Walka z wirusami. Czy wszystkie już wywaliłem?

romek_1981 · 29 Grudzień 2007 18:46

Wtam

Ostatnio miałem mały problem z virami typu: Backdoor.Perlovga.A; Dropper.Small.apl; Trojan.Copier no przynajmniej te udało sie wykryc po kilku scanach net przestał działac i pare innych kłopotów też się pojawiło. W końcu bezradny postawiłem nowy system i spotkała mnie nowa niespodzianaka w postaci kolejnych zainfekowanych plików, które chyba udało mi się usuną. Poniżej podaje loga z Hijacka z prośbą o ich sprawdzenie.

Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:34:23, on 2007-12-29 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\wscntfy.exe C:\Program Files\ATI Technologies\ATI.ACE\cli.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe C:\WINDOWS\system32\RaConfig.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.adobe.com/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza F3 - REG:win.ini: load=C:\WINDOWS\svchost.exe O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM…\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM…\Run: [ATICCC] “C:\Program Files\ATI Technologies\ATI.ACE\cli.exe” runtime O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA LOKALNA’) O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’) O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’) O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’) O4 - Startup: Connection through RT2400 Wireless LAN Card.lnk = ? O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe O4 - Global Startup: RaConfig.lnk = C:\WINDOWS\system32\RaConfig.exe O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra ‘Tools’ menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra ‘Tools’ menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab O17 - HKLM\System\CCS\Services\Tcpip…{77C6FC4E-B0E0-4C5C-B6A6-4256F6713E29}: NameServer = 213.199.204.162 213.199.204.3 O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe – End of file - 3302 bytes

THX za pomoc i pozdr. all

Gutek · 29 Grudzień 2007 18:52

F3 - REG:win.ini: load=C:\WINDOWS\svchost.exe

Pobierz program SDFix

romek_1981 · 29 Grudzień 2007 19:12

Dzięki Gutek2222

a co tak naprawde oznacza ten wpis ?? za co jest odpowiedzialny ??

romek_1981 · 29 Grudzień 2007 19:39

Przesyłam raport z SDFix

SDFix: Version 1.120 Run by Sylwunia on 2007-12-29 at 20:25 Microsoft Windows XP [Wersja 5.1.2600] Running From: C:\PROGRA~1\SDFix\SDFix Safe Mode: Checking Services: Restoring Windows Registry Values Restoring Windows Default Hosts File Rebooting… Normal Mode: Checking Files: Trojan Files Found: C:\WINDOWS\autorun.inf - Deleted Removing Temp Files… ADS Check: C:\WINDOWS No streams found. C:\WINDOWS\system32 No streams found. C:\WINDOWS\system32\svchost.exe No streams found. C:\WINDOWS\system32\ntoskrnl.exe No streams found. Final Check: catchme 0.3.1333.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-12-29 20:34:17 Windows 5.1.2600 Dodatek Service Pack 2 FAT NTAPI scanning hidden processes … scanning hidden services … scanning hidden autostart entries … scanning hidden files … scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 Remaining Services: ------------------ Authorized Application Key Export: [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] “%windir%\system32\sessmgr.exe”="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" “%windir%\Network Diagnostic\xpnetdiag.exe”="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" “C:\Program Files\Gadu-Gadu\gg.exe”=“C:\Program Files\Gadu-Gadu\gg.exe:*:Enabled:Gadu-Gadu - program g˘wny” [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] “%windir%\system32\sessmgr.exe”="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" “%windir%\Network Diagnostic\xpnetdiag.exe”="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" Remaining Files: --------------- File Backups: - C:\PROGRA~1\SDFix\SDFix\backups\backups.zip Files with Hidden Attributes: Sat 13 May 2006 1,211 A.SHR — “C:\copy.exe” Sat 13 May 2006 1,211 A.SHR — “C:\WINDOWS\xcopy.exe” Finished!

Gutek · 29 Grudzień 2007 20:18

Nie poszło wszystko - Daj log z ComboFix

Infekcja z pena:

C:\copy.exe

C:\WINDOWS\xcopy.exe

romek_1981 · 30 Grudzień 2007 11:52

Ponizej raport z ComboFix-a, odpaliłem go najpierw w awaryjnym a nstępnie po restarcie kompa raport wyswietlił się w trybie normalnym.

Ps. jak rozpoznajesz jaki i kiedy plik jest zarażony ?? można sie tego w jakiś łatwy sposób nauczy są jakieś poradniki itp. ?? moge dostac jakiś link??

ComboFix 07-12-21.4 - Sylwunia 2007-12-30 12:34:34.1 - [color=red][b]FAT32[/b][/color]x86 MINIMAL

Gutek · 30 Grudzień 2007 13:40

Otwórz Notatnik i wklej w nim to:

Windows Registry Editor Version 5.00 


[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG >>> kliknij dwa razy na utworzony plik FIX.REG i potwierdź dodanie do rejestru >>> restart.

romek_1981 · 30 Grudzień 2007 19:08

Wyskakuje mały błąd o braku spójności danych - “tylko dane w postaci binarnej” o ile dobrze pamiętam co mam z tym dale zrobić ??

Gutek · 30 Grudzień 2007 20:18

>>Start >>> Uruchom >>> wybierz (lub wpisz) REGEDIT>>OK>

>rozwiń ten klucz,klikając na (+):

>(+)HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2

>zaznacz: D>>prawoklik>>usuń

>zwiń ten klucz, klikając na (-).