063 | RHS- | M] () - E:\autorun.inf -- [NTFS]


:Reg

[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]

"SuperHidden"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]

"Hidden"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]

"ShowSuperHidden"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]

"CheckedValue"=dword:00000001

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]

@=""

[HKEY_CLASSES_ROOT\.zip]

@="CompressedFolder"

"Content Type"="application/x-zip-compressed"

[HKEY_CLASSES_ROOT\.zip\CompressedFolder]

[HKEY_CLASSES_ROOT\.zip\CompressedFolder\ShellNew]

"Data"=hex:50,4b,05,06,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00

[HKEY_CLASSES_ROOT\.zip\OpenWithProgids]

"CompressedFolder"=""

[HKEY_CLASSES_ROOT\.zip\PersistentHandler]

@="{098f2470-bae0-11cd-b579-08002b30bfeb}"

[HKEY_CLASSES_ROOT\CompressedFolder]

"EditFlags"=dword:00000000

"BrowserFlags"=dword:00000008

"AlwaysShowExt"=""

@="Compressed (zipped) Folder"

"FriendlyTypeName"=hex(2):40,00,25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,\

  00,6f,00,6f,00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,\

  32,00,5c,00,7a,00,69,00,70,00,66,00,6c,00,64,00,72,00,2e,00,64,00,6c,00,6c,\

  00,2c,00,2d,00,31,00,30,00,31,00,39,00,35,00,00,00

[HKEY_CLASSES_ROOT\CompressedFolder\CLSID]

@="{E88DCCE0-B7B3-11d1-A9F0-00AA0060FA31}"

[HKEY_CLASSES_ROOT\CompressedFolder\DefaultIcon]

@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\

  00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,7a,00,69,00,\

  70,00,66,00,6c,00,64,00,72,00,2e,00,64,00,6c,00,6c,00,00,00

[HKEY_CLASSES_ROOT\CompressedFolder\Shell]

@=""

[HKEY_CLASSES_ROOT\CompressedFolder\Shell\find]

"SuppressionPolicy"=dword:00000080

[HKEY_CLASSES_ROOT\CompressedFolder\Shell\find\command]

@=hex(2):43,00,3a,00,5c,00,57,00,49,00,4e,00,44,00,4f,00,57,00,53,00,5c,00,45,\

  00,78,00,70,00,6c,00,6f,00,72,00,65,00,72,00,2e,00,65,00,78,00,65,00,00,00

[HKEY_CLASSES_ROOT\CompressedFolder\Shell\find\ddeexec]

@="[FindFolder(\"%l\", %I)]"

[HKEY_CLASSES_ROOT\CompressedFolder\Shell\find\ddeexec\application]

@="Folders"

[HKEY_CLASSES_ROOT\CompressedFolder\Shell\find\ddeexec\topic]

@="AppProperties"

[HKEY_CLASSES_ROOT\CompressedFolder\Shell\Open]

"BrowserFlags"=dword:00000010

"ExplorerFlags"=dword:00000012

[HKEY_CLASSES_ROOT\CompressedFolder\Shell\Open\Command]

@="rundll32.exe zipfldr.dll,RouteTheCall %L"

[HKEY_CLASSES_ROOT\CompressedFolder\Shell\Open\ddeexec]

@="[ViewFolder(\"%l\", %I, %S)]"

"NoActivateHandler"=""

[HKEY_CLASSES_ROOT\CompressedFolder\Shell\Open\ddeexec\application]

@="Folders"

[HKEY_CLASSES_ROOT\CompressedFolder\Shell\Open\ddeexec\ifexec]

@="[]"

[HKEY_CLASSES_ROOT\CompressedFolder\Shell\Open\ddeexec\topic]

@="AppProperties"

[HKEY_CLASSES_ROOT\CompressedFolder\ShellEx]

[HKEY_CLASSES_ROOT\CompressedFolder\ShellEx\ContextMenuHandlers]

[HKEY_CLASSES_ROOT\CompressedFolder\ShellEx\ContextMenuHandlers\ICQMenu]

@="{f802f260-519b-11d1-bb5d-0060974c6013}"

[HKEY_CLASSES_ROOT\CompressedFolder\ShellEx\ContextMenuHandlers\{b8cdcb65-b1bf-4b42-9428-1dfdb7ee92af}]

@="Compressed (zipped) Folder Menu"

[HKEY_CLASSES_ROOT\CompressedFolder\ShellEx\DropHandler]

@="{ed9d80b9-d157-457b-9192-0e7280313bf0}"

[HKEY_CLASSES_ROOT\CompressedFolder\ShellEx\StorageHandler]

@="{E88DCCE0-B7B3-11d1-A9F0-00AA0060FA31}"


:Files

C:\Program Files\SGPSA

C:\Program Files\Search Guard Plus

C:\Program Files\Search Guard PlusU

C:\Program Files\Fast Browser Search


:Commands

[emptytemp]

[Reboot]

Run Fix. Restart.

Potem log z usuwania oraz nowy log robiony opcją Run Scan.

#5

sory pokręciłam, mam WinRAR-a, ale Kaspersky blokuje mi otworzenie się SRE, w takim wypadku nadal mam postąpić jak pisałeś powyżej??

#6

W takim razie wyłącz Kasperskiego, bo on może przeszkodzić również w działaniu OTL-a.

W takim razie zamiast powyższego skryptu użyj tego:

#7

http://wklejto.pl/57343 - z usuwania

http://wklejto.pl/57344 - Run scan (użyłam tego samego do wklejenia<

netsvcs

msconfig

safebootminimal

safebootnetwork

%systemdrive%*.*

/md5start

agp440.sys

atapi.sys

beep.sys

ndis.sys

winlogon.exe

userinit.exe

/md5stop

chyba dobrze??)

Dodane 11.02.2010 (Cz) 21:52

skanuję jeszcze raz pandą i znalazło mi jeszcze raz ten syf, ale w innej lokalizacji.

W32/Lineage.KHP.worm

1. c:\system volume information_restore{fe779c3…8c-6acf4a0283f8}\rp161\a0027283.inf

w tym momencie przerwałam skanowanie.

Dodam, że

W32/Lineage.KHP.worm

1. c:\autorun.inf

nie pokazuje mi się już w wykrytych.

Nie wiem, czy to ma coś do rzeczy, ale jakieś dwa dni temu Kaspersky na każdym dysku znalazł mi

Zainfekowany: Koń trojański Trojan-GameThief.Win32.Magania.cses

e:\system volume information_restore{fe779c3d-1297-4464-b08c-6acf4a0283f8}\rp161\a0027286.exe 112 kB

c:\system volume information_restore{fe779c3d-1297-4464-b08c-6acf4a0283f8}\rp161\a0027282.exe 112 kB

d:\system volume information_restore{fe779c3d-1297-4464-b08c-6acf4a0283f8}\rp161\a0027284.exe 112 kB

c:\documents and settings\kasiunia\ustawienia lokalne\temp\cvasds0.dll 93 kB

oczywiście pousuwałam je.

#8

Wyłącz i włącz przywracanie systemu http://support.microsoft.com/kb/310405/pl

#9

http://wklejto.pl/57387 - cały skan ‘pandą’

następnie jak włączyłam i wyłączyłam przywracanie systemu po skanowaniu wyszło coś takiego: http://wklejto.pl/57388

wiem, że ciasteczka to nic takiego, ale został jeszcze autorun na dysku C w OTL\moovedfiles. Co z tym teraz począć??

#10

W logu już jest czysto.

W OTL kliknij CleanUp.

Wyczyść rejestr i dysk CCleaner oraz wyłącz nim zbędniki z autostartu (Narzędzia -> Autostart).

Zastosuj Panda USB Vaccine.

#11

dziękować :slight_smile: mam jeszcze pytanie, dotyczące mojej mp3, jest to walkman NWZ-B142 firmy Sony, nie wiem co jest nie tak, ale podłączając ją do kompa nie pokazuje sęięjako dysk wymienny tylko w kategorii “inne”. W tym nie tkwi problem, chodzi o to, że za żadnego czorta nie mogę jej przeskanować, ani z poziomu antywirusa wybierając lokalizację, ani klikając prawym przyciskiem myszy. Tak jakby Kaspersky, nie widział w ogóle tego urządzania.

Dodane 12.02.2010 (Pt) 17:07

zonk, znowu ma to samo w system volume information,

http://wklejto.pl/57446

a jeszcze wczoraj nie było nie wiem o co kaman;/

Dodane 12.02.2010 (Pt) 17:17

http://wklejto.pl/57448 - teraz jeszcze w innej lokalizacji :cry: jak to tak??

#12

To drugie to chyba jakaś historia wirusów czy coś… nie wiem. a to pierwsze :

#13

to co wyżej zrobiłam już dwa razy, a ta historia wirusów nie wiem czy się ty martwic czy nie, poddałam je kwarantannie w KAspersky’m ale nie wiem czy je trzeba usuwac, nie chce czegoś na mieszać.

Dodane 12.02.2010 (Pt) 23:29

podsumowując, po poddaniu trzech plików kwarantannie http://wklejto.pl/57497 panda nic nie wykryła, teraz tylko pytanie, czy te pliki w ogóle mogę skasować, żeby nie narobić przy okazji jakiegoś bałaganu. Dodam, że że w folderze, w którym się znajdowały były też inne pliki, ale tylko te 3 były jako niewidoczne.