Ziem
(Ziem)
18 Czerwiec 2007 11:50
#1
Witam!
Dzisiaj przyniosłem gościowi od informatyki dysk wymienny na którym znajdowała się jedynie stronka www. Po wsadzeniu go do USB Avast wykrył trojana w folderze: E(dysk wymienny):\Recycled\ctfmon.exe, zdziwił mnie ten fakt. W domu rzeczywiście był taki folder na dysku wymiennym (pokaż pliki systemowe), znajdowały się w nim takie same pliki jak u mnie w koszu w komputerze - opróżniłem u sieibe kosz i w Recycled wszystko zniknęło. Na dysku wymiennym znajdował się też plik autorun.inf z zawartością:
Log z HijackThis(niby czysty ale ctfmon.exe powtarza się w 2 miejscach):
Logfile of HijackThis v1.99.1 Scan saved at 13:46:04, on 2007-06-18 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\system32\spoolsv.exe D:\WINDOWS\system32\bgsvcgen.exe D:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe c:\usr\MYSQL\bin\mysqld.exe D:\WINDOWS\System32\svchost.exe D:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe D:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe D:\WINDOWS\Explorer.EXE D:\WINDOWS\system32\wscntfy.exe C:\Java\jre1.5.0_10\bin\jusched.exe D:\Documents and Settings\Admin\Menu Start\Programy\Autostart\ctfmon.exe C:\KiddiesBarre\KiddiesBarre.exe C:\Mozilla Firefox\firefox.exe D:\WINDOWS\System32\NOTEPAD.EXE D:\Documents and Settings\Admin\Pulpit\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.nsn.pl:3128 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Java\jre1.5.0_10\bin\ssv.dll O4 - HKLM…\Run: [sunJavaUpdateSched] “C:\Java\jre1.5.0_10\bin\jusched.exe” O4 - HKLM…\Run: [REGSHAVE] D:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN O4 - HKCU…\Run: [MSMSGS] “D:\Program Files\Messenger\msmsgs.exe” /background O4 - Startup: Adobe Gamma.lnk = D:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Startup: ctfmon.exe O4 - Startup: KiddiesBarre.lnk = C:\KiddiesBarre\KiddiesBarre.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partne … nicode.cab O16 - DPF: {5A09E43F-A0A7-4ABF-AF80-11367CF1DC8F} (MainControl Class) - http://mks.com.pl/skaner/SkanerOnline.cab O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resourc … oscan8.cab O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MainControl Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan … asinst.cab O17 - HKLM\System\CCS\Services\Tcpip…{37BF9AC4-9409-47C5-82E8-816135C52D39}: NameServer = 213.199.195.5 O17 - HKLM\System\CS1\Services\Tcpip…{37BF9AC4-9409-47C5-82E8-816135C52D39}: NameServer = 213.199.195.5 O23 - Service: Adobe LM Service - Adobe Systems - D:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - D:\WINDOWS\Microsoft.NET \Framework\v2.0.50727\aspnet_state.exe (file missing) O23 - Service: B’s Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - D:\WINDOWS\system32\bgsvcgen.exe O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - D:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe O23 - Service: MySql - Unknown owner - c:\usr/MYSQL/bin/mysqld.exe
Czyżby jakiś wirus grasował po moim komputerze?
Proszę o jakieś rady
Pozdrawiam!
Gutek
(Gutek)
18 Czerwiec 2007 15:34
#2
Ziem
(Ziem)
18 Czerwiec 2007 16:20
#3
Sie robi Skanowanie AVG w toku…
ComboFix:
ComboFix 07-06-17 - D:\Documents and Settings\Admin\Pulpit\ComboFix.exe “Admin” - 2007-06-18 18:00:06 - Dodatek Service Pack 2 NTFS ((((((((((((((((((((((((( Files Created from 2007-05-18 to 2007-06-18 ))))))))))))))))))))))))))))))) 2007-06-18 17:58 49,152 --a------ D:\WINDOWS\nircmd.exe 2007-06-17 17:23 2007-06-15 14:11 2007-06-15 14:11 2007-06-15 14:05 90,112 --a------ D:\WINDOWS\unvise32.exe 2007-06-15 14:05 2007-06-14 19:41 2007-06-14 19:22 2007-06-14 16:56 2007-05-18 23:19 2007-05-18 13:18 2007-05-18 12:27 (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-06-15 20:09:30 -------- d-----w D:\DOCUME~1\Admin\DANEAP~1\Azureus 2007-05-18 12:26:58 349,454 ----a-w D:\WINDOWS\system32\prfh0415.dat 2007-05-18 12:26:57 46,756 ----a-w D:\WINDOWS\system32\prfc0415.dat 2007-05-11 13:25:44 -------- d-----w D:\DOCUME~1\Admin\DANEAP~1\FUJIFILM 2007-05-11 13:20:20 -------- d–h--w D:\Program Files\InstallShield Installation Information 2007-05-11 13:16:41 -------- d-----w D:\Program Files\REGSHAVE 2007-05-11 13:16:39 -------- d-----w D:\Program Files\Common Files\InstallShield 2007-04-28 08:02:27 -------- d-----w D:\DOCUME~1\Admin\DANEAP~1\Gadu-Gadu 2007-04-27 17:53:31 -------- d-----w D:\Program Files\Common Files\NSV 2007-04-27 16:09:48 -------- d-----w D:\DOCUME~1\Admin\DANEAP~1\MusicIP 2007-04-27 16:08:39 -------- d-----w D:\Program Files\Winamp 2007-03-25 06:31:20 62,018 ----a-w D:\WINDOWS\system32\perfc015.dat 2007-03-25 06:31:20 377,196 ----a-w D:\WINDOWS\system32\perfh015.dat 2007-03-18 10:26:45 996 ----a-w D:\WINDOWS\unins000.dat ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects] {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=C:\Java\jre1.5.0_10\bin\ssv.dll [2006-11-09 16:21] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “SunJavaUpdateSched”=“C:\Java\jre1.5.0_10\bin\jusched.exe” [2006-11-09 16:07] “REGSHAVE”=“D:\Program Files\REGSHAVE\REGSHAVE.exe” [2002-02-04 22:32] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “MSMSGS”=“D:\Program Files\Messenger\msmsgs.exe” [2004-08-04 01:44] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\D:^Documents and Settings^Admin^Menu Start^Programy^Autostart^UniSpiker-2.6.lnk] path=D:\Documents and Settings\Admin\Menu Start\Programy\Autostart\UniSpiker-2.6.lnk backup=D:\WINDOWS\pss\UniSpiker-2.6.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\D:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Microsoft Office.lnk] path=D:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Microsoft Office.lnk backup=D:\WINDOWS\pss\Microsoft Office.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AQQ] C:\AQQ\AQQ.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LVComs] D:\WINDOWS\system32\LVComS.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS] “D:\Program Files\Messenger\msmsgs.exe” /background [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] “C:\Java\jre1.5.0_10\bin\jusched.exe” ************************************************************************** catchme 0.3.721 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net Rootkit scan 2007-06-18 18:05:11 Windows 5.1.2600 Dodatek Service Pack 2 NTFS scanning hidden processes … scanning hidden autostart entries … scanning hidden files … scan completed successfully hidden files: 0 ************************************************************************** Completion time: 2007-06-18 18:07:33 — E O F —
Pozdrawiam!
Edit: AVG wykrył dwa trojany/keyloggery: Trojan.VB.aqt, Logger.KeyLogger.mv no i sporo cookies.
Do Trojan.VB.aqt zastosuję to: http://www.expertsec.com/trojan-VB-AQT.html , a z keyloggerem nie wiem co robić bo znajduje się w katalogu:
C:\System Volume Information_restore{62FCE97E-EA7C-4860-AFF6-151A93B5CB4F}\RP96\A0023136.exe
ale nie moge się tam dostać.
Co z tym robić?
Gutek
(Gutek)
18 Czerwiec 2007 18:33
#4
Wyłącz i włącz przywracanie systemu
Jest już Ok
Ziem
(Ziem)
18 Czerwiec 2007 18:52
#5
Tak szybko :D?
A co z tym keyloggerem, czyżby wywalił się przy tym wył. i wł. przywracania systemu?
Pozdrawiam!