Jump to content

Проблем с rootkit и незнам още кво..


Препоръчан пост

Та...проблема ми дойде от eMule-то... стартирах една програма която трябваше да е съвсем друго нещо, но както и да е,

след един момент ми изчезна Nod32, после и се изключи и при всеки опит да го стартирам ми забива explorer.exe.

А при опит да пусна някой анти вирус софт ми забива explorer-а.

Проблема е, че това нещо прави хиляди заявки:

 

post-6762-1241031234_thumb.jpg

 

Та пробвах с кво ли не, в момента все още се мъча с online bitdefender-a, четох нейде, че можел да помогне. Не мисля така обаче.

Няма никакъв процес свързан с тея заявки, всичко в Task Manager-a си е както трябва или поне на пръв поглед е така.

Не съм сигурен дали е rootkit или нещо друго, имаше и flec006.exe мъчих се да го махна, след час ще разбера дали се е получило.

 

Някакви съвети? Казаха ми, че единственото ми решение е Format C: но аз в никакъв случай не искам да го правя това.

 

HiJackThis като се пробвам да отворя, резултата е not a valid Win32 application.

Link to comment
Сподели другаде

Положението определено не изглежда никак добре.

Ако е такова, каквото си мисля, няма да има особен ефект, но все пак не пречи да се пробва...

 

Изтегли HijackThis 1.99.1 (213KB), която съм преименувал нарочно, и:

1) стартирай програмата;

2) кликни Do a system scan and save a logfile, което ще създаде текстов файл в същата папка;

3) копирай съдържанието му тук или прикачи файла към коментара.

 

Нищо, че при теб не се е получило, опитай това за всеки случай.

 

Изтегли ESET SysInspector и:

1) стартирай я и изчакай да събере информацията;

2) меню File -> Save Log;

3) потвърди с Yes;

4) не променяй изходния ZIP формат, запази файла на удобно за теб място и го прикачи после към коментара си (не го разархивирай).

 

Изтегли GMER. Разархивирай и стартирай програмата. Тя ще направи начално сканиране за секунди. След като то приключи НЕ кликай бутон Scan, а кликни бутон Copy и после пейстни съдържанието тук (Ctrl+V). Ако програмата предложи да направи пълно сканиране, откажи.

Link to comment
Сподели другаде

Та...проблема ми дойде от eMule-то... стартирах една програма която трябваше да е съвсем друго нещо, но както и да е,

Би ли качил въпросната програма тук например и да предоставиш линка за изтеглянето и в темата.

Мерси!

Link to comment
Сподели другаде

Взе, че с това име се стартира.

 

Logfile of HijackThis v1.99.1

Scan saved at 22:23:50, on 29.04.2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16827)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Analog Devices\Core\smax4pnp.exe

C:\Program Files\Analog Devices\SoundMAX\Smax4.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Logitech\SetPoint\SetPoint.exe

C:\Program Files\Common Files\Logishrd\KHAL2\KHALMNPR.EXE

C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\WINDOWS\system32\rsvp.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\drwtsn32.exe

C:\WINDOWS\system32\drwtsn32.exe

C:\WINDOWS\explorer.exe

C:\Documents and Settings\Rade\Desktop\alabala.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R3 - URLSearchHook: (no name) - - (no file)

R3 - URLSearchHook: FCToolbarURLSearchHook Class - {0adb501b-f9c4-4c02-a9ed-2f605a0586e0} - C:\Program Files\Mob Wars Toolbar\Helper.dll

O2 - BHO: FCTBPos00Pos - {28A27F58-704F-40E1-8053-28E909FBF604} - C:\Program Files\Mob Wars Toolbar\Toolbar.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll

O3 - Toolbar: Mob Wars Toolbar - {6857857C-15D3-435D-AF19-E0217298B416} - C:\Program Files\Mob Wars Toolbar\Toolbar.dll

O4 - HKLM\..\Run: [soundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe

O4 - HKLM\..\Run: [soundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [Resume copy] copyfstq.exe /startup

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM\..\Run: [startCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKLM\..\Run: [RegRun WinBait] C:\WINDOWS\winbait.exe

O4 - HKLM\..\Run: [@RegRunOnSecure] C:\PROGRA~1\Greatis\REGRUN~1\OnSecure.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Regrun2] C:\PROGRA~1\Greatis\REGRUN~1\WatchDog.exe

O4 - Startup: µTorrent.lnk = C:\Program Files\uTorrent\uTorrent.exe

O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe

O8 - Extra context menu item: Е&кспортирай в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra button: Изследване - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O11 - Options group: [iNTERNATIONAL] International*

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab

O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab

O16 - DPF: {EDFCB7CB-942C-4822-AF14-F0B687409848} (Image Uploader Control) - http://pics.limpa.bg/pics/neo/194/ImageUploader4.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{5EB30C3B-B973-493B-AAE1-19ABF86AEEE0}: NameServer = 83.222.183.2,83.222.183.3

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)

O20 - Winlogon Notify: LBTWlgn - c:\program files\common files\logishrd\bluetooth\LBTWlgn.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Program Files\Java\jre6\bin\jqs.exe" -service -config "C:\Program Files\Java\jre6\lib\deploy\jqs\jqs.conf (file missing)

O23 - Service: ZDMVRKGGYU - Sysinternals - www.sysinternals.com - C:\DOCUME~1\Rade\LOCALS~1\Temp\ZDMVRKGGYU.exe

 

Изтегли ESET SysInspector и:

1) стартирай я и изчакай да събере информацията;

2) меню File -> Save Log;

3) потвърди с Yes;

4) не променяй изходния ZIP формат, запази файла на удобно за теб място и го прикачи после към коментара си (не го разархивирай).

Това също не тръгва, както написах по-горе за др. програми.

 

А от последното:

GMER 1.0.15.14972 - http://www.gmer.net

Rootkit scan 2009-04-29 22:40:46

Windows 5.1.2600 Service Pack 3

 

 

---- Processes - GMER 1.0.15 ----

 

Process hidden process (*** hidden *** ) 216

Process hidden process (*** hidden *** ) 2004

Process hidden process (*** hidden *** ) 3080

 

---- Services - GMER 1.0.15 ----

 

Service C:\Documents and Settings\Rade\Application Data\drivers\wfsintwq.sys (*** hidden *** ) [sYSTEM] srosa <-- ROOTKIT !!!

 

---- EOF - GMER 1.0.15 ----

Link to comment
Сподели другаде

mbam_log_2009_04_29__23_52_56_.txt

 

Резултат от Malwarebyte's Anti-Malware.

 

Изтрих доста неща, пооправи се като цяло положението, сега заявките драстично спаднаха и като ги гледам са си нормални...квото съм пуснал да върви.

Сега реших да пробвам отново Spybot S&D, взе че тръгна и в момента сканира.

Link to comment
Сподели другаде

Желателно е да не избързваш и да не извършваш действия, за които не си посъветван. Не че е фатално (дори в случая е добре, че си сканирал с MBAM), но е малко по-трудно да се проследи къде как и какво.

Предполагам си сканирал с Malwarebytes' Anti-Malware след пускането на логовете. Затова ще помоля отново да дадеш такива от съответните програми.

 

Колкото до HijackThis, аз неслучайно съм казвал, че програмата е добре да се стартира с променено име и именно затова я предоставям с вече сменено такова.

Link to comment
Сподели другаде

Ясно.. ами в момента мисля, че всичко се изчисти, тея неща които съм атачнал тук са единствените които останаха. Сканирах сега с всички неща които ми препоръча, също засякоха и изтриха разни бацили, Нод-а го преинсталирах, обнових и той хвана 4-5 троянеца и това беше. Незнам още какво да направя...

Имам май 20тина порта отворени....

За логовете..както вече споменах, мисля утре пак да пусна няколко скана с различните програмки и да прикача за всяка лог и/или скрийншот. Понеже сега затихна положението.

Link to comment
Сподели другаде

ComboFix не е инструмент за профилактично сканиране. Моля, не предлагай сканиране с него, след като не си запознат с опасностите и рисковете, които крие работата с него.
Link to comment
Сподели другаде

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гост
Отговори на тази тема

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   Не можете да качите директно снимка. Качете или добавете изображението от линк (URL)

Loading...
×
×
  • Създай ново...