Zainfekowany komputer, logi z HJT i OTLI

JereManU (Jeremanu) 2009-06-04 19:46:29 UTC #1

Witam,

mam zainfekowany komputer kilkoma wirusami/robakami/trojanami - to jest pewne. Trochę wirusów teoretycznie udało mi się usunąć NOD'em32, ale sporo pozostało. Objawy to m.in. wyłączanie się firewalla Windowsa, wyskakiwanie stron www w IE7 i tym podobne.

Wpierw podam logi ze skanowań NOD'a32, który pisze, że usuwa, ale chyba niedokońca:

http://wklej.org/id/101078/

Obecne logi z HijackThis:

http://wklej.org/id/101068/

(linijka 38 i 39 pokazuje proces na pewno trojana, o którym wiem, że go mam - cały folder jest nim zapakowany, co rusz tworzy nowe litery alfabetu jako procesy w Windows. nie daje się usunąć tych wszystkich plików - siedzi pewnie w rejestrze odnawiania ich czy coś).

AbsoluteStartUp pokazował wcześniej obecność wielu wirów uruchamianych przy załadowywaniu się systemu. Obecnie jest tam tylko ten trojan - odnosi się do j.exe (proces systemowy), a nazwę ma: Cognac

Logi z OTListIt:

http://wklej.org/id/101075/

Logi z SilentRunners:

http://wklej.org/id/101077/

Dodam jeszcze, że przy włączaniu WWDC.exe mam komunikaty:

Windows Worms Doors Cleaner :

Your system seems to be infected by a virus, your SVCHOST virtual memory usage 28384Ko is beyond usual values. It is strongly advised to check your system with an AntiVirus up to date and an AntiTrojans.

Windows Worms Doors Cleaner :

Error while calling GetTcpTable API with the lenght required. The program so cannot see what ports are opened and closed, and will so only rely on the registry to check what services are enabled on your system.

W każdym razie udało mi się zablokować niezabezpieczone, wg programu, porty.

Bardzo proszę o wszelką pomoc i rady.

Pozdrawiam,

dagome1 (Dagome1) 2009-06-04 20:07:28 UTC #2

proponuje użyć programu HITMAN PRO 3 . Rewelacyjny program po przeskanowaniu wysyła dane do swojego centrum .Tam po przeanalizowaniu ,przychodzi odpowiednie narzędzie i wirusy zostają usunięte .

ciemnowidz (Henio Mazurek) 2009-06-04 20:16:14 UTC #3

Na razie to tutaj kupa śmieci jest. W okienko OtListIt wklejasz

:OTLI PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation) PRC - 2009-06-04 14:04:46 | 00,170,496 | ---- | M -- C:\Program Files\Common Files\WinNT 32\service.exe PRC - 2009-06-04 21:08:42 | 00,119,812 | ---- | M -- C:\Documents and Settings\JereManU\Ustawienia lokalne\Temp\j.exe PRC - 2009-06-04 21:08:45 | 00,120,836 | ---- | M -- C:\Documents and Settings\JereManU\Ustawienia lokalne\Temp\k.exe SRV - 2008-12-09 18:40:16 | 00,234,888 | ---- | M -- C:\Program Files\AskBarDis\bar\bin\ASKUpgrade.exe -- (ASKUpgrade [Auto | Stopped]) SRV - File not found -- -- (avast!avscontrolservice [Auto | Stopped]) DRV - 2009-06-04 13:46:31 | 00,000,000 | ---- | M -- C:\WINDOWS\System32\drivers\7da9ea41.sys -- (7da9ea41 [system | Stopped]) O2 - BHO: (no name) - {0720FDFF-E380-492B-9C75-28B34B9B5966} - C:\WINDOWS\system32\hworjhiz.dll () O2 - BHO: (no name) - {09603A9B-AC2E-4709-8BDC-ED666792C0F0} - Reg Error: Value error. File not found O2 - BHO: (no name) - {0D461C15-713D-4A90-B024-B7D2B09408B3} - Reg Error: Value error. File not found O2 - BHO: (no name) - {19BED62B-2025-4ADC-819E-19493AE5F9Ce} - Reg Error: Value error. File not found O2 - BHO: (XML Class) - {500BCA15-57A7-4eaf-8143-8C619470B13D} - C:\WINDOWS\system32\msxml71.dll () O4 - HKCU..\Run: [Cognac] C:\DOCUME~1\JereManU\USTAWI~1\Temp\j.exe () O20 - HKLM Winlogon: TaskMan - (C:\RECYCLER\S-1-5-21-4961915219-8450563919-169057959-2476\svchost.exe) - C:\RECYCLER\S-1-5-21-4961915219-8450563919-169057959-2476\svchost.exe () :Files C:\Program Files\AskBarDis C:\WINDOWS\System32\drivers\7da9ea41.sys C:\WINDOWS\system32\msxml71.dll C:\WINDOWS\system32\hworjhiz.dll C:\RECYCLER\S-1-5-21-4961915219-8450563919-169057959-2476\svchost.exe C:\WINDOWS\msc.exe C:\WINDOWS\tasks{5B57CF47-0BFA-43c6-ACF9-3B3653DCADBA}.job C:\WINDOWS\tasks{783AF354-B514-42d6-970E-3E8BF0A5279C}.job C:\WINDOWS\msb.exe C:\WINDOWS\msa.exe :Commands [emptytemp] [start explorer] [Reboot]

Klikasz Run Fix. Restart. Log z usuwania wklejasz. Robisz nowy log OtListIt2 i też wklejasz. Poza tym powstały dwa logi, drugi też masz wkleić.

hINDUss (Hindol) 2009-06-04 20:19:20 UTC #4

wow, w praktycznie każdym mechanizmie uruchamiania czegoś masz nasyfione... bho, schedule, services, run, sterowniki...

bardzo prawdopodobne że masz rootkita i to z nim powinieneś rozpocząć walkę, on ukrywa i rozsiewa resztę syfu

przeskanuj ComboFix -em oraz dodatkowo GMER http://www2.gmer.net/gmer.zip oraz http://www2.gmer.net/catchme.exe

i http://download.sysinternals.com/Files/ ... vealer.zip

ciemnowidz (Henio Mazurek) 2009-06-04 20:21:27 UTC #5

To są zwykłe robaki, żaden rootkit. Z ComboFix'em się wstrzymaj, zresztą i tak był robiony. Z gmer'a można wkleić.

dagome1 (Dagome1) 2009-06-04 20:26:12 UTC #6

spróbuj tym programem korzysta z baz wielu antywirusów .Umnie usunął confickera .dał się pobrac na zainfekowany komputer odpalił i usunął

hINDUss (Hindol) 2009-06-04 20:30:06 UTC #7

NOD32 wykrywa rootkita Win32/Rootkit.Agent.ODG w pamięci, raz za razem, więc raczej ma rootkita

ciemnowidz (Henio Mazurek) 2009-06-04 20:54:01 UTC #8

To nie koniecznie musi być rootkit. W pamięci są trzy szkodliwe procesy których NOD nie potrafi zabić i nie są to żadne rootkity, rootkita może nawet nie wykryć jeśli ten startuje pierwszy.

Log z gmer'a też konieczny.

JereManU (Jeremanu) 2009-06-04 22:23:50 UTC #9

ciemnowidz ,

zrobiłem tak, jak mi powiedziałeś, niestety po poprawnym wykonaniu komend i restarcie, komputer sam się wyłączył (zresztą jak zwykle przy większym obciążeniu, a słabą maszyną to on raczej nie jest).

Log wcześniejszy, o którym mi wspomniałeś (z pierwszego skanu, teraz mi już go nie generuje, nie wiem dlaczego): http://wklej.org/id/101153/

Log podstawowy: http://wklej.org/id/101146/

Log chyba z usuwania (znalazłem go w folderze otlistit na hdd): http://wklej.org/id/101151/

ComboFix'a wcześniej próbowałem robić, ale przy generowaniu raportu zawieszał się przez te wirusy.

Log z RootkitRevealer:

http://wklej.org/id/101156/

Uff, wreszcie wyszedł log z GMER'a: http://wklej.org/id/101181/

Pozdrawiam,

ciemnowidz (Henio Mazurek) 2009-06-05 05:10:56 UTC #10

Trochę się usunęło, ale rootkit faktycznie jest.

Przenosisz gmer'a bezpośrednio na C: (spisz sobie jego nazwę, bo teraz jest losowa a to będzie potrzebne).

Otwierasz gmer, przechodzisz do zakładki cmd i wklejasz tam taki tekst. Chciałem zabić procesy przez komendę killall ale wygląda na to, ze wtedy gmer też jest zamykany lub jego komendy nie są wykonywane razem z komendami Windows (przynajmniej u mnie). Procesy musisz zabić ręcznie (zakładka procesy, podświetlasz, klikasz Zabij proces, czterech procesów nie zabijasz - zostają csrss , system , system idle , numerkowy proces gmera )

Klikasz Uruchom. Komputer powinien się zresetować, jeśli tego nie zrobi to dajesz twardy reset. Robisz nowy log z gmer. Spróbuj jeszcze raz uruchomić ComboFix.

W OtListIt2 wklejasz (na wszelki wypadek powtarzam to co w gmerze)

:OTLI PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation) SRV - [2007-10-29 14:00:00 | 00,103,424 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\ochnduc.dll -- (wkqpihvj [Auto | Running]) O2 - BHO: (no name) - {0720FDFF-E380-492B-9C75-28B34B9B5966} - C:\WINDOWS\system32\hworjhiz.dll () O2 - BHO: () - {2A20BFA8-C4BF-45C1-B313-87EE9581E27D} - c:\windows\system32\ochnduc.dll (Microsoft Corporation) O20 - Winlogon\Notify\sohtuxqn: DllName - ochnduc.dll - C:\WINDOWS\system32\ochnduc.dll (Microsoft Corporation) :Services wkqpihvj :Files C:\WINDOWS\system32\hworjhiz.dll c:\windows\system32\ochnduc.dll :Reg [-HKEY\_LOCAL\_MACHINE\SYSTEM\ControlSet002\Services\SKYNEThtitqwur] [-HKEY\_LOCAL\_MACHINE\SYSTEM\CurrentControlSet\Services\SKYNEThtitqwur] :Commands [emptytemp] [start explorer] [Reboot]

Robisz to samo co poprzednio. Log Extras generowany jest tylko przy pierwszym użyciu OtListIt.

dagome1 (Dagome1) 2009-06-05 07:31:22 UTC #11

Szukajcie a znajdziecie .tylko dlaczego nie najprostrzymi metodami

JereManU (Jeremanu) 2009-06-05 14:40:43 UTC #12

ciemnowidz ,

uruchomiłem te pierwsze komendy w gmer'ze, komputer się zrestartował i zrobiłem nowy log z gmer'a. Oto i on: http://wklej.org/id/101366/

Nie rozumiem tylko jakie procesy mam zabić, czyżby wszystkie prócz "csrss, system, system idle, numerkowy proces gmera"? Razem z explorer.exe i tym podobnymi?

ComboFix'a i OtListIt2 zaraz na nowo uruchomię i zapodam logi.

Pozdrawiam,

ciemnowidz (Henio Mazurek) 2009-06-05 14:55:41 UTC #13

Specjalnie kazałem je zabić. Tak, tylko te cztery miałeś zostawić.

Nic się nie wykonało, bo nie mogło. Inaczej. Pobierz Avenger

http://swandog46.geekstogo.com/avenger.exe

Wklej do niego tekst

Drivers to disable: SKYNEThtitqwur Drivers to delete: SKYNEThtitqwur Registry keys to delete: HKLM\SYSTEM\ControlSet002\Services\SKYNEThtitqwur HKLM\SYSTEM\CurrentControlSet\Services\SKYNEThtitqwur Files to delete: C:\WINDOWS\system32\drivers\SKYNETjbrqhlvb.sys C:\WINDOWS\system32\SKYNETivxnmmqb.dat C:\WINDOWS\system32\SKYNETjqqobwiw.dll C:\WINDOWS\system32\SKYNETnmdtibnx.dll C:\WINDOWS\system32\SKYNETnvtmtnsv.dat C:\WINDOWS\system32\SKYNETwpxetnvr.dll C:\WINDOWS\system32\SKYNETwwxymxeh.dll C:\WINDOWS\Temp\SKYNETcpbdwpcwby.tmp C:\WINDOWS\Temp\SKYNETcrnmdwpcbq.tmp C:\WINDOWS\Temp\SKYNETecyfxubqrx.tmp C:\WINDOWS\Temp\SKYNETeombcevndl.tmp C:\WINDOWS\Temp\SKYNETetutqxxylp.tmp C:\WINDOWS\Temp\SKYNETiqjryadmxt.tmp C:\WINDOWS\Temp\SKYNETmduspvncbq.tmp C:\WINDOWS\Temp\SKYNETnvnfypuxoq.tmp C:\WINDOWS\Temp\SKYNETosixrxbnyr.tmp C:\WINDOWS\Temp\SKYNETqspfthxxvr.tmp C:\WINDOWS\Temp\SKYNETsvikbqornm.tmp C:\WINDOWS\Temp\SKYNETtnxvrecvsw.tmp C:\WINDOWS\Temp\SKYNETtqbwuxxtiq.tmp C:\WINDOWS\Temp\SKYNETtqidbbdwpt.tmp C:\WINDOWS\Temp\SKYNETvtvpebolpr.tmp C:\WINDOWS\Temp\SKYNETyrbrxrxvnl.tmp C:\WINDOWS\Temp\SKYNETbxpbwtrpik.tmp C:\Documents and Settings\JereManU\Ustawienia lokalne\Temp\etilqs_qbvQhodyG5qBHqSwsnAa

Klikasz Execute. Restart. Do wglądu log z kasacji.

No i do wykonania to co wcześniej.

JereManU (Jeremanu) 2009-06-05 15:52:52 UTC #14

Przy próbie zabicia wszystkich procesów prócz tychże czterech, komputer automatycznie się restartuje, niestety.

Avenger'em próbowałem 3 razy i niby wszystko ok, restartuje komputer, ale po restarcie nic się nie dzieje.

ciemnowidz (Henio Mazurek) 2009-06-05 15:58:44 UTC #15

Gmera już zostaw. Avenger żadnego loga nie wyrzucił? Powinien to spokojnie usunąć. Spróbuj jeszcze tym (usunąłem wpis o wyłaczeniu sterownika)

Drivers to delete: SKYNEThtitqwur Registry keys to delete: HKLM\SYSTEM\ControlSet002\Services\SKYNEThtitqwur HKLM\SYSTEM\CurrentControlSet\Services\SKYNEThtitqwur Files to delete: C:\WINDOWS\system32\drivers\SKYNETjbrqhlvb.sys C:\WINDOWS\system32\SKYNETivxnmmqb.dat C:\WINDOWS\system32\SKYNETjqqobwiw.dll C:\WINDOWS\system32\SKYNETnmdtibnx.dll C:\WINDOWS\system32\SKYNETnvtmtnsv.dat C:\WINDOWS\system32\SKYNETwpxetnvr.dll C:\WINDOWS\system32\SKYNETwwxymxeh.dll C:\WINDOWS\Temp\SKYNETcpbdwpcwby.tmp C:\WINDOWS\Temp\SKYNETcrnmdwpcbq.tmp C:\WINDOWS\Temp\SKYNETecyfxubqrx.tmp C:\WINDOWS\Temp\SKYNETeombcevndl.tmp C:\WINDOWS\Temp\SKYNETetutqxxylp.tmp C:\WINDOWS\Temp\SKYNETiqjryadmxt.tmp C:\WINDOWS\Temp\SKYNETmduspvncbq.tmp C:\WINDOWS\Temp\SKYNETnvnfypuxoq.tmp C:\WINDOWS\Temp\SKYNETosixrxbnyr.tmp C:\WINDOWS\Temp\SKYNETqspfthxxvr.tmp C:\WINDOWS\Temp\SKYNETsvikbqornm.tmp C:\WINDOWS\Temp\SKYNETtnxvrecvsw.tmp C:\WINDOWS\Temp\SKYNETtqbwuxxtiq.tmp C:\WINDOWS\Temp\SKYNETtqidbbdwpt.tmp C:\WINDOWS\Temp\SKYNETvtvpebolpr.tmp C:\WINDOWS\Temp\SKYNETyrbrxrxvnl.tmp C:\WINDOWS\Temp\SKYNETbxpbwtrpik.tmp C:\Documents and Settings\JereManU\Ustawienia lokalne\Temp\etilqs_qbvQhodyG5qBHqSwsnAa

Jeszcze raz. No i spróbuj uruchomić ComboFix, pobierz od nowa, zmień mu nazwę i uruchom. Jeśli Avenger dalej nic nie będzie robił to usuń w skrypcie linijki

Bo na tym może się też wieszać.

JereManU (Jeremanu) 2009-06-05 17:55:05 UTC #16

Avenger znowu nic nie wyrzucił, a próbowałem dwa razy, usuwając te kawałki skryptu.

ComboFix'a pobrałem na nowo, ten najpierw wyrzucił błędy z WinNT:

"OTListIt2.exe - Zły obraz

Aplikacja lub biblioteka DLL c:\windows\system32\bvsbrod.dll nie jest poprawnym obrazem systemu Windows NT. Sprawdź to z dyskietką instalacyjną."

Coś jakby z wirusem powiązane, bo on dużo śladów pozostawił z dot. WinNT. A po uruchumieniu ComboFix'a najpierw: "Za mało pamięci głównej aby zakończyć sortowanie raportu" (coś w ten deseń), a po restarcie "Za mało pamięci głównej aby zakończyć generowanie raportu".

Zużycie RAMu na poziomie 200mb (na 2gb dostępne). Trochę dziwne.

Dodam aktualny raport z OTListIt, może się przyda: http://wklej.org/id/101435/

Pozdrawiam,

Leon1 (Leon$) 2009-06-05 18:20:08 UTC #17

Zastosuj Malwarebytes' Anti-Malware http://cybertrash.pl/Tata/MBAM/Malwarebytes_%20Anti-Malware.html pełny skan - jak coś znajdzie to usuń zaznaczone - pokaż log

Pobierz System Repair Engineer

http://www.cybertrash.pl/images/tata/System%20Repair/System%20Repair%20Engineer.html

przeskanuj daj log

Oparte na Discourse, najlepiej oglądać z włączonym JavaScriptem