Win32:Rootkit-gen i Win32:Trojan-gen

Dla specjalistów Bezpieczeństwo
#1

Witam, problem tak jak w tytule do tego komp często muli co mu się wcześniej nie zdarzało

skany z otl i hijacka

OTL: http://www.wklejto.pl/47062

skan z Hijacka

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 23:48:58, on 2009-11-12

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE

C:\Program Files\Java\jre6\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM…\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM…\Run: [Adobe Reader Speed Launcher] “C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe”

O4 - HKLM…\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM…\Run: [EPSON Stylus C42 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 “EPSON Stylus C42 Series” /O6 “USB001” /M “Stylus C42”

O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM…\Run: [nwiz] nwiz.exe /install

O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM…\Run: [sunJavaUpdateSched] “C:\Program Files\Java\jre6\bin\jusched.exe”

O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU…\Run: [Gadu-Gadu] “C:\Program Files\Gadu-Gadu\gg.exe” /tray

O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA LOKALNA’)

O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’)

O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’)

O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’)

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip…{017EA1B4-79EC-460E-A9B8-576E590D0FA3}: NameServer = 62.148.87.180,213.17.145.2

O17 - HKLM\System\CS1\Services\Tcpip…{017EA1B4-79EC-460E-A9B8-576E590D0FA3}: NameServer = 62.148.87.180,213.17.145.2

O17 - HKLM\System\CS2\Services\Tcpip…{017EA1B4-79EC-460E-A9B8-576E590D0FA3}: NameServer = 62.148.87.180,213.17.145.2

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

End of file - 4613 bytes

#2

Nie wiem, co to jest.

Sprawdź go na --> JOTTI/ albo na VIRUSTOTAL. albo na VIRSCAN

I nic więcej podejrzanego to nie ma.

Możesz ewentualnie dać jeszcze log z >SRENG (Po uruchomieniu klik “SmartScan”, zaznacz “Verify…”, klik “Scan”, czekasz na raport, klik na “Save…”, potem na “Close”).

jessi

>Nowa fala ataków robaka Gumblar

>Conficker rozprzestrzenia się po Polsce

#3

no to był wirus, skasowany, mam nadzieje ze juz ok bedzie, dzieki:)

ponizej skan z virscana dla podglądu

VirSCAN.org Scanned Report :

Scanned time : 2009/06/05 06:31:50 (CEST)

Scanner results: 79% skanerów(3038) znalazło szkodliwe oprogramowanie!

File Name : 1.html

File Size : 4037 byte

File Type : Sendmail frozen configuration - version body bgcolor=

MD5 : 4a2514195555a43458b4e087d29124be

SHA1 : e96f20c01c95b12a6cf9992b1e16deaac5ca025c

Online report : http://virscan.org/report/e8541b64f8b1b … fd4d2.html

Scanner Engine Ver Sig Ver Sig Date Time Scan result

a-squared 4.0.0.32 20090604013225 2009-06-04 2.05 Virus.Win32.Killmbr.D!IK

AhnLab V3 2009.06.05.00 2009.06.05 2009-06-05 0.74 Win-Trojan/Dialer.712704.B

AntiVir 8.2.0.180 7.1.4.59 2009-06-04 0.55 KIT/GhostDial.1

Antiy 2.0.18 20090604.2498051 2009-06-04 0.15 Trojan/Win32.Dialer.gvg

Arcavir 2009 200906041608 2009-06-04 0.39 Dialer.Bib

Authentium 5.1.1 200906041652 2009-06-04 1.18 W32/Trojan2.DOJN (Exact)

AVAST! 4.7.4 090604-0 2009-06-04 0.05 Win32:Dialer-1314 [Trj]

AVG 8.5.286 270.12.53/2155 2009-06-05 0.37 Dialer.KNV

BitDefender 7.81008.3335505 7.25811 2009-06-05 0.75 Trojan.Generic.1004008

CA (VET) 9.0.0.143 31.6.6539 2009-06-05 9.17 -

ClamAV 0.95.1 9421 2009-06-05 0.18 Dialer-3765

Comodo 3.9 1259 2009-06-04 0.74 ApplicUnwnt.Win32.PornTool.Agent.fi

CP Secure 1.1.0.715 2009.06.03 2009-06-03 9.97 -

Dr.Web 4.44.0.9170 2009.06.05 2009-06-05 4.85 BackDoor.Pigeon.12989

F-Prot 4.4.4.56 20090604 2009-06-04 1.15 W32/Trojan2.DOJN (exact)

F-Secure 5.51.6100 2009.06.05.03 2009-06-05 5.79 -

Fortinet 2.81-3.117 10.466 2009-06-04 0.35 Suspicious

GData 19.5615/19.353 20090605 2009-06-05 4.39 Win32:Dialer-1313 [Trj] [Engine]

ViRobot 20090604 2009.06.04 2009-06-04 0.42 -

Ikarus T3.1.01.57 2009.06.03.72814 2009-06-03 3.11 Virus.Win32.Killmbr.D

JiangMin 11.0.706 2009.06.03 2009-06-03 2.07 Trojan/Dialer.gnc

Kaspersky 5.5.10 2009.06.05 2009-06-05 0.08 not-a-virus:Porn-Dialer.Win32.Agent.fi

KingSoft 2009.2.5.15 2009.6.4.21 2009-06-04 0.51 Win32.Hack.ReSSDT.c.716800

McAfee 5.3.00 5636 2009-06-04 2.97 BackDoor-DSQ

Microsoft 1.4701 2009.06.04 2009-06-04 4.29 Backdoor:Win32/Farfli.J

mks_vir 2.01 2009.06.05 2009-06-05 3.35 -

Norman 6.01.05 6.01.00 2009-06-02 4.01 W32/Dialer.DHRP

Panda 9.05.01 2009.06.04 2009-06-04 1.86 -

Trend Micro 8.700-1004 6.170.08 2009-06-04 0.06 TROJ_DIAL.RHB

Quick Heal 10.00 2009.06.05 2009-06-05 1.37 -

Rising 20.0 21.32.34.00 2009-06-04 0.99 Backdoor.Win32.Drwolf.axh

Sophos 2.87.1 4.42 2009-06-05 2.44 Mal/Whybo-A

Sunbelt 5170 5170 2009-06-04 0.94 Porn-Dialer.Win32.Agent.fi

Symantec 1.3.0.24 20090604.002 2009-06-04 0.06 -

nProtect 20090604.01 4070376 2009-06-04 5.23 Trojan/W32.Dialer.712704

The Hacker 6.3.4.3 v00340 2009-06-04 0.63 Trojan/Dialer.Agent.fi

VBA32 3.12.10.6 20090604.1412 2009-06-04 1.96 Porn-Dialer.Win32.Agent.fi

VirusBuster 4.5.11.10 10.107.2/1575686 2009-06-04 1.90 Dialer.Agent.IFEU

#4

Tak, teraz powinno już być czysto.

jessi

#5

teoretycznie powinno, a teraz znowu to samo wyskoczyło mimo usunięcia różnymi sposobami:

C:\WINDOWS\System32\x

jakieś pomysły?

#6

Uruchom OTL i w oknie Custom Scans/Fixes wklej to:

Kliknij w Run Fix. Zatwierdź restart komputera.

Następnie w folderze C:\WINDOWS\system32 utwórz nowy folder i nazwij go " x".

Następnie uruchom OTL ponownie, tym razem wywołaj opcję Run Scan.

Pokaż nowy log OTL.txt oraz log z czyszczenia.

jessi