Zainfekowany komputer > win32:confi [robak]

infoR_96 · 22 Październik 2009 08:09

Witam!

Nie mogę się pozbyć wirusa o nazwie win32:confi, avastem się po prostu nie da, bo on cały czas powraca, daje loga z ComboFix: http://wklej.org/id/182178/

Proszę mi nie pisać ‘że już dużo było takich postów’ czy coś takiego, ponieważ, kiedy chciałem dac tylko loga to mod wywalił mój post do śmietnika, oczywiście przepraszam za kłopot, ale proszę, abyście mnie nie krytykowali, tylko POMAGALI.

Z góry dziękuję za każdą ‘pomocną dłoń’ :)

jessica · 22 Październik 2009 08:20

I bardzo dobrze zrobił, bo w tym dziale Forum podczepianie się pod cudze tematy jest niemile widziane przez pomagających.

Problem może być podobny, ale każdy ma inaczej w komputerze, i po podczepieniu się pod cudzy temat jest łatwo o jakąś pomyłkę.

Rzeczywiście masz wirusa “CONFICKER”.

Wklej do Notatnika :

File::

c:\windows\system32\ljtsxmeu.dll


Folder::

c:\documents and settings\All Users.WINDOWS\Dane aplikacji\16765464

c:\documents and settings\Tata.KOMPUTER\Dane aplikacji\lowsec


NetSvc::

wserhjcv


Driver::

wserhjcv


Registry::

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"9136:TCP"=-

[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wserhjcv]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"UserFaultCheck"=-

>>Plik>>Zapisz jako… >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

-------->

Ma się rozpocząć usuwanie. (i powstanie log).

Daj ten log, który powstanie w trakcie usuwania.

Następnie odwiedź poniższy link i pobierz KB958644/MS08-067 łatkę zabezpieczeń dla danego systemu operacyjnego Windows, by w przyszłości utrudnić CONFICKERowi dostęp do komputera:

MS08-067 łatka Pobierz (http://www.microsoft.com/downloads/results.aspx?pocId=freetext=ms08-067DisplayLang=pl)

Przejrzyj listę i kliknij na link, który odpowiada wersji systemu Windows, który jest uruchomiony na zainfekowanym komputerze. Następnie należy pobrać plik ze strony, która otwiera się i zapisz go na pulpicie.

Wystarczy dwukrotnie kliknąć na plik, który został pobrany z witryny firmy Microsoft i postępuj zgodnie z instrukcjami, aby zainstalować łatkę.

jessi

infoR_96 · 22 Październik 2009 09:03

oto ten log:

[code]ComboFix 09-10-20.03 - Karolek 2009-10-22 10:50.3.2 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1250.48.1045.18.510.182 [GMT 2:00]

Uruchomiony z: c:\documents and settings\Karolek\Pulpit\ComboFix.exe

Użyto następujących komend :: c:\documents and settings\Karolek\Pulpit\CFScript.txt

 * Utworzono nowy punkt przywracania


FILE ::

"c:\windows\system32\ljtsxmeu.dll"

.


((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))

.


c:\documents and settings\All Users.WINDOWS\Dane aplikacji\16765464

c:\documents and settings\All Users.WINDOWS\Dane aplikacji\16765464\16765464

c:\documents and settings\All Users.WINDOWS\Dane aplikacji\16765464\16765464.exe

c:\documents and settings\All Users.WINDOWS\Dane aplikacji\16765464\pc16765464ins

c:\documents and settings\Tata.KOMPUTER\Dane aplikacji\lowsec

c:\documents and settings\Tata.KOMPUTER\Dane aplikacji\lowsec\local.ds

c:\documents and settings\Tata.KOMPUTER\Dane aplikacji\lowsec\user.ds

c:\windows\system32\ljtsxmeu.dll


.

((((((((((((((((((((((((((((((((((((((( Sterowniki/Usługi )))))))))))))))))))))))))))))))))))))))))))))))))

.


-------\Legacy_WSERHJCV

-------\Service_wserhjcv



((((((((((((((((((((((((( Pliki utworzone od 2009-09-22 do 2009-10-22 )))))))))))))))))))))))))))))))

.


2009-10-22 08:39 . 2009-10-22 08:39	--------	d-s---w-	c:\documents and settings\Karolek\UserData

2009-10-20 20:03 . 2008-05-15 23:24	1152888	----a-w-	c:\windows\system32\aswBoot.exe

2009-10-17 13:23 . 2009-10-17 13:23	--------	d-----w-	c:\program files\MSECache

2009-10-17 10:17 . 2009-10-17 10:17	--------	d-----w-	c:\documents and settings\Karolek\Ustawienia lokalne\Dane aplikacji\Apple

2009-10-16 17:58 . 2009-10-16 17:58	--------	d-----w-	c:\documents and settings\Karolek\Dane aplikacji\AdobeUM

2009-10-16 17:56 . 2009-10-16 17:56	--------	d-----w-	c:\documents and settings\Karolek\Ustawienia lokalne\Dane aplikacji\Adobe

2009-10-16 17:06 . 1997-12-11 11:38	171520	----a-w-	c:\windows\Helion Screen Saver.scr

2009-10-16 17:03 . 2009-10-16 17:03	--------	d-----w-	c:\documents and settings\Karolek\WINDOWS

2009-10-12 16:15 . 2009-10-12 16:15	--------	d-----w-	c:\documents and settings\Tata.KOMPUTER\Dane aplikacji\Talkback

2009-10-12 16:15 . 2009-10-12 16:15	--------	d-----w-	c:\documents and settings\Tata.KOMPUTER\Ustawienia lokalne\Dane aplikacji\Thunderbird

2009-10-12 16:15 . 2009-10-12 16:15	--------	d-----w-	c:\documents and settings\Tata.KOMPUTER\Dane aplikacji\Thunderbird

2009-10-10 20:23 . 2009-10-10 20:23	--------	d-----w-	c:\documents and settings\Karolek\Ustawienia lokalne\Dane aplikacji\Thunderbird

2009-10-10 20:23 . 2009-10-10 20:23	--------	d-----w-	c:\documents and settings\Karolek\Dane aplikacji\Thunderbird

2009-10-09 08:23 . 2009-10-15 09:44	75488	----a-w-	c:\documents and settings\Tata.KOMPUTER\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT

2009-10-08 09:00 . 2009-10-08 09:00	--------	d-s---w-	c:\documents and settings\Tata.KOMPUTER\UserData

2009-10-06 08:44 . 2009-10-06 08:45	--------	d-----w-	c:\documents and settings\Karolek\Ustawienia lokalne\Dane aplikacji\lazarus

2009-10-06 08:44 . 2008-11-28 10:36	1404928	----a-w-	c:\windows\system32\libqt4intf.dll

2009-10-03 14:14 . 2009-10-03 14:14	--------	d-----w-	c:\documents and settings\Karolek\Dane aplikacji\Panasonic

2009-10-02 17:25 . 2009-10-02 17:26	--------	d-----w-	c:\program files\ABBYY FineReader 6.0 Sprint

2009-10-02 17:22 . 2009-10-02 17:22	--------	d-----w-	c:\documents and settings\All Users.WINDOWS\Dane aplikacji\EPSON

2009-10-02 17:21 . 2004-09-10 20:12	49152	----a-w-	c:\windows\system32\E_DCINST.DLL

2009-10-02 17:21 . 2006-12-08 02:04	76800	----a-w-	c:\windows\system32\E_FLBCDE.DLL

2009-10-02 17:21 . 2006-04-19 02:00	62976	----a-w-	c:\windows\system32\E_FD4BCDE.DLL

2009-10-02 17:20 . 2009-10-02 17:26	--------	d-----w-	c:\program files\epson

2009-10-02 17:20 . 2007-03-26 22:00	67072	----a-w-	c:\windows\system32\escwiad.dll

2009-09-29 16:56 . 2009-09-29 16:56	--------	d-----w-	c:\documents and settings\Karolek\Ustawienia lokalne\Dane aplikacji\Scansoft

2009-09-29 09:20 . 2009-09-29 09:20	--------	d-----w-	c:\documents and settings\Tata.KOMPUTER\Ustawienia lokalne\Dane aplikacji\Scansoft

2009-09-29 07:43 . 2006-09-05 10:28	38480	------w-	c:\windows\system32\IJRMF.exe

2009-09-29 07:42 . 2009-09-29 07:42	--------	d-----w-	c:\documents and settings\All Users.WINDOWS\Dane aplikacji\InstallShield

2009-09-29 07:42 . 2009-09-29 07:42	--------	d-----w-	c:\documents and settings\Karolek\Dane aplikacji\ScanSoft

2009-09-29 07:42 . 2009-09-29 07:42	--------	d-----w-	c:\documents and settings\All Users.WINDOWS\Dane aplikacji\ScanSoft

2009-09-29 07:31 . 2009-09-29 07:45	--------	d-----w-	c:\documents and settings\Karolek\Dane aplikacji\Canon

2009-09-29 07:31 . 2009-09-29 07:31	--------	d-----w-	c:\documents and settings\Karolek\Dane aplikacji\Creative

2009-09-25 20:19 . 2002-01-01 01:28	860211	--s-a-w-	c:\windows\system32\XSIFtk-3.6.2.1.dll

2009-09-25 19:33 . 2009-09-25 19:33	--------	d-----w-	c:\documents and settings\Karolek\Dane aplikacji\DivX

2009-09-25 19:32 . 2009-09-25 20:41	568	---ha-w-	C:\os678647.bin

2009-09-25 19:32 . 2009-09-25 19:32	--------	d-----w-	c:\windows\Vbox

2009-09-25 19:32 . 1999-10-15 10:50	1056768	----a-w-	c:\windows\system32\ROBOEX32.DLL

2009-09-25 19:32 . 1999-01-28 13:44	49152	----a-w-	c:\windows\system32\INETWH32.dll

2009-09-25 19:31 . 2009-09-25 19:31	--------	d-----w-	c:\windows\Noslip


.

(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-10-18 19:59 . 2009-09-06 17:46	--------	d-----w-	c:\documents and settings\Karolek\Dane aplikacji\Skype

2009-10-13 15:45 . 2009-09-06 16:50	75488	----a-w-	c:\documents and settings\Karolek\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT

2009-10-11 20:18 . 2009-06-20 20:16	--------	d-----w-	c:\documents and settings\All Users.WINDOWS\Dane aplikacji\Microsoft Help

2009-10-02 17:27 . 2007-04-30 12:12	--------	d--h--w-	c:\program files\InstallShield Installation Information

2009-10-01 16:03 . 2009-09-06 17:22	--------	d-----w-	c:\documents and settings\Karolek\Dane aplikacji\Nowe Gadu-Gadu

2009-09-20 08:52 . 2009-08-20 16:20	618	----a-w-	c:\windows\eReg.dat

2009-09-19 10:00 . 2009-09-19 09:26	--------	d-----w-	c:\documents and settings\Karolek\Dane aplikacji\Dev-Cpp

2009-09-18 16:40 . 2001-10-26 14:15	85244	----a-w-	c:\windows\system32\perfc015.dat

2009-09-18 16:40 . 2001-10-26 14:15	494156	----a-w-	c:\windows\system32\perfh015.dat

2009-09-18 16:12 . 2009-09-18 16:12	--------	d-----w-	c:\program files\EA SPORTS

2009-09-18 16:11 . 2009-09-18 16:11	--------	d--h--r-	c:\documents and settings\Karolek\Dane aplikacji\SecuROM

2009-09-18 16:11 . 2009-09-18 16:11	107888	----a-w-	c:\windows\system32\CmdLineExt.dll

2009-09-16 08:47 . 2009-09-16 08:47	53616	---ha-w-	c:\windows\system32\mlfcache.dat

2009-09-13 16:02 . 2009-09-13 16:02	--------	d-----w-	c:\documents and settings\Karolek\Dane aplikacji\ATI

2009-09-05 11:14 . 2004-08-03 22:44	6656	----a-w-	c:\windows\system32\lpcio.dll

2009-08-28 13:49 . 2009-08-28 13:49	--------	d-----w-	c:\program files\AGEIA Technologies

2009-08-28 13:49 . 2007-05-01 07:06	--------	d-----w-	c:\program files\Common Files\Wise Installation Wizard

2009-08-28 13:48 . 2009-08-28 13:48	271360	----a-w-	c:\windows\system32\drivers\atksgt.sys

2009-08-28 13:48 . 2009-08-28 13:48	18048	----a-w-	c:\windows\system32\drivers\lirsgt.sys

2009-08-24 15:30 . 2009-06-21 09:37	--------	d-----w-	c:\documents and settings\All Users.WINDOWS\Dane aplikacji\OpenFM

2008-09-09 12:22 . 2008-09-09 12:22	14275	----a-w-	c:\program files\settings.dat

.


((((((((((((((((((((((((((((( SnapShot@2009-10-20_18.31.42 )))))))))))))))))))))))))))))))))))))))))

.

+ 2009-10-20 19:55 . 2009-10-20 19:55	262144 c:\windows\system32\config\systemprofile\NtUser.dat

.

((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane  

REGEDIT4


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"RocketDock"="c:\documents and settings\Karolek\Pulpit\Moje\PROGRAMY\RocketDock\RocketDock.exe" [2007-09-02 495616]

"FirstCap"="e:\firstcap\CapHk.exe" [2003-11-28 61440]

"Creative WebCam Tray"="c:\program files\Creative\Shared Files\CamTray.exe" [2005-10-27 299008]

"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-06-21 39408]


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTRegRun"="c:\windows\CTRegRun.EXE" [1999-10-10 41984]

"SSBkgdUpdate"="c:\program files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-09-28 185896]

"QuickTime Task"="e:\quicktime\qttask.exe" [2007-06-29 286720]

"OpwareSE4"="e:\omnipage\OpwareSE4.exe" [2006-10-11 75304]

"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]

"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016]

"ATICCC"="c:\program files\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-09-25 90112]

"SoundMan"="SOUNDMAN.EXE" - c:\windows\soundman.exe [2006-06-20 577536]


[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]


c:\documents and settings\All Users.WINDOWS\Menu Start\Programy\Autostart\

Adobe Reader Speed Launch.lnk - e:\adobe acrobat reader 7.0.5\Reader\reader_sl.exe [2005-9-24 29696]

PHOTOfunSTUDIO -viewer-.lnk - e:\photofunstudio-viewer-\PhAutoRun.exe [2009-7-11 40960]


[HKLM\~\startupfolder\C:^Documents and Settings^Karolek^Menu Start^Programy^Autostart^Tworzenie wycinków ekranu i uruchamianie programu OneNote 2007.lnk]

path=c:\documents and settings\Karolek\Menu Start\Programy\Autostart\Tworzenie wycinków ekranu i uruchamianie programu OneNote 2007.lnk

backup=c:\windows\pss\Tworzenie wycinków ekranu i uruchamianie programu OneNote 2007.lnkStartup


[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"c:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE"=

"c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=

"d:\\Metin2\\metin2.bin"=

"e:\\Nowe Gadu-Gadu5\\gg.exe"=

"e:\\Gadu-Gadu\\gg.exe"=

"d:\\XRX\\XRX.exe"=

"e:\\Skype\\Phone\\Skype.exe"=

"d:\\Metin2\\metin2client.bin"=

"c:\\Documents and Settings\\Karolek\\Pulpit\\Moje\\skróty\\Skype.exe"=


R0 xfilt;VIA SATA IDE Hot-plug Driver;c:\windows\system32\drivers\xfilt.sys [2009-06-20 11264]

R3 V0260VID;Live! Cam Vista IM;c:\windows\system32\drivers\V0260Vid.sys [2009-06-21 162176]

S3 SetupNTGLM7X;SetupNTGLM7X;\??\g:\ntglm7x.sys --> g:\NTGLM7X.sys [?]

.

Zawartość folderu 'Zaplanowane zadania'


2009-10-17 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2007-06-03 11:42]


2009-10-18 c:\windows\Tasks\Norton Security Scan for Admin.job

- c:\program files\Norton Security Scan\Norton Security Scan\Engine\2.3.0.44\Nss.exe [2009-08-14 16:02]

.

.

------- Skan uzupełniający -------

.

uSearch Page = hxxp://www.google.com

uSearch Bar = hxxp://www.google.com/ie

mDefault_Search_URL = hxxp://www.google.com/ie

uSearchAssistant = hxxp://www.google.com/ie

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

mSearchAssistant = hxxp://www.google.com/ie

IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200

IE: E&ksportuj do programu Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

IE: Easy-WebPrint – Dodaj do listy drukowania - c:\program files\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html

IE: Easy-WebPrint – Drukuj - c:\program files\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html

IE: Easy-WebPrint – Drukuj z dużą szybkością - c:\program files\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html

IE: Easy-WebPrint – Podgląd - c:\program files\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html

FF - ProfilePath - c:\documents and settings\Karolek\Dane aplikacji\Mozilla\Firefox\Profiles\vnbf7k74.default\

FF - plugin: e:\adobe acrobat reader 7.0.5\Reader\browser\nppdf32.dll

FF - plugin: e:\mozilla firefox\plugins\npOggX.dll

FF - plugin: e:\picasa3\npPicasa3.dll

FF - plugin: e:\quicktime\Plugins\npqtplugin.dll

FF - plugin: e:\quicktime\Plugins\npqtplugin2.dll

FF - plugin: e:\quicktime\Plugins\npqtplugin3.dll

FF - plugin: e:\quicktime\Plugins\npqtplugin4.dll

FF - plugin: e:\quicktime\Plugins\npqtplugin5.dll

FF - plugin: e:\quicktime\Plugins\npqtplugin6.dll

FF - plugin: e:\quicktime\Plugins\npqtplugin7.dll

.


**************************************************************************


catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-10-22 10:59

Windows 5.1.2600 Dodatek Service Pack 2 NTFS


skanowanie ukrytych procesów ...  


skanowanie ukrytych wpisów autostartu ... 


skanowanie ukrytych plików ...  


skanowanie pomyślnie ukończone

ukryte pliki: 0


**************************************************************************

.

--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------


- - - - - - - > 'winlogon.exe'(592)

c:\windows\system32\Ati2evxx.dll


- - - - - - - > 'explorer.exe'(2540)

c:\documents and settings\Karolek\Pulpit\Moje\PROGRAMY\RocketDock\RocketDock.dll

e:\omnipage\OpHookSE4.dll

e:\firstcap\WndHk.dll

c:\windows\system32\msi.dll

.

------------------------ Pozostałe uruchomione procesy ------------------------

.

c:\windows\system32\Ati2evxx.exe

c:\windows\system32\Ati2evxx.exe

c:\documents and settings\All Users.WINDOWS\Dane aplikacji\EPSON\EPW!3 SSRP\E_S40RP7.EXE

c:\windows\system32\wdfmgr.exe

c:\combofix\CF21372.exe

c:\program files\ATI Technologies\ATI.ACE\CLI.EXE

c:\windows\system32\wscntfy.exe

c:\program files\ATI Technologies\ATI.ACE\cli.exe

c:\program files\ATI Technologies\ATI.ACE\cli.exe

c:\combofix\PEV.cfxxe

.

**************************************************************************

.

Czas ukończenia: 2009-10-22 11:02 - komputer został uruchomiony ponownie

ComboFix-quarantined-files.txt 2009-10-22 09:02

ComboFix2.txt 2009-10-20 19:38

ComboFix3.txt 2009-10-20 18:33


Przed: 3 738 910 720 bajtów wolnych

Po: 3 739 938 816 bajtów wolnych


- - End Of File - - 53E5A941B8BA419FF80FE4EB1AA5F822

– Dodane 22.10.2009 (Cz) 11:04 –

i co teraz?

jessica · 22 Październik 2009 09:13

A teraz:

Usuń ręcznie folder C:** Qoobox**.
Usuń kopie szkodników z folderu “System Volume Information” poprzez chwilowe wyłączenie “Przywracania Systemu”:

Łatkę, o której pisałam w swoim poprzednim poście, oczywiście już zainstalowałeś?

jessi

infoR_96 · 22 Październik 2009 17:04

zrobiłem to co pisałaś (rozumiem, że jesteś dziewczyną - sądząc po nicku, jeśli tak to szacun dla Ciebie, jesteś bardzo mądra )

zaraz zainstaluję tą łatkę…