Wieczny problem z trojanem WIN32/PSW.ONLINEGAMES.NMY i NMP


(Work) #1

Witam wszystkich!

Od jakiegoś czasu mam problem z tym robakiem (jak w temacie) i w żaden sposób nie potrafię go zwalczyć. NOD32 notorycznie mi go wykrywa a jedyne co potrafi zrobić, to przenieść do kwarantanny. Poczytałem o tym u Was i uzyłem Combofixa - oto log po jego użyciu:

ComboFix 08-11-30.01 - Krzychu 2008-11-30 21:39:53.14 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.654 [GMT 1:00]

Uruchomiony z: d:\trojan\ComboFix.exe

UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA

.

((((((((((((((((((((((((( Pliki utworzone od 2008-10-28 do 2008-11-30 )))))))))))))))))))))))))))))))

.

2008-11-27 20:16 . 2008-11-27 20:22

2008-10-20 18:54 . 2008-10-20 18:54

2008-10-12 11:23 . 2008-10-12 11:23

2008-10-12 11:23 . 2008-11-30 21:30

2008-10-11 09:16 . 2008-10-11 09:16

2008-10-02 20:23 . 2008-10-02 20:23

2008-10-02 20:22 . 2007-10-04 05:58 507,950 --a------ c:\windows\system32\getver.exe

2008-10-02 20:22 . 2007-10-20 14:42 133,120 --a------ c:\windows\system32\HASPXPx64.dll

2008-10-02 20:22 . 2007-10-20 14:42 110,592 --a------ c:\windows\system32\HASPXPx32.dll

2008-10-02 20:21 . 2006-11-22 09:01 693,760 --a------ c:\windows\system32\drivers\hardlock.sys

2008-10-02 20:21 . 2008-10-02 20:21 47,616 --a------ c:\windows\system32\drivers\Haspnt.sys

2008-10-02 20:21 . 2008-10-02 20:21 6,656 --a------ c:\windows\system32\haspvdd.dll

2008-10-02 20:21 . 2008-02-29 18:23 2,596 --a------ c:\windows\system32\config.hsp

2008-10-02 20:21 . 2008-10-02 20:21 383 --a------ c:\windows\system32\haspdos.sys

2008-10-02 20:20 . 1998-10-29 14:45 306,688 --a------ c:\windows\IsUninst.exe

2008-10-02 20:20 . 2002-12-17 15:23 33,340 --a------ c:\windows\system32\dbmsqlgc.dll

2008-10-02 20:20 . 2002-10-20 13:05 24,576 --a------ c:\windows\system32\dbmsgnet.dll

.

(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-11-30 20:30 --------- d-----w c:\documents and settings\Krzychu\Dane aplikacji\uTorrent

2008-11-30 15:41 --------- d-----w c:\program files\AIMP2

2008-11-29 09:16 --------- d-----w c:\documents and settings\All Users\Dane aplikacji\ZoomBrowser

2008-11-23 15:32 --------- d-----w c:\documents and settings\Krzychu\Dane aplikacji\ZoomBrowser EX

2008-11-18 20:09 --------- d-----w c:\program files\The KMPlayer

2008-11-13 19:43 --------- d-----w c:\program files\Spybot - Search & Destroy

2008-11-13 19:43 --------- d-----w c:\documents and settings\All Users\Dane aplikacji\Spybot - Search & Destroy

2008-10-25 17:46 --------- d-----w c:\program files\IsoBuster

2008-10-24 11:10 453,632 ----a-w c:\windows\system32\drivers\mrxsmb.sys

2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll

2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll

2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll

2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll

2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll

2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe

2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll

2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll

2008-09-30 15:43 1,286,152 ----a-w c:\windows\system32\msxml4.dll

2008-09-21 13:58 361,728 ----a-w c:\windows\system32\TuneUpDefragService.exe

2008-09-15 15:40 1,846,272 ----a-w c:\windows\system32\win32k.sys

2008-09-04 16:46 1,106,944 ----a-w c:\windows\system32\msxml3.dll

2008-08-26 08:27 826,368 ----a-w c:\windows\system32\wininet.dll

2008-08-22 21:00 37,888 ----a-w c:\windows\system32\setupnt.dll

2008-08-22 21:00 367,104 ----a-w c:\windows\system32\autoprnt.exe

2008-08-14 13:46 2,137,600 ----a-w c:\windows\system32\ntoskrnl.exe

2008-08-14 13:46 2,017,280 ----a-w c:\windows\system32\ntkrnlpa.exe

2008-04-27 10:02 7,780 ----a-w c:\documents and settings\Krzychu\FMCodec.dat

.

((((((((((((((((((((((((((((( snapshot@2008-11-30_21.35.44.20 )))))))))))))))))))))))))))))))))))))))))

.

  • 2008-11-30 20:41:55 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_79c.dat

.

((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-03 15360]

"Active Desktop Calendar"="c:\program files\Active Desktop Calendar\ADC.exe" [2008-08-13 3780608]

"RocketDock"="c:\windows\BricoPacks\Crystal Clear\RocketDock\RocketDock.exe" [2006-05-14 344064]

"CTZDetec.exe"="c:\program files\Creative\Creative Media Lite\CTZDetec.exe" [2007-12-18 401408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"LanguageMonitor"="c:\windows\system32\Oplmsb01.exe" [2004-01-09 94208]

"egui"="c:\program files\ESET\ESET Smart Security\egui.exe" [2008-02-20 1443072]

"Ad Muncher"="c:\program files\Ad Muncher\AdMunch.exe" [2008-03-16 779776]

"WinFastDTV"="c:\program files\WinFast\WFDTV\DTVSchdl.exe" [2007-12-21 90112]

c:\documents and settings\All Users\Menu Start\Programy\Autostart\

Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"MaxRecentDocs"= 11 (0xb)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"msacm.ac3filter"= ac3filter.acm

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"DiskeeperSystray"="c:\program files\Diskeeper\DkIcon.exe"

"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_03\bin\jusched.exe"

"Acronis Scheduler2 Service"="c:\program files\Common Files\Acronis\Schedule2\schedhlp.exe"

"TrueImageMonitor.exe"=c:\program files\Acronis\TrueImageEchoEnterpriseServer\TrueImageMonitor.exe

"AcronisTimounterMonitor"=c:\program files\Acronis\TrueImageEchoEnterpriseServer\TimounterMonitor.exe

"RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\system32\sessmgr.exe"=

"c:\Program Files\uTorrent\utorrent.exe"=

"c:\Program Files\totalcmd\TOTALCMD.EXE"=

"c:\Program Files\Skype\Phone\Skype.exe"=

R2 ppsio2;PPDevice;c:\windows\system32\drivers\ppsio2.sys [2008-09-30 22400]

R2 UPSmart;UPSmart;c:\program files\Commander Pro\UPServ.exe UPSmart []

S2 NOD32FiXTemDono;Eset Nod32 Boot;c:\windows\system32\regedt32.exe /s c:\windows\nod32fixtemdono.reg [2001-10-26 3584]

S3 WFIOCTL;WFIOCTL;\??\c:\program files\WinFast\WFDTV\WFIOCTL.SYS [2008-04-28 9446]

S4 HASPSrv;HASPSrv;c:\windows\system32\HASPSrv.exe []

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

UxTuneUp

.

Zawartość folderu 'Zaplanowane zadania'

2008-11-30 c:\windows\Tasks\Konserwacja jednym kliknięciem.job

  • c:\program files\TuneUp Utilities 2008\OneClickStarter.exe [2008-08-27 11:09]

2008-11-29 c:\windows\Tasks\shutdown.job

  • C:\shutdown.bat [2007-09-30 11:17]

.

.

------- Skan uzupełniający -------

.

uStart Page = about:blank

uInternet Connection Wizard,ShellNext = iexplore

IE: E&ksport do programu Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

IE: Subscribe in RSS Popper - c:\program files\RSS Popper\ie_subscribe.htm

c:\windows\system32\SkanerOnlineUninstall.exe - c:\windows\system32\SkanerOnline.dll

O16 -: {68282C51-9459-467B-95BF-3C0E89627E55}

hxxp://www.mks.com.pl/skaner/SkanerOnline.cab

c:\windows\Downloaded Program Files\SkanerOnline.inf

.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-11-30 21:41:49

Windows 5.1.2600 Dodatek Service Pack 2 NTFS

skanowanie ukrytych procesów ...

skanowanie ukrytych wpisów autostartu ...

skanowanie ukrytych plików ...

skanowanie pomyślnie ukończone

ukryte pliki: 0

Proszę o wskazanie co tu może mi jeszcze śmiecić. Dzieki za każda rade i informację


(Leon$) #2

log nie wskazuje na żadnego trojana

Pobierz program SDFix

-


(Work) #3

Dzięki Leon$ za porady! Już się biorę do roboty i o wynikach poinformuje.

pozdro


(Work) #4

I oto wyniki: :smiley:

raport SDFixa wygląda następująco

SDFix: Version 1.240

Run by Administrator on 2008-12-01 at 20:25

Microsoft Windows XP [Wersja 5.1.2600]

Running From: C:\SDFix

Checking Services :

Restoring Default Security Values

Restoring Default Hosts File

Rebooting

Checking Files :

No Trojan Files Found

Removing Temp Files

ADS Check :

Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-12-01 20:28:21

Windows 5.1.2600 Dodatek Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]

"s1"=dword:6f38a68a

"s2"=dword:0a197bf1

"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]

"p0"="C:\Program Files\DAEMON Tools Lite\"

"h0"=dword:00000000

"khjeh"=hex:c2,dd,3c,d8,7b,9c,74,50,60,48,29,38,95,8e,ac,53,71,78,22,de,8e,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]

"a0"=hex:20,01,00,00,ba,74,70,c2,a3,bb,33,55,4e,e7,7f,9e,0a,b7,41,16,fc,..

"khjeh"=hex:36,1c,c0,7b,36,e0,a0,31,43,78,ad,e5,6b,bd,b3,98,7e,dd,94,d3,8b,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]

"khjeh"=hex:ef,f5,fd,82,d6,8a,a6,76,6e,3f,bc,45,07,9b,49,9b,6e,cf,de,3e,42,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]

"p0"="C:\Program Files\DAEMON Tools Lite\"

"h0"=dword:00000000

"khjeh"=hex:c2,dd,3c,d8,7b,9c,74,50,60,48,29,38,95,8e,ac,53,71,78,22,de,8e,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]

"a0"=hex:20,01,00,00,ba,74,70,c2,a3,bb,33,55,4e,e7,7f,9e,0a,b7,41,16,fc,..

"khjeh"=hex:36,1c,c0,7b,36,e0,a0,31,43,78,ad,e5,6b,bd,b3,98,7e,dd,94,d3,8b,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]

"khjeh"=hex:ef,f5,fd,82,d6,8a,a6,76,6e,3f,bc,45,07,9b,49,9b,6e,cf,de,3e,42,..

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully

hidden processes: 0

hidden services: 0

hidden files: 0

Remaining Services :

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\Program Files\uTorrent\utorrent.exe"="C:\Program Files\uTorrent\utorrent.exe:*:Enabled:uTorrent"

"C:\Program Files\totalcmd\TOTALCMD.EXE"="C:\Program Files\totalcmd\TOTALCMD.EXE:*:Enabled:Total Commander 32"

"C:\Program Files\Skype\Phone\Skype.exe"="C:\Program Files\Skype\Phone\Skype.exe:*:Enabled:Skype"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

Remaining Files :

Files with Hidden Attributes :

Wed 13 Oct 2004 1,694,208 ..SH. --- "C:\Program Files\Messenger\msmsgs.exe"

Tue 3 Aug 2004 705,024 A.SH. --- "C:\Program Files\Outlook Express\MSIMN.EXE"

Wed 22 Oct 2008 949,072 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\advcheck.dll"

Mon 15 Sep 2008 1,562,960 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SDHelper.dll"

Thu 14 Aug 2008 1,429,840 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SDUpdate.exe"

Wed 30 Jul 2008 4,891,984 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe"

Wed 22 Oct 2008 962,896 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\Tools.dll"

Tue 3 Aug 2004 60,928 A.SH. --- "C:\WINDOWS\BricoPacks\SysFiles\84_MSIMN.EXE"

Finished!

Skanowanie Anti-Malware przyniosło taki efekt:

Co najciekawsze w tym wszystkim - podczas skanowania Anti-Malware uruchomił mi sie kilkakrotnie powiadamiacz NOD32 o wystapieniu trojana Win32/PSW.OnLineGames.NMP i umieszczeniu go w kwarantannie. Trojany te znajdowały sie w takiej lokalizacji: C:\System Volume Information_restore{D11FCA1E-952A-4E88A008-3E82D366C3A9}\RP235\A0047835.dll Pojawiło się ich w sumie 9 dla róznych plików w tej lokalizacji w tym czasie jak Anti-Malware przesukiwał tą lokalizację dysku. To samo stało się dla dysku D: i podobnej lokalizacji

log:

alwarebytes' Anti-Malware 1.30

Wersja bazy definicji: 1441

Windows 5.1.2600 Dodatek Service Pack 2

2008-12-01 20:55:19

mbam-log-2008-12-01 (20-55-19).txt

Typ skanowania: Pełne skanowanie (C:\|D:\|E:\|)

Przeskanowane obiekty: 121772

Upłynęło: 20 minute(s), 22 second(s)

Zainfekowane procesy w pamięci: 0

Zainfekowane moduły pamięci: 0

Zainfekowane klucze rejestru: 0

Zainfekowane wartości rejestru: 0

Zainfekowane pliki rejestru: 0

Zainfekowane foldery: 0

Zainfekowane pliki: 0

Zainfekowane procesy w pamięci:

(Nie wykryto groźnych plików)

Zainfekowane moduły pamięci:

(Nie wykryto groźnych plików)

Zainfekowane klucze rejestru:

(Nie wykryto groźnych plików)

Zainfekowane wartości rejestru:

(Nie wykryto groźnych plików)

Zainfekowane pliki rejestru:

(Nie wykryto groźnych plików)

Zainfekowane foldery:

(Nie wykryto groźnych plików)

Zainfekowane pliki:

(Nie wykryto groźnych plików)

... i badz tu człowieku mądry :smiley:


(Leon$) #5

Pobierz CCleaner http://www.filehippo.com/download_ccleaner/

przeskanuj nim i wyczyść rejestr.

zrób optymalizacje uruchamiania

http://cybertrash.netarteria.pl/cyber/i ... 378.0.html

usuń ręcznie folder C: \Qoobox usuń instalkę Combofix z dysku.

Wyłącz I włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl ważne

przeskanuj obszar Mój komputer http://www.kaspersky.pl/virusscanner.html gdy będą wirusy pokaż raport

:slight_smile:


(Work) #6

Ufff.... ale się napracowałem :slight_smile: Ale punkt po punkciku zrobiłem i Kaspersky tez nic szczegolnego nie wykrył. POżyjemy zobaczymy czy znów trojan się pojawi.

Jeszcze raz dzięki Leon$ za rady i linki! !!

Pozdrawim i spokojnej nocy


(Kaka') #7

Rychu77 ,

Zmiana zasad wklejania logów na forum -> viewtopic.php?f=16&t=253052 Proszę poprawić logi.