Проблем с rootkit и незнам още кво..

[Rade]

Та...проблема ми дойде от eMule-то... стартирах една програма която трябваше да е съвсем друго нещо, но както и да е,

след един момент ми изчезна Nod32, после и се изключи и при всеки опит да го стартирам ми забива explorer.exe.

А при опит да пусна някой анти вирус софт ми забива explorer-а.

Проблема е, че това нещо прави хиляди заявки:

 

 

Та пробвах с кво ли не, в момента все още се мъча с online bitdefender-a, четох нейде, че можел да помогне. Не мисля така обаче.

Няма никакъв процес свързан с тея заявки, всичко в Task Manager-a си е както трябва или поне на пръв поглед е така.

Не съм сигурен дали е rootkit или нещо друго, имаше и flec006.exe мъчих се да го махна, след час ще разбера дали се е получило.

 

Някакви съвети? Казаха ми, че единственото ми решение е Format C: но аз в никакъв случай не искам да го правя това.

 

HiJackThis като се пробвам да отворя, резултата е not a valid Win32 application.

[Night_Raven]

Положението определено не изглежда никак добре.

Ако е такова, каквото си мисля, няма да има особен ефект, но все пак не пречи да се пробва...

 

Изтегли HijackThis 1.99.1 (213KB), която съм преименувал нарочно, и:

1) стартирай програмата;

2) кликни Do a system scan and save a logfile, което ще създаде текстов файл в същата папка;

3) копирай съдържанието му тук или прикачи файла към коментара.

 

Нищо, че при теб не се е получило, опитай това за всеки случай.

 

Изтегли ESET SysInspector и:

1) стартирай я и изчакай да събере информацията;

2) меню File -> Save Log;

3) потвърди с Yes;

4) не променяй изходния ZIP формат, запази файла на удобно за теб място и го прикачи после към коментара си (не го разархивирай).

 

Изтегли GMER. Разархивирай и стартирай програмата. Тя ще направи начално сканиране за секунди. След като то приключи НЕ кликай бутон Scan, а кликни бутон Copy и после пейстни съдържанието тук (Ctrl+V). Ако програмата предложи да направи пълно сканиране, откажи.

[mihnev_sz]

Та...проблема ми дойде от eMule-то... стартирах една програма която трябваше да е съвсем друго нещо, но както и да е,

Би ли качил въпросната програма тук например и да предоставиш линка за изтеглянето и в темата.

Мерси!

[Rade]

Взе, че с това име се стартира.

 

Logfile of HijackThis v1.99.1

Scan saved at 22:23:50, on 29.04.2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16827)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Analog Devices\Core\smax4pnp.exe

C:\Program Files\Analog Devices\SoundMAX\Smax4.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Logitech\SetPoint\SetPoint.exe

C:\Program Files\Common Files\Logishrd\KHAL2\KHALMNPR.EXE

C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\WINDOWS\system32\rsvp.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\drwtsn32.exe

C:\WINDOWS\system32\drwtsn32.exe

C:\WINDOWS\explorer.exe

C:\Documents and Settings\Rade\Desktop\alabala.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R3 - URLSearchHook: (no name) - - (no file)

R3 - URLSearchHook: FCToolbarURLSearchHook Class - {0adb501b-f9c4-4c02-a9ed-2f605a0586e0} - C:\Program Files\Mob Wars Toolbar\Helper.dll

O2 - BHO: FCTBPos00Pos - {28A27F58-704F-40E1-8053-28E909FBF604} - C:\Program Files\Mob Wars Toolbar\Toolbar.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll

O3 - Toolbar: Mob Wars Toolbar - {6857857C-15D3-435D-AF19-E0217298B416} - C:\Program Files\Mob Wars Toolbar\Toolbar.dll

O4 - HKLM\..\Run: [soundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe

O4 - HKLM\..\Run: [soundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [Resume copy] copyfstq.exe /startup

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM\..\Run: [startCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKLM\..\Run: [RegRun WinBait] C:\WINDOWS\winbait.exe

O4 - HKLM\..\Run: [@RegRunOnSecure] C:\PROGRA~1\Greatis\REGRUN~1\OnSecure.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Regrun2] C:\PROGRA~1\Greatis\REGRUN~1\WatchDog.exe

O4 - Startup: µTorrent.lnk = C:\Program Files\uTorrent\uTorrent.exe

O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe

O8 - Extra context menu item: Е&кспортирай в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra button: Изследване - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O11 - Options group: [iNTERNATIONAL] International*

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab

O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab

O16 - DPF: {EDFCB7CB-942C-4822-AF14-F0B687409848} (Image Uploader Control) - http://pics.limpa.bg/pics/neo/194/ImageUploader4.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{5EB30C3B-B973-493B-AAE1-19ABF86AEEE0}: NameServer = 83.222.183.2,83.222.183.3

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)

O20 - Winlogon Notify: LBTWlgn - c:\program files\common files\logishrd\bluetooth\LBTWlgn.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Program Files\Java\jre6\bin\jqs.exe" -service -config "C:\Program Files\Java\jre6\lib\deploy\jqs\jqs.conf (file missing)

O23 - Service: ZDMVRKGGYU - Sysinternals - www.sysinternals.com - C:\DOCUME~1\Rade\LOCALS~1\Temp\ZDMVRKGGYU.exe

 

Изтегли ESET SysInspector и:

1) стартирай я и изчакай да събере информацията;

2) меню File -> Save Log;

3) потвърди с Yes;

4) не променяй изходния ZIP формат, запази файла на удобно за теб място и го прикачи после към коментара си (не го разархивирай).

Това също не тръгва, както написах по-горе за др. програми.

 

А от последното:

GMER 1.0.15.14972 - http://www.gmer.net

Rootkit scan 2009-04-29 22:40:46

Windows 5.1.2600 Service Pack 3

 

 

---- Processes - GMER 1.0.15 ----

 

Process hidden process (*** hidden *** ) 216

Process hidden process (*** hidden *** ) 2004

Process hidden process (*** hidden *** ) 3080

 

---- Services - GMER 1.0.15 ----

 

Service C:\Documents and Settings\Rade\Application Data\drivers\wfsintwq.sys (*** hidden *** ) [sYSTEM] srosa <-- ROOTKIT !!!

 

---- EOF - GMER 1.0.15 ----

[Rade]

mbam_log_2009_04_29__23_52_56_.txt

 

Резултат от Malwarebyte's Anti-Malware.

 

Изтрих доста неща, пооправи се като цяло положението, сега заявките драстично спаднаха и като ги гледам са си нормални...квото съм пуснал да върви.

Сега реших да пробвам отново Spybot S&D, взе че тръгна и в момента сканира.

[Rade]

 

Това излезе накрая от Spybot-a.

[Night_Raven]

Желателно е да не избързваш и да не извършваш действия, за които не си посъветван. Не че е фатално (дори в случая е добре, че си сканирал с MBAM), но е малко по-трудно да се проследи къде как и какво.

Предполагам си сканирал с Malwarebytes' Anti-Malware след пускането на логовете. Затова ще помоля отново да дадеш такива от съответните програми.

 

Колкото до HijackThis, аз неслучайно съм казвал, че програмата е добре да се стартира с променено име и именно затова я предоставям с вече сменено такова.

[Rade]

Ясно.. ами в момента мисля, че всичко се изчисти, тея неща които съм атачнал тук са единствените които останаха. Сканирах сега с всички неща които ми препоръча, също засякоха и изтриха разни бацили, Нод-а го преинсталирах, обнових и той хвана 4-5 троянеца и това беше. Незнам още какво да направя...

Имам май 20тина порта отворени....

За логовете..както вече споменах, мисля утре пак да пусна няколко скана с различните програмки и да прикача за всяка лог и/или скрийншот. Понеже сега затихна положението.

[Rade]

Ето няколко лог-а.

 

SAS каза, че всичко е чисто.

 

mbam_log_2009_04_30__11_19_54_.txt

gmer.txt

gmerr.txt

HJT.txt

[Night_Raven]

Явно MBAM се е справила с проблема.

[vanio]

Защо не пуснеш и един ComboFix ?

http://www.forospyware.com/sUBs/ComboFix.exe

[Night_Raven]

ComboFix не е инструмент за профилактично сканиране. Моля, не предлагай сканиране с него, след като не си запознат с опасностите и рисковете, които крие работата с него.