Win32.trojandownloader.murlo.nn.trojan

Dla specjalistów Bezpieczeństwo
#1

witam,

walcze z potworami od soboty, ( przy dzielnej pomocy nod32 ) wydaje sie ze wieksza czesc udalo sie usunac, niestety

powracaja pewne ataki, moze z wasza pomoca uda sie tego pozbyc, po przeczytaniu poprzednich postow

wykonalem juz pare “czyszczen” z pomoca combofixa, hijacka ale niestety potwor powraca

a tak wygladaja ostatnie raporty z nod32, kaspersky i hijacka

http://www.wklej.org/id/58d11396f2

http://www.wklej.org/id/05a8009f00

http://www.wklej.org/id/b99f4d8882

moze da sie bez formatki ??

pozdrawiam i sciski za pomoc

#2

Kwarantannę C:\Program Files\ESET\infected opróżnij oraz użyj http://www.atribune.org/ccount/click.php?id=1 i oczyść Temporary Internet Files i Temp

#3

poprzednie wykonalem, niestety potwory wracaja

w załączeniu log ostatnich alertow z noda

http://www.wklej.org/id/cd6e234c13

#4

Pobierz program SDFix

#5

po sciagnieciu pliku nod wywala ze to wirus i nie da sie zainstalowac

a po 2-kliknieciu na ikonke wyskakuje komunikat ze sdfix nie jest prawidlowa aplikacja systemu win32

???

#6

Dopuszcza narzędzia w nodzie, w takim układzie daj log z ComboFix

Też będzie krzyczał, że to syf.

#7

ComboFix 08-06-01.6 - Leo 2008-06-02 22:36:31.8 - FAT32 x86

Microsoft Windows XP Home Edition 5.1.2600.2.1250.1.1045.18.164 [GMT 2:00]

Running from: C:\Documents and Settings\Leo\Pulpit\ComboFix.exe

* Resident AV is active

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED!!

.

((((((((((((((((((((((((( Files Created from 2008-05-02 to 2008-06-02 )))))))))))))))))))))))))))))))

.

2008-06-02 20:36 . 2008-06-02 20:36 0 --a------ C:\Microsoft.vbs

2008-06-02 20:36 . 2008-06-02 20:36 0 --a------ C:\Microsoft.bat

2008-06-02 18:03 . 2008-06-02 18:03

2008-06-02 18:02 . 2008-06-02 18:02

2008-06-02 16:13 . 2008-06-02 16:13

2008-06-02 15:59 . 2008-06-02 15:59

2008-06-02 15:59 . 2008-06-02 15:59

2008-05-31 12:37 . 2008-05-31 12:37 1,160 --a------ C:\WINDOWS\mozver.dat

2008-05-31 12:30 . 2008-05-31 12:30 0 --a------ C:\WINDOWS\nsreg.dat

2008-05-31 12:15 . 2008-05-31 12:15

2008-05-30 23:27 . 2008-05-30 23:27

2008-05-30 23:27 . 2008-05-30 23:27

2008-05-30 23:27 . 2008-05-30 23:27

2008-05-30 23:27 . 2007-12-10 14:53 81,288 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys

2008-05-30 23:27 . 2007-12-10 14:53 66,952 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys

2008-05-30 23:27 . 2008-02-01 12:55 42,376 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys

2008-05-30 23:27 . 2007-12-10 14:53 29,576 --a------ C:\WINDOWS\system32\drivers\kcom.sys

2008-05-26 09:23 . 2008-05-26 09:23

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-03-25 04:52 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll

2008-03-25 04:52 621,344 ------w C:\WINDOWS\system32\dllcache\mswstr10.dll

2008-03-25 04:52 178,976 ----a-w C:\WINDOWS\system32\msjint40.dll

2008-03-25 04:52 178,976 ------w C:\WINDOWS\system32\dllcache\msjint40.dll

2008-03-20 08:09 1,845,504 ----a-w C:\WINDOWS\system32\win32k.sys

2008-03-20 08:09 1,845,504 ------w C:\WINDOWS\system32\dllcache\win32k.sys

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries legit default entries are not shown

REGEDIT4

[HKEY_LOCAL_MACHINE~\Browser Helper Objects{25CEE8EC-5730-41bc-8B58-22DDC8AB8C20}]

2007-12-13 17:49 1185120 --a------ C:\Program Files\Winamp Toolbar\winamptb.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

“{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}”= “C:\Program Files\Winamp Toolbar\winamptb.dll” [2007-12-13 17:49 1185120]

[HKEY_CLASSES_ROOT\clsid{ebf2ba02-9094-4c5a-858b-bb198f3d8de2}]

[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand.1]

[HKEY_CLASSES_ROOT\TypeLib{538CD77C-BFDD-49b0-9562-77419CAB89D1}]

[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]

“{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}”= C:\Program Files\Winamp Toolbar\winamptb.dll [2007-12-13 17:49 1185120]

[HKEY_CLASSES_ROOT\clsid{ebf2ba02-9094-4c5a-858b-bb198f3d8de2}]

[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand.1]

[HKEY_CLASSES_ROOT\TypeLib{538CD77C-BFDD-49b0-9562-77419CAB89D1}]

[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“CTFMON.EXE”=“C:\WINDOWS\system32\ctfmon.exe” [2004-08-04 13:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“HControl”=“C:\WINDOWS\ATK0100\HControl.exe” [2006-02-22 23:40 106496]

“NvCplDaemon”=“C:\WINDOWS\system32\NvCpl.dll” [2005-11-21 10:51 7335936]

“NeroFilterCheck”=“C:\WINDOWS\system32\NeroCheck.exe” [2006-01-12 16:40 155648]

“SynTPEnh”=“C:\Program Files\Synaptics\SynTP\SynTPEnh.exe” [2005-10-21 02:26 761945]

“Wireless Console 2”=“C:\Program Files\Wireless Console 2\wcourier.exe” [2005-10-17 17:09 987136]

“IntelZeroConfig”=“C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe” [2006-04-14 11:51 667718]

“IntelWireless”=“C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe” [2006-04-14 11:52 602182]

“EOUApp”=“C:\Program Files\Intel\Wireless\Bin\EOUWiz.exe” [2006-04-14 11:56 569413]

“Power_Gear”=“C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe” [2006-03-06 17:13 86016]

“BluetoothAuthenticationAgent”=“bthprops.cpl” [2004-08-04 13:00 110592 C:\WINDOWS\system32\bthprops.cpl]

“nod32kui”=“C:\Program Files\Eset\nod32kui.exe” [2007-06-26 22:42 949376]

“MSConfig”=“C:\WINDOWS\pchealth\helpctr\Binaries\MSCONFIG.exe” [2004-08-04 13:00 159744]

W dniu 02.06.2008 , o godzinie 22:41 został dopisany post przez hagnesta

sorry w pospiechu zapomnialem o sposobie przeyslania logow :oops:

W dniu 03.06.2008 , o godzinie 21:25 został dopisany post przez hagnesta

witam, czy są jeszcze jakies pomysły bo jeśłi nie to szkoda czasu :frowning: … i format

#8

z innego forum:

http://forum.idg.pl/index.php?setskin=1 … pic=147334