Win32.Virut.a


(Frycu7) #1

Związku z tym że załapałem w/w syf i z tego co wiem do niedawna zaden antyvir tego nie wywalał oprócz kasperskiego,mam pytanie czy jest już cos co to usuwa bez konieczności robienia tego z innego dysku?Mam zainfekowane prawie wszystkie exeki czy to jest wogóle do uratowania?Nie mogę niestety podpiąć się pod inny dysk,nie mogę tez zrobić formata.Póki co blokuje co moze firewall,ale on pewnie też jest zainfekowany.Zyje z tym już jakis czas ale nie chcę nic grzebac żeby nie utracić ważnych danych...


(Lopio) #2

Wstaw logi z HijackThis i SilentRunners, opis tu : http://forum.dobreprogramy.pl/viewtopic.php?t=36654


(Frycu7) #3

To i tak nic nie da bo pewnie w logach nic nie widać

Logfile of HijackThis v1.99.1

Scan saved at 12:13:40, on 2006-10-31

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Winamp\winampa.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Program Files\Sygate\SPF\Smc.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\eMule\eMule.exe

C:\Program Files\Winamp\winamp.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\Program Files\Winamp\winamp.exe

C:\Program Files\Mozilla Firefox\firefox.exe

D:\instalki\hijackthis\HijackThis.exe


O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\Smc.exe -startgui

O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - Startup: AVG Anti-Spyware.lnk = C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

O4 - Startup: Skrót do Smc.exe.lnk = C:\Program Files\Sygate\SPF\Smc.exe

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.pl/resources/virusscanner/kavwebscan_unicode.cab

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {5A09E43F-A0A7-4ABF-AF80-11367CF1DC8F} (MainControl Class) - http://mks.com.pl/skaner/SkanerOnline.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{52C73922-7904-48B0-88E5-498C5AE80884}: NameServer = 217.30.129.149,217.30.137.200

O17 - HKLM\System\CS1\Services\Tcpip\..\{52C73922-7904-48B0-88E5-498C5AE80884}: NameServer = 217.30.129.149,217.30.137.200

O17 - HKLM\System\CS2\Services\Tcpip\..\{52C73922-7904-48B0-88E5-498C5AE80884}: NameServer = 217.30.129.149,217.30.137.200

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\Smc.exe

"Silent Runners.vbs", revision 46, http://www.silentrunners.org/

Operating System: Windows XP SP2

Output limited to non-default values, except where indicated by "{++}"



Startup items buried in registry:

---------------------------------


HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}

"Gadu-Gadu" = ""C:\Program Files\Gadu-Gadu\gg.exe" /tray" ["Gadu-Gadu Sp. z o.o."]

"MSMSGS" = ""C:\Program Files\Messenger\msmsgs.exe" /background" [MS]


HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}

"WinampAgent" = "C:\Program Files\Winamp\winampa.exe" [null data]

"SmcService" = "C:\PROGRA~1\Sygate\SPF\Smc.exe -startgui" ["Sygate Technologies, Inc."]


HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\

"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Rozszerzenie CPL kadrowania wyświetlania"

  -> {HKLM...CLSID} = "Rozszerzenie CPL kadrowania wyświetlania"

                   \InProcServer32\(Default) = "deskpan.dll" [file not found]

"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Rozszerzenie ikony HyperTerminalu"

  -> {HKLM...CLSID} = "HyperTerminal Icon Ext"

                   \InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]

"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"

  -> {HKLM...CLSID} = "Microsoft Office Outlook"

                   \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL" [MS]

"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"

  -> {HKLM...CLSID} = "Rozszerzenie ikon plików programu Outlook"

                   \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL" [MS]

"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"

  -> {HKLM...CLSID} = (no title provided)

                   \InProcServer32\(Default) = "C:\Program Files\Microsoft Office\OFFICE11\msohev.dll" [MS]

"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"

  -> {HKLM...CLSID} = "WinRAR"

                   \InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]


HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\

INFECTION WARNING! "{57B86673-276A-48B2-BAE7-C6DBB3020EB8}" = "AVG Anti-Spyware 7.5"

  -> {HKLM...CLSID} = "CShellExecuteHookImpl Object"

                   \InProcServer32\(Default) = "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\shellexecutehook.dll" ["Anti-Malware Development a.s."]


HKLM\Software\Classes\PROTOCOLS\Filter\

INFECTION WARNING! text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"

  -> {HKLM...CLSID} = (no title provided)

                   \InProcServer32\(Default) = "C:\Program Files\Common Files\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]


HKLM\Software\Classes\*\shellex\ContextMenuHandlers\

AVG Anti-Spyware\(Default) = "{8934FCEF-F5B8-468f-951F-78A921CD3920}"

  -> {HKLM...CLSID} = "CContextScan Object"

                   \InProcServer32\(Default) = "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\context.dll" ["Anti-Malware Development a.s."]

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

  -> {HKLM...CLSID} = "WinRAR"

                   \InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]


HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\

AVG Anti-Spyware\(Default) = "{8934FCEF-F5B8-468f-951F-78A921CD3920}"

  -> {HKLM...CLSID} = "CContextScan Object"

                   \InProcServer32\(Default) = "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\context.dll" ["Anti-Malware Development a.s."]

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

  -> {HKLM...CLSID} = "WinRAR"

                   \InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]


HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

  -> {HKLM...CLSID} = "WinRAR"

                   \InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]



Active Desktop and Wallpaper:

-----------------------------


Active Desktop is disabled at this entry:

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState


HKCU\Control Panel\Desktop\

"Wallpaper" = "C:\Documents and Settings\Frycu1981\Ustawienia lokalne\Dane aplikacji\Microsoft\Wallpaper1.bmp"



Enabled Screen Saver:

---------------------


HKCU\Control Panel\Desktop\

"SCRNSAVE.EXE" = "C:\WINDOWS\system32\logon.scr" [MS]



Startup items in "Frycu1981" & "All Users" startup folders:

-----------------------------------------------------------


C:\Documents and Settings\Frycu1981\Menu Start\Programy\Autostart

"AVG Anti-Spyware" -> shortcut to: "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" ["Anti-Malware Development a.s."]

"Skrót do Smc.exe" -> shortcut to: "C:\Program Files\Sygate\SPF\Smc.exe" ["Sygate Technologies, Inc."]



Winsock2 Service Provider DLLs:

-------------------------------


Namespace Service Providers


HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}

000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]

000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]


Transport Service Providers


HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}

0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:

wps.dll ["Sygate Technologies, Inc."], 01 - 11, 23

%SystemRoot%\system32\mswsock.dll [MS], 12 - 14, 17 - 22

%SystemRoot%\system32\rsvpsp.dll [MS], 15 - 16



Toolbars, Explorer Bars, Extensions:

------------------------------------


Extensions (Tools menu items, main toolbar menu buttons)


HKLM\Software\Microsoft\Internet Explorer\Extensions\

{92780B25-18CC-41C8-B9BE-3C9C571A8263}\

"ButtonText" = "Badanie"


{FB5F1910-F110-11D2-BB9E-00C04F795683}\

"ButtonText" = "Messenger"

"MenuText" = "Windows Messenger"

"Exec" = "C:\Program Files\Messenger\msmsgs.exe" [MS]



Running Services (Display Name, Service Name, Path {Service DLL}):

------------------------------------------------------------------


AVG Anti-Spyware Guard, AVG Anti-Spyware Guard, "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe" ["Anti-Malware Development a.s."]

Sygate Personal Firewall, SmcService, "C:\Program Files\Sygate\SPF\Smc.exe" ["Sygate Technologies, Inc."]



Keyboard Driver Filters:

------------------------


HKLM\System\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318}\

"UpperFilters" = INFECTION WARNING! "DumaNT" ["Windows (R) 2000 DDK provider"]



Print Monitors:

---------------


HKLM\System\CurrentControlSet\Control\Print\Monitors\

Canon BJ Language Monitor i320\Driver = "CNMLM47.DLL" ["CANON INC."]

Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS]



----------

+ This report excludes default entries except where indicated.

+ To see *everywhere* the script checks and *everything* it finds,

  launch it from a command prompt or a shortcut with the -all parameter.

+ To search all directories of local fixed drives for DESKTOP.INI

  DLL launch points and all Registry CLSIDs for dormant Explorer Bars,

  use the -supp parameter or answer "No" at the first message box.

---------- (total run time: 34 seconds, including 4 seconds for message boxes)

(Bbieniol) #4

W logach jest czysto :slight_smile:

Zrób skan EWIDO po update :slight_smile:

Przeskanuj komputer programami Ad-aware SE Personal 1.06 oraz Spybot Search & Destroy 1.4


(adam9870) #5

Bieniol --> Zobacz TO dlatego to może być rootkit skoro infekuje exeki więc proszę o następujące logi:

Dwa logi z Gmera przy następujących ustawieniach.

  1. Zakładka Rootkit >>> Zaznaczasz wszystko oprócz Pokaż wszystko >>> kliknij Szukaj >>> Czekasz cierpliwie aż skończy >>> Start, uruchom, notapad i klik na OK >>> Prawy klawisz, wklej >>> Plik >>> zapisz jako >>> zapisz.

  2. Zakładka Rootkit >>> Zaznaczasz tylko Usługi oraz Pokaż wszystko >>> klikasz Szukaj >>> Czekasz cierpliwie aż skończy >>> Start, uruchom, wpisz notapad i klik na OK >>> Prawy klawisz, wklej >>> Plik >>> zapisz jako >>> zapisz.

Możesz jeszcze z RootkitRevealer'a:

File => Scan => Poczekaj cierpliwie aż log zostanie zrobiony => file => save => Wskaż gdzie chcesz na dysku zapisać utworzony log.

Potem pliki z logami umieść w jakimś serwisie hostingowym i daj do nich linki ponieważ bezpośrednio do posta się nie zmieszczą.

http://forum.dobreprogramy.pl/viewtopic.php?t=96929


(Frycu7) #6

http://www.megaupload.com/?d=F8LPJO71 1 log

http://www.sendspace.com/file/sx8fcv 2 log

Do Beniola

AdAware i SpyBot nic tu nie pomogą,czasem coś znajdują ale tego problemu nie usuną.Robiłem skan Kasperskim Online ale wywala mi się w połowie.Dokąd doskanuje to już pokazuje około 300 exeków zainfekowanych.Za każdym razem jak odpalam kompa firewall blokuje mi Windows/Temp/VRT(tu za kazdym razem inny numer).


(Gutek) #7

ATF-Cleaner - http://www.atribune.org/ccount/click.php?id=1

Windows/Temp - w trybie awaryjnym usuń ręcznie

W jednym logu Ok - 2, pierwszego nie mogę pobrać


(Frycu7) #8

http://www.sendspace.com/file/vr5r37


(Gutek) #9

W TRYBIE AWARYJNYM uruchamiasz linię komend ( Start >>> Uruchm >>> cmd ) i wklepujesz:

RD /S /Q "C:\Documents and Settings\Twoja nazwa konta\Ustawienia lokalne\Temporary Internet Files"


(Frycu7) #10

Ok już zaraz się za to zabieram,podaje tylko skana z kasperskiego.Dosłownie chwile skanowalem a już mi wykazało że sporo exe jest zainfekowanych.Przeskanowałem tylko część Program Files. Daje loga z tego skanu

-------------------------------------------------------------------------------

 KASPERSKY ONLINE SCANNER REPORT

 31 październik 2006 23:57:03

 System operacyjny: Microsoft Windows XP Professional, Dodatek Service Pack 2 (Build 2600)

 Kaspersky Online Scanner wersja: 5.0.83.0

 Ostatnia aktualizacja Kaspersky Anti-Virus 1/11/2006

 Liczba wpisów w bazie danych Kaspersky Anti-Virus223308

-------------------------------------------------------------------------------


Ustawienia skanowania:

	Skanowanie przy użyciu następujących baz danych: standardowe

	Skanuj archiwa: tak

	Skanuj pocztowe bazy danych: tak


Obszar skanowania - Foldery:

	C:\Program Files\


Statystyki skanowania:

	Liczba skanowanych obiektów: 1353

	Liczba wykrytych wirusów: 1

	Liczba zainfekowanych obiektów: 40 / 0

	Liczba podejrzanych obiektów: 0

	Czas trwania skanowania: 00:02:27


Nazwa zainfekowanego obiektu / Nazwa wirusa / Ostatnie działanie

C:\Program Files\1stbenison\All Converter\allcon.exe	Zainfekowanych: Virus.Win32.Virut.a	pominięty

C:\Program Files\A4Tech\Mouse\Amoumain.exe	Zainfekowanych: Virus.Win32.Virut.a	pominięty

C:\Program Files\AC3Filter\dialog_patch.exe	Zainfekowanych: Virus.Win32.Virut.a	pominięty

C:\Program Files\AC3Filter\uninstall.exe	Zainfekowanych: Virus.Win32.Virut.a	pominięty

C:\Program Files\ACD Systems\ACDSee\ACDSee.exe	Zainfekowanych: Virus.Win32.Virut.a	pominięty

C:\Program Files\ACD Systems\ACDSee\UNWISE.EXE	Zainfekowanych: Virus.Win32.Virut.a	pominięty

C:\Program Files\Adobe\Acrobat 5.0\Reader\AcroRd32.exe	Zainfekowanych: Virus.Win32.Virut.a	pominięty

C:\Program Files\Adobe\Acrobat 7.0\Reader\AcroRd32Info.exe	Zainfekowanych: Virus.Win32.Virut.a	pominięty

C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe	Zainfekowanych: Virus.Win32.Virut.a	pominięty

C:\Program Files\Adobe\Acrobat 7.0\Setup Files\RdrBig705\ENU\setup.exe	Zainfekowanych: Virus.Win32.Virut.a	pominięty

C:\Program Files\Adobe\Acrobat 7.0\Setup Files\RdrBig705\ENU_\setup.exe	Zainfekowanych: Virus.Win32.Virut.a	pominięty

C:\Program Files\Adobe\Acrobat 7.0\Setup Files\RdrBig705\ENU__\setup.exe	Zainfekowanych: Virus.Win32.Virut.a	pominięty

C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\AdobeUpdateManager.exe	Zainfekowanych: Virus.Win32.Virut.a	pominięty

C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe	Zainfekowanych: Virus.Win32.Virut.a	pominięty

C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\ComponentLauncher.exe	Zainfekowanych: Virus.Win32.Virut.a	pominięty

C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\Photoshop Album Starter Edition.exe	Zainfekowanych: Virus.Win32.Virut.a	pominięty

C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\PsaProxy.exe	Zainfekowanych: Virus.Win32.Virut.a	pominięty

C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Shared_Assets\locales\en_us\ADB2.EXE	Zainfekowanych: Virus.Win32.Virut.a	pominięty

C:\Program Files\AIDA32\aida32.exe	Zainfekowanych: Virus.Win32.Virut.a	pominięty

C:\Program Files\audiograbber\audiograbber.exe	Zainfekowanych: Virus.Win32.Virut.a	pominięty

C:\Program Files\Borland\Common Files\BDE\DATAPUMP.EXE	Zainfekowanych: Virus.Win32.Virut.a	pominięty

C:\Program Files\burnatonce\burnatonce.exe	Zainfekowanych: Virus.Win32.Virut.a	pominięty

C:\Program Files\burnatonce\external\cdrdao.exe	Zainfekowanych: Virus.Win32.Virut.a	pominięty

C:\Program Files\burnatonce\external\flac.exe	Zainfekowanych: Virus.Win32.Virut.a	pominięty

C:\Program Files\burnatonce\external\mkisofs.exe	Zainfekowanych: Virus.Win32.Virut.a	pominięty

C:\Program Files\burnatonce\external\oggdec.exe	Zainfekowanych: Virus.Win32.Virut.a	pominięty

C:\Program Files\burnatonce\external\readcd.exe	Zainfekowanych: Virus.Win32.Virut.a	pominięty

C:\Program Files\burnatonce\external\sox.exe	Zainfekowanych: Virus.Win32.Virut.a	pominięty

C:\Program Files\burnatonce\external\toc2cue.exe	Zainfekowanych: Virus.Win32.Virut.a	pominięty

C:\Program Files\burnatonce\external\WaveGain.exe	Zainfekowanych: Virus.Win32.Virut.a	pominięty

C:\Program Files\Canon\Easy-PhotoPrint\BJEZPRN.EXE	Zainfekowanych: Virus.Win32.Virut.a	pominięty

C:\Program Files\CCleaner\ccleaner.exe	Zainfekowanych: Virus.Win32.Virut.a	pominięty

C:\Program Files\CDex_140b9\CDex.exe	Zainfekowanych: Virus.Win32.Virut.a	pominięty

C:\Program Files\Common Files\InstallShield\Driver\7\Intel 32\IDriver.exe	Zainfekowanych: Virus.Win32.Virut.a	pominięty

C:\Program Files\Common Files\InstallShield\Engine\6\Intel 32\IKernel.exe	Zainfekowanych: Virus.Win32.Virut.a	pominięty

C:\Program Files\Common Files\Internet Update\IUpdate.exe	Zainfekowanych: Virus.Win32.Virut.a	pominięty

C:\Program Files\Common Files\Microsoft Shared\Artgalry\ARTGALRY.EXE	Zainfekowanych: Virus.Win32.Virut.a	pominięty

C:\Program Files\Common Files\Microsoft Shared\Artgalry\CAG.EXE	Zainfekowanych: Virus.Win32.Virut.a	pominięty

C:\Program Files\Common Files\Microsoft Shared\MSInfo\msinfo32.exe	Zainfekowanych: Virus.Win32.Virut.a	pominięty

C:\Program Files\Common Files\Microsoft Shared\MSInfo\OFFPROV.EXE	Zainfekowanych: Virus.Win32.Virut.a	pominięty


Skanowanie zostało przerwane przez użytkownika

Złączono Posta : 01.11.2006 (Sro) 0:09

Ok zrobione,co dalej?